Mikko Hyppönen ist eine der bekanntesten Figuren unter den IT-Sicherheitsexperten. Er ist «Chief Research Officer» des finnischen IT-Sicherheitsunternehmens F-Secure und lehrt an den Universitäten Oxford, Stanford und Cambridge. Bekannt wurde er unter anderem für die vielbeachtete Aussage: «Wann immer ein Gerät als ‹smart› bezeichnet wird, ist es angreifbar», die seitdem auch als Hyppönens Gesetz beschrieben wird.
Im Interview betont der Finne, dass die Sicherheitslage im Netz heute viel besser sei als vor zehn Jahren. Ausserdem lobt er Microsofts kostenlosen Virenscanner «Defender». Sorgen bereitet ihm nur der Ausblick, dass Schadsoftware bald auf Machine Learning zurückgreifen könnte – und dass bald auch die dümmsten «smarten» Geräte online gehen könnten.
Herr Hyppönen, wenn die Sicherheitslage im Netz ein Wetterbericht wäre, wie wäre Ihr Ausblick aktuell?
Mikko Hyppönen: Das finnische Computer Emergency Response Team veröffentlicht tatsächlich einmal im Monat eine Art Internet-Wetterbericht. Natürlich herrscht aktuell nicht gerade Sonnenschein, aber – und das möchte ich klar sagen – es war auch schon schlimmer.
Ach ja? Den Eindruck hat man nicht gerade, wenn man all die Meldungen über Datenlecks und grosse Hackerangriffe liest.
Es wird aber besser, nicht schlechter. Das lässt sich ganz leicht erkennen, wenn man das heutige allgemeine technische Level mit dem vor 10, 15 Jahren vergleicht. Die dunkelsten Zeiten in der Computersicherheit herrschten sicherlich vor zehn Jahren. Damals hatten wir alle Windows XP und Windows XP war wirklich übel. Die erste Version hatte keine Firewall und war gegen Angriffe aus dem Netz gänzlich ungeschützt. Deshalb verbreiteten sich diese Wurmangriffe damals auch ungehindert und rasend schnell.
Aber was ist mit den Angriffen auf unsere Daten im Netz?Eigentlich hat sich die Lage in den vergangenen Jahren auch hier deutlich verbessert. Das hat vor allem mit der «Cloudifizierung» zu tun: Immer mehr Informationen, die etwa von Unternehmen genutzt werden, liegen nicht mehr auf deren eigenen Servern, sondern auf den Servern von grossen Cloud-Anbietern wie Amazon AWS, Microsoft Azure oder Google Cloud. Deren Systeme sind eigentlich fast immer besser gegen Angriffe abgesichert, als es die Server der jeweiligen Unternehmen sind. Die Schwachstelle ist hier weniger die Technik als der Mensch.
Warum? Was hat der Mensch mit den Servern von Amazon und Co. zu tun?
Weil es die Zugangsdaten von Menschen sind, die in Zeiten der Cloud Zugriff auf alles ermöglichen. Früher waren erbeutete Zugangsdaten für einzelne Server nicht immer hilfreich. Angreifer mussten sich Zugriff auf das Netzwerk der Zielorganisation verschaffen. In Cloud-Zeiten erlauben die richtigen Zugangsdaten Zugriff auf alles. Deshalb sehen wir trotz guter Cyber-Abwehrtechniken all diese Datendiebstähle und Datenlecks. In fast allen Fällen hatten die Angreifer sich entsprechende Zugangsdaten durch gezielte Phishing -Attacken besorgt.
Phishing ist ja eine eher analoge Attacke: Angreifer versuchen etwa durch gefälschte Websites an Zugangsdaten ihrer Opfer zu kommen. Kann man gegen solche Angriffe auch eine Art Virenscanner installieren?Das ist schwierig. Wenn Angreifer technische Schwachstellen ausnutzen, dann wissen wir immerhin, wie man diese Schwachstellen repariert. Aber wenn Anwender immer das gleiche Passwort benutzen, auf Phishing-Angriffe hereinfallen, oder Mail-Anhänge öffnen, die keinesfalls geöffnet werden sollten, dann haben wir ein anderes Problem. Denn, wie «repariert» man Menschen?
Und was ist die Lösung?
Das einzige «Update» für Gehirne ist Weiterbildung. Und in diesem Bereich ist Weiterbildung langsam, teuer und schlägt häufig fehl. Natürlich kann man auch versuchen, Phishing-E-Mails herauszufiltern oder Mechanismen wie Zwei-Faktor-Authentifizierung einzuführen. Aber in vielen Fällen ist die sicherste Abwehr der informierte Nutzer. Unser Ansatz für Unternehmen ist ein Bildungsprogramm, in dessen Rahmen wir eine Reihe von Testattacken auf die Angestellten ausführen, um sie darin zu schulen, solche Angriffe zu erkennen, wenn sie tatsächlich passieren.
Früher steckte hinter einem Computervirus mutmasslich oft ein einzelner Nerd, der den Schädling in seinem Kinderzimmer programmiert hatte. Wie haben sich die Angreifer gewandelt?
Fast alle Ransomware-Trojaner-Angriffe ...
… also Schadsoftware, die die Daten auf dem Zielrechner verschlüsselt und dann ein Lösegeld (engl. «Ransom») zur Freigabe der Daten erpresst …
... werden von professionellen Banden durchgeführt. Wir sprechen hier aber nicht von der Mafia oder so etwas. Das ist eine neue Form des organisierten Verbrechens, deren Gruppen nur online existieren und deren Mitglieder sich niemals begegnen – und diese Gruppen verdienen grosse Summen an Geld. Das ist eine echte Herausforderung, nicht nur für uns Sicherheitsunternehmen, sondern auch für die Sicherheitsbehörden. Vor allem auch, weil etwa das Darkweb es für diese Gruppen sehr einfach macht, sich zu organisieren. Technologien wie die Blockchain oder Kryptowährungen wie etwa Bitcoin erleichtern es den Banden ausserdem, das schmutzige Geld zu bewegen. Ich will damit gar nichts gegen diese Technologien sagen – sie sind an sich weder gut noch schlecht. Aber Cyberkriminelle sind sehr geübt darin, sich neue Technologien für ihre Zwecke anzueignen.
Haben Sicherheitsunternehmen wie Ihres überhaupt eine Chance, gegen solche Banden vorzugehen?
Allein können Sicherheitsunternehmen das nicht leisten. Wir tracken Onlinekriminelle, wir sammeln Beweise, wir versuchen, dem schmutzigen Geld in Bitcoins und anderen Kryptowährungen so gut es geht zu folgen. Aber es gibt klare Grenzen: Wenn die Angreifer wissen, was sie tun und keine Fehler machen, dann werden wir sie nicht finden. Und selbst wenn wir sie finden, sind wir eben nur ein privates Unternehmen, wir können niemanden verhaften. Alles, was wir tun können, ist mit Europol und Interpol zusammenzuarbeiten und auf die lokalen Sicherheitsbehörden zu hoffen.
Funktioniert das?
Mal tut es das, mal nicht. Das hängt auch sehr vom jeweiligen Land und dem Know-how-Level der jeweiligen Strafverfolgungsbehörden ab. Ein Problem, das die Sicherheitsbehörden dabei mit uns teilen, ist der Mangel an passenden Talenten. Wenn wir schon Probleme haben, Mitarbeiter mit den richtigen Fähigkeiten zu finden, wie viel schwerer dürfte es da für den öffentlichen Sektor sein.
Welche Länder machen hier einen guten Job und welche nicht?
Einige Länder machen ihre Arbeit sehr gut – die meisten europäischen Staaten etwa haben hier das Know-how und die Ressourcen, um tatsächlich auch aktiv einzugreifen. Eine sehr gute Nachricht ist auch, dass Russland in den vergangenen Jahren deutlich besser geworden ist. Allerdings gibt es zahlreiche Länder, die noch sehr problematisch sind: China und Vietnam etwa und generell schwierig ist die Lage auch in Afrika sowie Mittel- und Südamerika. Wir haben also noch einen weiten Weg vor uns.
Einer der wichtigsten Gründe, warum sich die Situation in den einzelnen Ländern teils stark unterscheidet, ist der Anteil der Altsysteme, die noch im Einsatz sind. Die Länder, in denen wir die höchsten Infektionsraten für Schadsoftware sehen, sind Länder, in denen Windows XP oder andere, nicht mehr unterstützte Betriebssysteme noch immer verbreitet sind.
Windows 10 ist deutlich sicherer. Es bietet sogar einen kostenlosen Virenscanner. Ärgern Sie sich über diese Gratis-Konkurrenz?
Nein, ich glaube nicht, dass uns so schnell die Arbeit ausgeht. Solange es schlechte Menschen auf der Welt gibt, haben Sicherheitsunternehmen wie F-Secure auch etwas zu tun. Seit den frühen 90er-Jahren gibt es immer wieder Prognosen, Microsoft würde die gesamte IT-Sicherheitsindustrie irrelevant machen. Bis jetzt ist das nicht eingetroffen.
Ist Microsofts Antivirusprogramm «Defender» aus Ihrer Sicht gut?
Ganz klar, er wird immer besser. Microsoft hat grossartige Leute, die dort im Sicherheitsteam arbeiten, wir haben grossen Respekt vor deren Leistung. Wirklich, Microsoft unterscheidet sich heute stark von dem Unternehmen von früher. Man kann ihnen nur gratulieren, wie viel sie in den vergangenen Jahren verbessern konnten.
Vor drei Jahren haben Sie einen Satz gesagt, der heute als Hyppönens Gesetz beschrieben wird: «Wann immer eine Anwendung als ‹smart› beschrieben wird, ist sie angreifbar». Gilt dieses Gesetz noch?
Ja, wobei mir die «dummen» Geräte mittlerweile mehr Angst machen. Denn mittlerweile gehen nicht nur die High-End-Geräte wie Smart-TVs und smarte Sicherheitskameras ins Netz, sondern auch Dinge wie Toaster oder Glühbirnen, die eigentlich gar nicht online sein müssten. Hersteller bringen sie dennoch ans Netz, um Daten zu sammeln. Und das ist ein echtes Problem für Konsumenten, denn es wird dazu führen, dass Verbraucher Dinge kaufen und gar nicht wissen, dass diese Dinge online sind. Da kann man sich kaum gegen Angriffe schützen.
Müsste hier der Gesetzgeber eingreifen?
Manche glauben, dass Regeln und Gesetze das Problem lösen könnten. Schliesslich sind etliche Sicherheitsaspekte von Heimelektronik bereits reguliert – nur die Datensicherheit von smarten Geräten nicht. Wenn man sich heute eine Waschmaschine kauft, kann man sich deshalb sehr sicher sein, dass sie nicht spontan Feuer fängt oder tödliche Stromschläge verteilt – aber eben auch, dass sie wahrscheinlich das WLAN-Passwort verrät. Ich bin mir nicht sicher, ob der Weg über eine gesetzliche Regulierung tatsächlich der richtige Weg ist – aber ich glaube, dass das in Zukunft passieren wird, einfach weil Politiker das als eine praktikable Lösung ansehen werden.
Was ist denn das grosse Schreckgespenst im IT-Sicherheitsbereich? Vor welcher Entwicklung in den kommenden fünf bis zehn Jahren haben Sie Sorge?
Heute ist das alles noch unter Kontrolle – Machine Learning wird von uns Verteidigern bereits grossflächig eingesetzt. Doch die andere Seite könnte davon auch profitieren. Etwa, indem sie Schadsoftware baut, die ihren Code selbstständig ändert, um die Erkennung zu erschweren. Oder Phishing-Angriffe, die ihre Methoden nach dem jeweils grössten Erfolg ausrichten. Das ist alles machbar, bis jetzt haben wir solche Szenarien noch nicht gesehen – das ist aber nur eine Frage der Zeit. In fünf bis zehn Jahren wird das wahrscheinlich bereits passieren. Und dann werden wir mit unseren guten Machine-Learning-Algorithmen versuchen, dagegen zu halten.
