Was haben Trenitalia, die Innsbrucker Medizinuniversität und Colonial Pipeline, ein Öllieferantensystem in den USA, gemeinsam? Alle drei Institutionen wurden im vergangenen Jahr Opfer von Cyber-Attacken. Unter einer Cyber-Attacke versteht man Angriffe auf Computer bzw. Computerprogramme mit dem Ziel, diese lahmzulegen oder Daten zu stehlen. In den letzten Jahren hat die Anzahl solcher Attacken drastisch zugenommen. Spätestens der Cyber-Angriff auf die amerikanische Ölfirma „Colonial Pipeline“, der 8000 km an Pipelines mehrere Tage lang außer Kraft gesetzt hat, hat auch in Südtirol zum Nachdenken angestiftet. Ergebnis war ein Treffen zwischen der Informatik-Fakultät der Universität Bozen, dem NOI-Techpark und der AES, die Automotive Excellence-Südtirol.

Maßgeblich beteiligt an diesem ersten Rundtischgespräch war auch Claus Pahl. Pahl ist Dekan der Fakultät für Informatik an der Freien Universität Bozen, spezialisiert hat er sich auf den Teilbereich „Software Engineering“, also das Schreiben von Programmen.
 

Salto.bz: Herr Pahl, wieso haben zuletzt so viele Cyber-Angriffe stattgefunden?

Claus Pahl: In den letzten Jahren haben sich alle Bereiche unseres Lebens zunehmend digitalisiert. Von unseren Smartphones über Geräte im Haushalt, bis zu Autos: Alle Geräte sind durch moderne Technologien miteinander verknüpft und nach außen hin „offen“. Das bietet Hackern eine neue Angriffsfläche. Lücken im Sicherheitssystem dieser Verbindungen werden ausgenutzt, um sich in die Systeme einzuschmuggeln und dort Schäden anzurichten.

Wer kann Opfer eines Cyber-Angriffes werden?

Grundsätzlich jeder. Angriffe auf größere Institutionen erregen natürlicherweise am meisten Aufsehen, so haben die meisten Medien zum Beispiel vom Cyber-Angriff auf das Kassensystem der Drogeriekette Coop im vergangenen Sommer berichtet. Coop musste daraufhin über 800 Filialen vorübergehend schließen. Auch berichtet wurde von der Cyber-Attacke auf Trenitalia, welche das Ticketsystem lahmgelegt hat. Aber auch Privatpersonen können Opfer einer Cyber-Attacke werden. So hat zum Beispiel fast jeder einmal einen Link zugeschickt bekommen, in dem man aufgefordert wird, eine gewisse Seite zu öffnen. Dieser Trick gibt Hackern Zugang zum eigentlich gesperrten System. Vor kurzem ist auch bekannt geworden, dass neue Autos wie Tesla gehackt werden können.

Inwiefern sind neue Autos angreifbar?

Konkret bei Tesla ist es Hackern gelungen, Fahrzeuge ohne eigentliche Erlaubnis zu öffnen. Dem Fahrzeug wird hierbei vorgespielt, dass der rechtmäßige Nutzer in der Nähe ist. Durch die Möglichkeit des „Autonomen Fahrens“ konnten Fahrzeuge sogar eingeschaltet und in Betrieb gesetzt werden. Eine derartige Sicherheitslücke stellt eine große Gefahr dar.

Ist die Sicherheit von Autos eines der Ziele des Treffens mit dem NOI-Techpark und der AES?

Diese Gespräche zielen auf mehrere Themen ab. Wir als Fakultät für Informatik beschäftigen uns unter anderem mit Sicherheitstechnologien, NOI hat einen Forschungsbereich zu Fahrzeugtechnik. Die AES ist eine Organisation aus sechs Autozuliefererunternehmen. Beim ersten Treffen hat die AES auftretende Probleme vorgestellt, wir haben mögliche Lösungsansätze besprochen. Im Laufe der nächsten Treffen werden diese Ansätze konkretisiert. Die angesprochenen Sicherheitslücken sind ein Bereich, den wir vertiefen werden. Wir wollen aber auch tiefer graben und Produktion und Wartung solcher Systeme analysieren. Maschinen wie zum Beispiel Autos von Tesla sind ja sozusagen sich bewegende Computer mit einer Menge an Softwares. Diese müssen, ähnlich wie bei Handys, regelmäßig aktualisiert und gewartet werden. Diese Schnittpunkte können sich ebenfalls als Schwachstellen entpuppen. Ein weiteres Thema, auf das wir uns vertiefen, ist die Biometrie.

Was genau beinhaltet Biometrie?

Unter Biometrie versteht man das Einbeziehen von individuellen Aspekten in ein Sicherheitssystem. Heutzutage ist das schon oft der Fall, Fingerabdruck- oder Augenerkennungs-Softwares werden schon reichlich genützt. Gemeinsam mit der Zwei-Faktoren-Authentifizierung bietet die Biometrie momentan am meisten Sicherheit. Dennoch ist die Biometrie noch weiter ausbaubar, nicht nur in Sicherungsfragen. Ein großes Forschungsfeld der Biometrie sind zum Beispiel auch Programme, welche anhand von Gesten feststellen, dass der Autofahrer müde wird.

"Wir möchten Lösungsansätze schaffen, welche Südtirols Bürgern und Unternehmen schützen" - Claus Pahl

Wie ausgeliefert sind Privatpersonen potenziellen Cyber-Angriffen?

Die Zwei-Faktoren-Authentifizierung ist eine deutliche Verbesserung und bietet eine grundsätzliche Sicherheit. Bei der Verwendung einer Kreditkarte muss man so auf einem zweiten Gerät ein Passwort eingeben, damit eine Zahlung durchgeführt werden kann. Einem Dieb genügt somit die Kreditkarte allein nicht, er benötigt dazu noch jenes Endgerät, an welches das Passwort geschickt wird, andersrum benötigt also ein Hacker auch die Kreditkarte und nicht nur den Zugang zum Endgerät. In diesem Bereich ist man also grundsätzlich gut geschützt, Aber das ist nur eines von vielen Problemen, ein anderes Thema ist es, vernünftig mit diesen ganzen teils komplexen Sicherheitssystemen umzugehen.

Was kann man machen, um sich bestmöglich zu schützen?

Dafür gibt es zwei grundsätzliche Regeln. Einerseits soll man die Sicherheitsmechanismen, welche zum Beispiel von Banken angeboten werden, nutzen. Andererseits sollte man einfach auch einen gesunden Menschenverstand walten lassen. Um überhaupt Schäden anzurichten, müssen Hacker erst einen Zugang in das Gerät bekommen. Für so einen Zugang benötigt es eigentlich immer ein menschliches Fehlverhalten. Dazu gehören unter anderem kurze oder leichte Passwörter, auch muss man immer genau überlegen, welche Daten man wo weitergibt. Zur Sicherheit immer bei der Bank nachfragen, bevor man persönliche Daten und Passwörter freigibt.

Man ist nicht hilflos ausgeliefert! Mit den angebotenen Schutzmaßnahmen und einem gesunden Menschenverstand kann man sich und seine Daten in Sicherheit halten" - Claus Pahl

Was ist der Ausblick auf die Zukunft?

Man kann nicht davon ausgehen, dass es in Zukunft weniger Cyber-Angriffe geben wird. Das ist ein gegenseitiger Lernprozess: Die Anbieter von Sicherheitsdiensten, also Banken, Fahrzeughersteller usw. lernen dazu und erhöhen die Sicherheit. Aber auch die Kriminellen finden wieder neue Sicherheitslücken, mit denen sie erneut in das System eindringen können. Einen Universalschutz gibt es nicht. Das Problem ist, dass durch dieses Hochschaukeln Systeme immer komplexer werden. Irgendwo gibt es immer eine Lücke, die vom Programmierer nicht bedacht wurde. Das ist ein Wechselspiel zwischen Anbieter und Kriminellen, ein Ende ist vorerst nicht in Sicht.

Vielen Dank für das Interview!