Blog

Das Cloud Paradoxon der öffentlichen Hand

Veröffentlicht von Michael Herkens am 27.06.2016 14:52:13
Finden Sie mich bei:

Vor 5 Jahren gab der damalige Bundesinnenminister Dr. Hans-Peter Friedrich am 16. Juni 2011 den offiziellen Startschuss für das Nationale Cyber-Abwehrzentrum in Bonn. "Mit dem heutigen Tag setzen wir unsere präventive IT-Sicherheitspolitik fort", sagte Friedrich bei seiner Eröffnungsrede. Das Nationale Cyber-Abwehrzentrum ist eine Kooperationseinrichtung deutscher Sicherheitsstellen auf Bundesebene zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und ihrer Wirtschaft.


Drei Jahre später kam der Bundesrechnungshof laut Recherchen von SZ, NDR und WDR bereits zu einem verheerenden Urteil und hielt das Cyber-Abwehrzentrum für "nicht gerechtfertigt". Wie recht die Rechnungsprüfer hatten und wie verwundbar Deutschland bei Cyberangriffen ist, zeigte sich dann im Januar 2015. Eine Hackergruppe mit dem Namen CyberBerkut legte die Internetseiten von Bundeskanzlerin Angela Merkel (CDU) und der Bundesregierung durch eine DDoS-Attacke zeitweilig stundenlang lahm. Dabei war das Jahresbudget des Bundestag für die IT-Ausstattung mit 27 Mio. Euro durchaus üppig.


Nur vier Monate später wurde der bisher größte Angriff auf das interne Netzwerk des Bundestags bekannt. "Man kann davon ausgehen, dass mehrere Computer inzwischen ferngesteuert werden. Deswegen sind manche Bereiche komplett abgeschaltet worden, damit man überhaupt noch die Sicherheit dieser Daten gewährleisten kann", erklärte der IT-Experte Götz Schartner im DRadio.


Wo war das Nationale Cyber-Abwehrzentrum zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und ihrer Wirtschaft? Die Kernbehörden (Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Verfassungsschutz, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) sind ständig im Cyber-Abwehrzentrum vertreten. Sie stellen insgesamt 10 Mitarbeiter (BSI: 6 MA, BN: 2 MA, BBK: 2 MA). 10 Mitarbeiter für die präventive IT-Sicherheitspolitik.


Zum Vergleich: Google beschäftigt mehr als 500 Vollzeit-Angestellte für die Sicherheit seiner Rechenzentren, wie Eran Feigenbaum, Director of Security, Google Apps im Enterprise Blog Beitrag vom 10.02.2015 bekannt machte. Das Google Sicherheitsteam beteiligt sich außerdem an Forschungs- und Informationsaktivitäten, um neben den Anwendern von Google-Lösungen auch die größere Community der Internetnutzer zu schützen. Durch diese Forschungsaktivitäten konnten beispielsweise die POODLE SSL 3.0-Sicherheitslücke sowie die Cipher Suite-Schwachstellen entdeckt werden.


Die Bundesregierung wird gehackt, die US-Regierung läßt sich hacken


Das US-Verteidigungsministerium geht neue Wege, um die eigene Datensicherheit zu erhöhen. Am 2. März 2016 hat das Pentagon das Bug-Bounty-Programm "Hack the Pentagon" angekündigt. Hacker sollen von außerhalb dazu eingeladen werden, die Sicherheitsvorkehrungen einiger Teile des hauseigenen Systems zu attackieren. Vom 18. April bis 12. Mai nahmen 1410 Teilnehmer an diesem Programm teil und reichten laut US-Verteidigungsminister Ashton Carter 1189 Reports ein, die 138 Sicherheitslücken ans Licht brachten. Das Pentagon zahlte dafür Preisgelder von durchschnittlich 588 US-Dollar aus. Insgesamt wurden Gelder in Höhe von 71.200 US-Dollar gezahlt. Das gesamte Programm war mit rd. 150.000 US-Dollar vermutlich deutlich günstiger als ein deutscher Verwaltungsbeamter im Jahr an Kosten erzeugt.


Sein Ministerium habe darüber hinaus “stärkere Brücken zu innovativen Bürgern gebaut, die etwas bewirken wollen für den Verteidigungsauftrag”. Um Sicherheitslücken in den Netzwerken und Systemen des goooo.pngVerteidigungsministeriums zu melden, muss es laut Carter einen gangbaren Weg für ethische Hacker und Sicherheitsforscher geben. Dafür wolle die Behörde eine zentrale Anlaufstelle schaffen. Das Justizministerium bezeichnete den Wettbewerb als „neuen Ansatz bei Cybersicherheit“, mit dem man „die erfolgreichsten und sichersten Softwarefirmen der Welt“ imitiere. Zugleich sei ein solcher Wettbewerb viel weniger kostenintensiv als entsprechende interne Sicherheitsmaßnahmen und -Tests.


Seit 2011 bietet Google mit dem “Vulnerability Reward Program” Anreize, um Design- und Implementierungsprobleme zu melden, durch die Kundendaten gefährdet werden könnten. Nimmt man alle Vulnerability Reward-Programme von Google zusammen, wurden neben einer Vielzahl von T-Shirts auch über 2 Millionen US-Dollar an Prämien ausgegeben. Google dankt diesen Personen öffentlich und veröffentlicht sie als Personen, die einen aktiven Betrag zur Sicherheit der Google Produkte und Dienstleistungen beitragen. Auch Microsoft ist im Herbst 2014 mit einem Microsoft Online Services Bug Bounty Program nachgezogen.


Das Kompetenzgefälle der Bundesbehörden beim Bemühen zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und ihrer Wirtschaft gegenüber Cloud Pionieren wie Google zeigte sich vor wenigen Monaten. Im Februar breitete sich der aggressive Erpressungs-Trojaner "Locky" rasant aus. Die VirusTotal-Analyse eines Locky-Samples vom 16.02. zeigte, dass derzeit offenbar nur wenige Virenscanner anschlugen. Nur 3 der 54 AV-Engines, so Heise Security, stuften die Datei als Malware ein. Ebensowenig gab es  vom nationalen Cyber-Abwehrzentrum einen Hinweis an. Anwender des Google Webmails Gmail wurden bereits am Morgen des 16.02. vor Locky geschützt.

fb.png

(Meldung eines Gmail User vom 16.02.)



Google nutzt mehrere Virenscanner-Engines in Gmail und Google Drive, um Malware zu identifizieren, die von Virenscanner-Signaturen möglicherweise übersehen wurden. Neben der Safe Browsing-Lösung betreibt Google auch VirusTotal, einen kostenlosen Onlinedienst, der Dateien und URLs analysiert und dabei mithilfe von Antivirus-Engines und Website-Scannern Viren, Würmer, Trojaner und andere schädliche Inhalte identifiziert. Die Mission von VirusTotal besteht darin, durch die Entwicklung kostenloser Tools und Dienste die Virenscanner- und Sicherheitsbranche zu stärken und das Internet insgesamt sicherer zu machen.

neuss.png

 

(Neusser Lukaskrankenhauses (Stand: 22.02. um 13:35 Uhr)

Leider hatte das Neusser Lukaskrankenhaus, eines der Locky-Opfer, eine andere Lösung im Einsatz. Das Krankenhaus ist derzeit immer noch nur eingeschränkt funktionsfähig, weil viele Systeme heruntergefahren wurden. Das Neusser Krankenhaus ist nicht das erste Opfer und wird vermutlich auch nicht das letzte Opfer von mutmaßlich verseuchten Mails sein. Von der Städteregion Aachen bis zur „Merkel-Mail“, die mindestens in Teilen eine Neuaufsetzung des IT-Systems des Deutschen Bundestages erforderte, hatte weder das Nationale Cyber-Abwehrzentrum noch die IT-Infrastruktur der öffentlichen Hand Schutz geboten.


Fazit


Datenschutz und Datensicherheit sollte der Bundesregierung mehr Wert sein, als eine Organisation mit einem wohlklingenden Namen, die nicht mehr sein kann als ein Feigenblatt.  Weitgehend standardisierte IT-Lösungen können viel günstiger und zuverlässiger aus der Public Cloud bezogen werden. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Bei einer objektiven Analyse der Kosten und des Servicelevels in Verbindung mit einer qualifizierten Beratung kommt die deutsche Wirtschaft immer öfter zu der Entscheidung, einen Teil der IT auszulagern.