Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Kristin Lovejoy ist General Manager für Security Services bei IBM. Sie war eine der Rednerinnen beim Sicherheitskongress des Kuratoriums Sicheres Österreich (KSÖ). Die US-Bürgerin lebt mit Ehemann und vier Kindern im Alter von 17 bis 21 Jahren in McLean, Virginia
STANDARD: IBM prognostizierte 2011, dass kritische Infrastruktursysteme, also Steuerungssysteme etwa für die Gas-, Wasser-, Stromversorgung vermehrt das Ziel von Cyberterroristen wird. Welches Motiv vermuten Sie dahinter?
Lovejoy: Deren Motive nachzuvollziehen, ist nur schwer möglich. Wir beobachten jedoch, dass Vorbereitungen laufen, solche Angriffe zu starten. Potenzielle Angreifer verfügen bereits über genügend Wissen, um Malware über das Internet in die Umgebung solcher Systeme einschleusen zu können. Im Gegensatz zu früher sind kritische Infrastruktursysteme nicht mehr vom Internet isoliert. Dass sie diese stören können, haben wir ja am Beispiel von Stuxnet schon gesehen.
STANDARD: Hinter dem Computerwurm Stuxnet, der unter anderem iranische Atomfabriken angegriffen haben soll, war Berichten zufolge die US-Regierung stecken.
Lovejoy: Tatsächlich weiß niemand, wer dahinter steckt, da man das Ganze nur schwer zurückverfolgen kann. Ob die US-Regierung involviert ist, dazu kann ich nichts sagen, da ich nichts darüber weiß.
STANDARD: Was haben Sie denn bisher an Angriffen beobachtet?
Lovejoy: Da wir nichts über unsere Kunden sagen kann, kann ich Ihnen keine konkreten Beispiele nennen. Aber damit Sie eine Vorstellung haben, was der Fall sein könnte: Hacker könnten in in das Computersystem einer Kläranlage eindringen und so manipulieren, dass Abwässer in ein Trinkwasserbecken laufen und dieses kontaminieren.
STANDARD: Wieviel Attacken mit terroristischem Hintergrund gab es denn im Vorjahr?
Lovejoy: Auch dazu gibt es keine konkreten Zahlen. Das ist Teil dieses Problems, da niemand Informationen darüber teilt. Es geht meiner Erfahrung nicht um tausende von Attacken, sondern um dutzende. Aber diese genügen schon, dass sie ernst genommen werden müssen. Abgesehen davon ist es auch schwer nachzuvollziehen, was dahintersteckt, wenn plötzlich irgendwo der Strom ausfällt. War es ein technischer Fehler oder eine Terrorattacke.
STANDARD: Was ist mit Gruppen wie Anonymous. Zählen Sie diese auch dazu?
Lovejoy: Das sind Hacktivisten. Sie wollen zwar auch Computersysteme stören, sind aber per se nicht auf kritische Infrastruktur fokussiert. Außer man zählt Finanzservices auch zur kritischen Infrastruktur. Gruppen wie Anoymous wollen adressieren kapitalistische Organisationen. Da muss man differenzieren. Terroristische oder separatistische Gruppen wollen soziales Chaos erzeugen, indem sie Störungen provozieren.
STANDARD: Ihre und andere Firmen versprechen mir sichere Systeme. Auf der anderen Seite machen Sie mir Angst mit Horrorszenarien. Der Gedanke drängt sich auf, dass Sie nur mehr Sicherheit verkaufen wollen.
Lovejoy: Ich kann dieses Gefühl nachvollziehen. aus der Sicht von IBM ist Sicherheit eine wichtige Komponente im Entwicklungsprozess von Produkten. Aber Perfektion kann Ihnen kein Anbieter liefern. Die Integrität eines Systems ist wichtig. Aber noch sicherheitskritischer ist, wie es in einem Unternehmen konfiguriert und gewartet wird. Hierbei entstehen oft die die größten Sicherheitslücken. Der Markt geht daher immer mehr in Richtung automatisches Sicherheitsmanagement. Und um Techniken, die verstehen helfen, wo Angreifer es versuchen könnten, in ein System einzudringen, so dass man sie blockieren kann.
STANDARD: Das wird aber immer ein Katz-und-Maus-Spiel zwischen Angreifern und Verfolgern bleiben?
Lovejoy: Uns muss bewusst sein, dass wir die gesamte Entwicklung des Internet nicht stoppen können - unsere Kinder würden das nicht zulassen. Umso mehr müssen wir uns darum kümmern, dass wir eine größtmögliche Sicherheit erreichen.
Standard: Die Industrie verkauft Cloud-Lösungen, die über die Wolke, also das Internet gehen. Wie sicher kann das denn dann überhaupt sein?
Lovejoy: Die Grundplattform, auf der das Internet fußt, ist sicherer als die durchschnittliche IT-Infrastruktur, weil sie konsistent ist. Das eigentliche Problem von IT-Sicherheit ist die Komplexität. Zu viele Systeme, zu viele Konfigurationen, zu viele Leute, die damit zurecht kommen müssen. Die Cloud mit ihrer Standard-Plattform macht das einfacher. Man kauft ein Image, ein Speicherabbild in einer Umgebung, und stellt dort seine Applikation rein. Das ist ziemlich sicher. Dann geschieht aber folgendes: Der Nutzer bzw. ein Unternehmen, beginnt das Ganze zu verändern. Gibt zum Beispiel Daten dazu und probiert verschiedene Sachen damit aus. Was die meisten nicht wissen ist, dass man diese Applikation mit Sicherheitsfeatures ausstatten muss.
STANDARD: Der Nutzer ist also wieder einmal selbst schuld?
Lovejoy: Die Herausforderung in der Wolke ist, dass der Umgang mit den Anwendungen meist nicht in geschulten Händen liegt. Man muss differenzieren zwischen der Infrastruktur, die die Wolke beherbergt, und was der Kunde aus dem gekauften Abbild macht. Wir brauchen mehr Ausbildung auf diesem Gebiet.
STANDARD: Es gibt aber auch wieder Ansätze, kritische Infrastrukturen über separate Netze laufen zu lassen. Was halten Sie davon?
Lovejoy: Das gehört für mich der Vergangenheit an. Warum man die Strukturen für das Internet geöffnet hat, hat mit verschiedenen Faktoren zu tun. Zum Beispiel damit, dass Firmen sicher sein möchten die besten Leute zu bekommen. Und in der heutigen Welt sind die nicht immer dort, wo man sein Unternehmen hat. Oder um viele Services dem einzelnen Bürger zugänglich zu machen, braucht es ebenfalls Netzanschluss. Oder Sie denken an Hilfsketten bei Katastrophen. Dazu braucht es auch Vernetzung. So viele Menschen hängen von Wasser, Strom oder Abwasserdiensten ab, hinter denen heute IT-Systeme stecken. Es gilt, diese Services zu optimieren, schon allein angesichts des Bevölkerungswachstums.
STANDARD: Vielen Anwendern ist auch unwohl bei dem Gedanken, dass ihre Daten auf Servern außerhalb ihres Landes gespeichert werden.?
Lovejoy: Ja, da gibt es viele Bedenken, wo die Daten erstellt werden und wo sie gespeichert werden. Das müssen Unternehmen mit ihrem Anbieter definieren. Viele der großen Cloudanbieter richten ihre Wolke nach der deutschen Gesetzgebung aus, da deren Datenschutzgesetze am strengsten sind. Möglich ist auch, die Daten nur verschlüsselt zu übertragen.
STANDARD: Besonders soziale Netzwerke stehen nicht gerade im besten Ruf in punkto Datensicherheit. Was ist Ihre Meinung dazu?
Lovejoy: Als Facebook startete, war es für mich ein Teufelswerkzeug, das ich nie benützen würde, da Privatsphäre für mich irgendwie Anonymität bedeutete. Meine 21-jährige Tochter belehrte mich eines besseren. Privatsphäre bedeute Kontrolle. Sie ist zum Beispiel auf Facebook mit ihrer Großmutter ‚befreundet‘, hat aber ihre Einstellungen so geregelt, dass Granma nur bestimmte Einträge und Postings lesen kann. Die neue Generation hat ein anderes Verständnis von Privatsphäre. Wir diskutieren, dass wir nicht wollen, dass unsere Daten das Land verlassen. Unseren Kinder ist das wurscht. Sie wollen kontrollieren, wer was sieht. (Karin Tzschentke, DER STANDARD/Langfassung online, 04.07. 2012)
Link
Gerichtsbeschluss gegen Kanzlei ist mit "Star Trek"-Anspielungen gespickt
Deutsche Bundesregierung bezog Stellung zum im März vorgelegten "Tallinn Manual"
Drei Mitarbeiter stürzten sich in den Tod
Smartphone-App informiert, welche Unternehmen und Interessensgruppen hinter einem Produkt stehen
Strongbox soll es ermöglichen, anonym und sicher Informationen einzureichen
Prüfung übermittelter Links wurde offenbar ausgesetzt
Im Chat verschickte https-URLs bekommen unangemeldeten Besuch von Microsoft
Markeninhaber blitzt mit Klage ab
Die von Google vorgeschlagenen Suchwort-Ergänzungen können im Einzelfall rechtswidrig sein
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
Baupläne waren innerhalb von 48 Stunden über 100.000 Mal heruntergeladen worden
Wird Datenschutzbestimmungen prüfen und dem Direktorium berichten
Entwickler wählten Mega zur Verbreitung, u.a. weil sie mit Gründer Dotcom sympathisieren - Update: Vorlagen entfernt
Politiker haben Fragen zu Schutz von Privatsphäre
Internetbanking betroffen - Bankchef Cernko: "Das war ein krimineller Akt, wir verfolgen das mit aller Härte"
Experiment von zwei Reportern jedoch nur zum Teil aussagekräftig
Seit 2007 trainiert die Gruppe Computernetzwerk-Operationen in der Eifel für den Cyber-Krieg
Angriffe auf Webseiten des Vatikans und der italienischen Regierung
Netzwerk schließt solche Dienste auch dann aus, wenn sie im Land der NutzerInnen legal sind
BGH legt Urheberstreit um sogenanntes Framing dem EuGH vor
Ursache allerdings noch nicht klar
Kostenlose Accounts sind nach AGB-Änderung praktisch unbenutzbar
Unternehmen mahnte Veranstalter ab und verlangte 2.500 Euro Lizenzgebühren - nach Kritik wurde eingelenkt
"Ich kenne diese Frau und ihre Gesinnung nicht"
Neuartige Waffen sorgen für eine rege Diskussion in den USA - 3D-Druckerhersteller nicht angetan
In Österreich gibt es seit Anfang 2009 eine Wartezeit von 6 Monaten bei einem Hackerangriff..... (Privatpersonen)
Will IBM dieserart Sicherheit verkaufen oder sich für den Datenschutz einsetzen?
Mit der DATENWOLKE, in die jeder bessere Dienst (Geheimdienst) reinschauen kann, und die Verschlüsselung, die natürlich in der zentralen Verarbeitung entschlüsselt werden kann (muß) als Daternsicherheit anpreisen ?
Ich glaube, daß sich IBM mit der Datenwolke, die sie als erste Computeerfirma beworben hat, ein sogenanntes Eigentor geschossen hat und jetzt verzweifelt versucht, mit BEHAUPTUNGEN sich da wieder RAUSZUWURSCHTELN...anders kann ich mir die verschwurbelten Erklärungen der IBM-Dame nicht erklären...
"Gruppen wie Anoymous wollen adressieren kapitalistische Organisationen"
"Hierbei entstehen oft die die größten Sicherheitslücken"
"wo Angreifer es versuchen könnten, in ein System einzudringen"
Ist es wirklich zu viel verlangt, so ein Interviewtranskript einmal, nur ein einziges Mal, vor dem Veröffentlichen durchzulesen?
"Hacker könnten in in das Computersystem einer Kläranlage eindringen und so manipulieren, dass Abwässer in ein Trinkwasserbecken laufen und dieses kontaminieren."
kein hacker gibt sich für soviel "scheisse" her :)!!!
ausserdem wird es wohl keine kläranlage gegen, wo man abwässer in ein trinkwasserbecken direkt einleiten kann!! wenn es sowas gibt, dann ist das ein grober konstruktionsfehler. hat aber mit it an sich nichts zu tun!
JEDE gefährliche Anlage ist direkt am trinkwassersystem und an der sauerstoffversorgung von gods own country angeschlossen!
ms lovejoy ist nichts als ein verkapter homlandsecurity-schläfer der geweckt wurde um teenangst und chickenpanic zu fördern. als belohnung darf ibm jetzt einen fetten staatsauftrag einheimsen!
thats it!
auf den Kem Ecilop, dabei haben sie die eigentlichen Gauner bei sich selbst im Haus sitzen. Wenn nämlich der gerechte und ahnungslose Mittelstandsbürger geifernd meint, er kenne Leute aus dem Innenministerium und wüßte genau, was dort und dort abgeht, denkt man sich dann doch seinen Teil.
Die Smarter Planet Strategie von IBM finde ich im Übrigen super, besonders gefällt mir, dass sie jetzt die NPO Plattform KSÖ auf den Datenschutz aufmerksam machen, das ist so selbstlos.
"Ob die US-Regierung involviert ist, dazu kann ich nichts sagen, da ich nichts darüber weiß."
Aha, nicht einmal einen Hinweis auf einen singulären Anschlag, aber andere sind dafür sicher :) .
Der verlogene Hysteriemüll nach 9/11 funktioniert vielleicht bei Otto Normalverbraucher um ihn zum durchschnittlichen Barbaren verkommen zu lassen. Aber IT-Leute sind da im Normalfall intelligenter.
weils den kindern wurscht ist, heißt das noch lange nicht dass das der richtige weg ist. wer sagt, dass die daten nicht bei einer neuen privatsphäre richtlinie plötzlich doch public sind, oder sonstwie die informationen rauskommen. sorry, aber das ist eine ziemlich fafdenscheinige argumentation...
es ist immer schön, wenn sich solche experten selber in den cafe reden. zuerst ist privatspere ein gewisses maß an anonymität, dann kommt sie drauf, das man das nicht verkaufen kan, somit haben ihre kinder recht. lol supuer logik. sie beschreibt nur, wie naiv sie geworden ist!! sie plappert nur was nach!
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.