Das Unternehmen Dreamlab Technologies entwickelte im Auftrag der Schweiz „CyObs“, ein System, das es schafft, Millionen von angeschlossenen Geräten im Land zu analysieren, erklärt Peter. „Unsere Software indexiert alles, was ans öffentliche Internet angeschlossen ist.“ Für Österreich habe man mit CyObs knapp zwei Millionen Online-Assets wie IP-Adressen, von denen wieder jede 300 bis 1.000 Domains hosten kann, und .at-Domains gescannt und 1,2 Millionen dokumentierte und bekannte Schwachstellen identifiziert.
„Das ist eigentlich eine Katastrophe“, sagt der Experte, denn es sei allgemein bekannt, dass es diese Schwachstellen gebe. Und in vielen Fällen sei das hacking-tool frei verfügbar zum Download im Internet. Die IT-Verantwortlichen müssten hier handeln. „Wir haben 50.000 Jahre Evolution und dann haben wir eben zehn bis 15 Jahre digitale Transformation, wir sind einfach als Menschheit noch nicht angekommen in dieser neuen Realität“, ist Peter klar, doch es brauche Diskussionen in der Politik und Institutionen, die Verantwortung übernehmen. Es gelte, viel zu investieren, gerade in Bildung.
Datenhygiene in sozialen Medien
Der Experte wünscht sich eine hohe Priorität für Cyber-Security in Politik, Wirtschaft und Gesellschaft. „Denn schlussendlich muss jede und jeder mitmachen. Dazu gehört zum Beispiel auch die Datenhygiene jedes einzelnen auf den sozialen Medien. Was teile ich? Welche Daten gebe ich wem? Werden sie von dieser Institution auch geschützt?“, verdeutlicht Peter. In der Politik wäre die Hebelwirkung größer. Die Abwägung zwischen Sicherheit und der Überwachung von Bürgern und Firmen spielt freilich immer mit.
Politik und Wirtschaft auf Probleme aufmerksam machen
Mit ihrem Vortrag „Der aktuelle österreichische Cyberraum – ein Update“ hoffen Peter und Unternehmensgründer und Geschäftsführer Nicolas Mayencourt bei der IKT-Konferenz „einen Impact zu erzielen“, weil die wichtigen Leute aus Politik und Wirtschaft, aus allen Teilen Österreichs anwesend seien. „Wir schauen uns das an, was eine cyberkriminelle Organisation oder ein ausländischer Staat sieht, wenn sie oder er einen Angriff auf Österreich vorbereitet, und präsentieren eine große Sammlung von Schwachstellenarten.“
Bahnverkehr oder Ampeln lahm legen
Die Bahninfrastruktur oder das Ampelsystem einer Stadt lahmlegen durften die Experten aus der Schweiz bei ihren Tests natürlich nicht, obwohl das schon möglich wäre. Sie stellten fest, dass nur fünf Prozent der DNS-Server, der Kontrollinfrastrukturen, um Domänen aufzulösen, in Österreich stehen. Auch nur 20 Prozent der Mail-Server befinden sich in Österreich. 80 Prozent der Mail-Server sind im Ausland, auch von Behörden und Gemeinden.
Schwachstellen auch in Regierungsdomains
E-Mails von Bürgern an Kommunen oder Telekommunikationsunternehmen könnten im Ausland oder von ausländischen Diensten gelesen werden, „weil wir die E-Mails nicht verschlüsseln". Zu den Schwachstellen gehören laut den Experten auch exponierte Infrastrukturkontrollsysteme, zum Beispiel Heizungen, die übers Internet ungeschützt zugänglich sind, Web-Cams, die etwa Wasserkraftwerke, Staudämme, Wasserversorgung beobachten. Auch die Regierungsdomains ".gv.at“ wurden analysiert und über 1.000 kritische Schwachstellen identifiziert.
Cyber-Landesgrenzen schützen
Im Prinzip probieren Cyber-Security-Experten in die zu schützenden IT-Infrastrukturen einzudringen wie ein Hacker – freilich ohne Schaden anzurichten. Dementsprechend viel Verantwortung tragen die einzelnen Firmen. Bei der Auftragsannahme sei es wichtig, „ethische, interne Protokolle festzulegen“, das heißt, zu fragen, ob man das Wissen mit dem Auftraggeber – einem Staat, einer Organisation – teilen will. Das sei heute schon teilweise überlebenswichtiges Wissen. Im westlichen Europa beginne jetzt das Bewusstsein zu wachsen, dass es wichtig ist, über solches Technologiewissen im eigenen Land zu verfügen, also seine Cyber-Landesgrenzen verteidigen zu können. „Österreich liegt so wie die Schweiz und viele andere mittelgroße europäische Länder im Mittel- bis hinteren Mittelfeld. Das heißt, wir machen unseren Job schlichtweg nicht“, so Peter, der auch das Kompetenzzentrum Digitale Transformation an der FHNW Hochschule für Wirtschaft in Olten leitet.
Skandinavien als Vorbild
Als Vorbild nannte Peter Skandinavien. Dort werden Banken und kritische Infrastrukturen verpflichtet, Informationen über Angriffe mit anderen Organisationen zu teilen, das nenne man „Shared threat intelligence“. Geteilt werden die anonymisierten Angriffsmetadaten. Dreamlab habe in den vergangenen drei Jahren mit der EU an einem Projekt gearbeitet, „das die Idee hat, dass jedes Konsumentenprodukt, das jemals in der EU zugelassen werden darf, einen solchen Shared Threat Sensor hat, das heißt jeder Kühlschrank, jede Kaffeemaschine, die ans Internet angeschlossen wird, warnt alle anderen, wenn sie merkt, dass sie angegriffen wird“. Das eröffne Fragen wie „Trauen wir dem Staat? Braucht der Staat Kontrollorgane? Das sind neue Themen, die wir noch nicht einmal begonnen haben zu diskutieren“, sieht Peter noch viel zu tun.
EU-einheitliche Lösung
Eine EU-einheitliche Lösung wäre sinnvoll. Es gebe erste Gespräche und Ideen. „Eigentlich sollten an den EU-Grenzen dort, wo die Unterseekabel ins EU-Territorium kommen, diese Sensoren vorhanden sein, um schon mal die schlimmsten Angriffe abzufangen“, wobei hier wieder die Abwägung Sicherheit versus Überwachung zum Tragen komme. Eine Cyber-Neutralität gebe es ja nicht? „Wir stellen uns seit Jahren die Frage, weshalb keine Nation in Europa oder auf dieser Welt sich so positioniert, um Cyber-Frieden, Cyber-Neutralität zu gewähren, nicht nur, um Bürgerinnen und Bürger zu schützen, sondern auch, um als Wirtschaftsstandort attraktiv zu sein“, so Peter. Denn wenn „Österreich beispielsweise diese Cyber-Sicherheit bietet und dann noch mit einem attraktiven Steuersatz, ja, dann sind die Spielregeln neu gesetzt“, fand Peter den Begriff der „Cyber-Festung“ passend, von der man aber noch weit weg sei.