In den Tagen vor dem Ausbruch des Vesuvs fühlten die Bewohner von Pompeji und Herculaneum eine Reihe von Erdstößen, die als “harmonische Erschütterungen” bezeichnet werden. Derartige Beben sind die Vorboten einer größeren seismischen Aktivität und signalisieren typischerweise die Bewegung von Magma und einen bevorstehenden Vulkanausbruch. Natürlich ahnten die Menschen damals nicht, dass sie damit eine Warnung erhielten, und evakuierten somit auch nicht ihre Städte. Es folgt eine der verheerendsten Naturkatastrophen der Geschichte: Der Ausbruch führte zu einer totalen Zerstörung von Pompeji und Herculaneum. Alle Bewohner, die sich in ihnen aufhielten, kamen ums Leben.

Man mag denken, dass wir heutzutage besser auf ein ähnliches Ereignis vorbereitet wären. Eher bereit, auf Warnungen zu hören, zu evakuieren. Während dies auf Naturkatastrophen und ähnliche physische Bedrohungen zutreffen mag, haben wir die harmonischen Erschütterungen in der Cybersicherheit seit Jahren ignoriert.

Ein immer größer werdender Teil unseres Lebens wird durch Software bestimmt. Und genau diese Software ist anfällig für Angriffe, was zum Teil an der Verwendung angreifbarer Komponenten liegt. Es gab eine Zeit, in der sich Cyberkriminelle für jeden einzelnen Angriff ihre maßgeschneiderten Werkzeuge kreieren mussten. Es war mühselig, aber meist den Aufwand wert.

Verwendung von Software-Komponenten als Problem

Die Verwendung von Komponenten hat alles geändert. Wenn eine einzelne Open-Source-Komponente in tausenden Anwendungen ihren Platz findet, muss eine Attacke nicht mehr für jede einzelne Software geplant und durchgeführt werden, sondern lediglich die verwendete Komponente ins Visier genommen werden. So lassen sich tausende Anwendungen auf einen Schlag treffen.

Im Oktober letzten Jahres hat Veracode dieses Risiko aufgedeckt, indem gezeigt wurde, dass ein einzelner verwundbarer Punkt in mehr als 80.000 Komponenten und somit letztendlich Millionen von Anwendungen vorhanden war. Doch dies war nur eine einzelne Erschütterung.

“Heartbleed” galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. (Bild: Codenomicon)

Bereits 2014 ermöglichte eine als “Heartbleed” bekannte Schwachstelle beim Krankenhausbetreiber Community Health Systems den Zugriff auf 4,5 Millionen Patientenakten. Seitdem gab es zahlreiche Angriffe, bei denen bekannte Schwachstellen in Komponenten ausgenutzt wurden – Schwachstellen also, die problemlos hätten geschlossen werden können. Doch die Identifikation sämtlicher Komponenten in allen eingesetzten Anwendungen ist eine Herkulesaufgabe.

Zusätzlich zu den Erschütterungen durch angreifbare Komponenten sehen wir andere Warnungen in Gestalt neuer Angriffe. Die aktuellen Attacken mit Erpressungssoftware wie WannaCry und Petya trafen hunderte Unternehmen, aber auch kritische Infrastruktur wie Krankenhäuser. Oberflächlich betrachtet ging es auch bei diesen Angriffen um schnelle Beute – Geldzahlungen im Austausch für einen Schlüssel, mit dem sich die gekidnappten Systeme wieder lauffähig machen lassen. Doch die Tatsache, dass in vielen Fällen weder Informationen gesammelt noch Schlüssel angeboten wurden legt nahe, dass monetärer Gewinn für einige Angreifer zweitrangig war. Stattdessen scheint es ihre Absicht gewesen zu sein, unsere Schutzmaßnahmen auszutesten, um Schwachstellen zu identifizieren.

“Harmonische Erschütterungen” der Cyber-Sicherheit

Die weitreichende Nutzung von angreifbaren Komponenten und die daraus resultierenden Angriffe auf Krankenhäuser, U-Bahnen und andere Teile der kritischen Infrastruktur – das sind unsere “harmonischen Erschütterungen”. Im Jahr 79 nach Christus dachten die Bürger von Pompeji und Herculaneum, dass die Erschütterungen durch verärgerte Götter entstanden. Ihnen fehlten die Informationen, um sie als natürliche Warnsignale eines Ausbruchs zu verstehen.

Wir erhalten ähnliche Warnungen, nur kommen sie diesmal von den Cyber-Göttern. Und anders als die Opfer der damaligen Katastrophe besitzen wir das Wissen, um sie zu verstehen. Dennoch entwickeln wir weiterhin unsichere Software und setzen auf Hoffnung. Die Hoffnung nämlich, dass der nächste Angriff nicht von einer Terrororganisation oder einem feindlichen Staat ausgeführt wird, um unser Militär, unsere Krankenhäuser und alle anderen Notfallsysteme lahmzulegen.

Wir haben eine Chance, die die Bürger von Pompeji nie hatten: Wir können den Ausbruch des Vulkans aufhalten, indem wir die Software, auf die sich die Welt verlässt, sicher machen. Andernfalls könnte auch uns ein katastrophales Schicksal bevorstehen.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago