Virtuelle Welt, reale Gefahr
Gezielte Cyberattacken auf Staaten oder Unternehmen, ein kritisches Leck bei der SwissPass-Datenbank der SBB, Datendiebstahl beim Internationalen Roten Kreuz in Genf – solche Beispiele verdeutlichen: Die Risiken im virtuellen Raum sind vielschichtig. Und die Frage, wie man die digitale Welt sicherer gestalten könnte, ist ein gesellschaftlich brisantes Thema, das Forschende an der ETH Zürich beschäftigt – in ganz verschiedener Hinsicht.
Gerade das Internet, das im Alltag scheinbar zuverlässig funktioniert und die Welt in nie dagewesener Weise verbindet, ist heute einer der grössten Risikofaktoren. Kritisch ist nicht nur, dass es böswillige Akteure mit unschuldigen Nutzern verbindet und Konflikte über grosse Distanzen begünstigt; das Netz selbst führt aufgrund seiner veralteten Konstruktion täglich zu gravierenden Problemen.
Sicher, sparsam, schnell
Die vielen Mängel des heutigen Internets sind hinlänglich bekannt. Doch lassen sie sich noch beheben? «Ja», ist Adrian Perrig überzeugt. Der Professor für Netzwerksicherheit hat ein durchdachtes Konzept erarbeitet, wie man das Internet bei laufendem Betrieb konsequent auf Sicherheit ausrichten könnte. «Scalability, control, and isolation on next-generation networks» nennt sich sein Ansatz, oder eleganter ausgedrückt: «Scion». Kernstück ist die Idee, das Internet in separierte Zonen aufzuteilen und Datenpakete über vordefinierte Bahnen zu verschicken. So lässt sich verhindern, dass Informationen über missliebige Zwischenstationen in falsche Hände gelangen.
Zahlreiche Menschen arbeiten inzwischen daran, Perrigs Konzept in die Realität umzusetzen. Unterstützt wird er unter anderem von seinen Kollegen Peter Müller und David Basin, die als ETH-Professoren mit ihren Gruppen Scion verifizieren und den Programmcode überprüfen. Dabei kann Perrig bemerkenswerte Erfolge vorweisen: So hat die Schweizerische Nationalbank im letzten Herbst zusammen mit der SIX-Gruppe, mit dem ETH Spin-off Anapaya und weiteren Partnern das «Secure Swiss Finance Network» lanciert, das auf der Scion-Technologie basiert. Und das Eidgenössische Departement für auswärtige Angelegenheiten nutzt Scion-Verbindungen, um mit Botschaften zu kommunizieren.
Scion, so erklärt Perrig, biete nicht nur mehr Sicherheit, sondern sei auch schneller und energieeffizienter. Denn für die Datenübertragung stehen mit dem neuen Ansatz mehr Wege offen als bisher, sodass die Infrastruktur optimaler genutzt wird. Und weil vorbestimmt werden kann, über welchen Pfad Daten übermittelt werden, lässt sich gezielt die Variante mit den geringsten CO₂ -Emissionen wählen.
Sicherer, schneller, umweltfreundlicher – eigentlich sollte eine solche Vision zum Selbstläufer werden. Doch in der Praxis, so musste der Pionier mit Erstaunen realisieren, verläuft die Umsetzung zäher als erwartet. Natürlich haben es völlig neue Ansätze oft schwer, sich zu etablieren; doch in diesem Fall liegt es auch an den vielen wechselseitigen Abhängigkeiten im Markt. Wenn kein Internet-Provider die Scion-Technologie anbietet, gibt es keine Kunden, die sie nutzen. Und deshalb gibt es keinen Bedarf, die Protokolle zu standardisieren. Und das wiederum lässt die Provider zögern, in diese Technologie zu investieren.
Doch Perrigs Beharrlichkeit zeigt nun Wirkung. Inzwischen bieten mehrere Anbieter einen Scion Internet Service an, unter anderem auch die Schweizer Telekom-Firmen Swisscom, Sunrise, und Switch. Auch in anderen Ländern beginnen sich Anbieter für den neuen Ansatz zu interessieren. Perrig ist zuversichtlich: «Scion ist die erste Inter-Domain-Routing-Infrastruktur, die seit dem Border Gateway Protocol vor über 30 Jahren in der Praxis eingesetzt wird.» Dass es mittelfristig eine neue Internet-Architektur braucht, steht für ihn ausser Frage. «Das heutige Internet ist einfach viel zu unsicher und ineffizient, wenn man bedenkt, welche kritischen Systeme davon abhängen.»
Klein und fragil
Doch nicht nur die Vernetzung der Computer führt zu Risiken, auch in den Computern selbst schlummern gefährliche Schwachstellen. Die Chips werden immer komplexer und die Transistoren und Kondensatoren auf ihnen immer kleiner, so dass sie anfälliger für spezielle Angriffe werden. Mit sogenannten Seitenkanal- und Rowhammer-Attacken ist es zum Beispiel möglich, die Integrität von Daten in dynamischen Datenspeichern von Computern, Tablets und Smartphones zu kompromittieren. Das Angriffsprinzip ist zwar bereits seit längerem bekannt. Doch die bisherigen Gegenmassnahmen der Chip-Hersteller bieten noch keinen ausreichenden Schutz, wie Kaveh Razavi, Assistenzprofessor für Systemsicherheit, kürzlich zeigen konnte.
Brisant ist dies, weil Schwachstellen in der Hardware viel schwieriger zu beheben sind als Software-Fehler. Im Moment sind solche Attacken zwar noch kein grosses Problem, weil es für Angreifer einfachere Wege gibt, sich in fremde Computer einzuschleusen. Doch je besser der Schutzwall wird, desto attraktiver werden sie.
In seiner Forschung untersucht Razavi die Sicherheit des gesamten Rechnersystems unter Berücksichtigung von Software und Hardware. Für seine Projekte arbeitet er mit diversen grossen Chipherstellern zusammen. «Bei gewissen Projekten gehen wir tief in das System hinein und entwickeln neue Ansätze für das Chipsdesign. Bei anderen Projekten untersuchen wir, wie sich Programme auf die Hardware auswirken.»
Grundsätzlich wollen zwar alle Beteiligten mehr Sicherheit. Dennoch stellt dieses Ziel die Computerhersteller vor ein Dilemma. Denn nur wenige Konsumentinnen und Konsumenten sind bereit, für etwas zusätzliche Sicherheit mehr zu bezahlen oder auf Leistung zu verzichten. Auch Razavi steht vor einem Dilemma: Als Wissenschaftler möchte er neue Erkenntnisse möglichst schnell publizieren. Gleichzeitig haben die Industriepartner daran wenig Interesse. «Wir halten uns an das Prinzip der verantwortungsvollen Offenlegung», erklärt er. «Bevor wir etwas veröffentlichen, geben wir den Firmen Zeit, Gegenmassnahmen zu ergreifen.» Zudem holt sich Razavi Rückendeckung bei den Bundesbehörden. Die erwähnte Schwachstelle in den dynamischen Speichern hat er zusammen mit dem Nationalen Zentrum für Cybersicherheit veröffentlicht, das seit letztem September als Zulassungsbehörde kritische Schwachstellen registrieren lassen kann.
Doch technische Massnahmen alleine reichen nicht aus, um die digitale Welt sicherer zu machen, hält Razavi fest. «Es braucht auch Anstrengungen auf der politischen Ebene. Wie wir beispielsweise Daten austauschen und wer welche Zugriffsrechte hat, ist eine politische Frage, die wir Ingenieure nicht beantworten können.»
Neutral und transparent
Mit der politischen Ebene befasst sich Jakob Bund, Projektleiter für Cyberdefense im Risk and Resilience Team am Center for Security Studies der ETH Zürich. Er untersucht in diesem Projekt, wie sich Staaten und Organisationen gegen Risiken im Cyberraum schützen. «Wir vermitteln den politischen Entscheidungsträgern wissenschaftlich fundierte Grundlagen zu diesem Thema», erklärt er. Jakob Bund steht dazu regelmässig mit dem Verteidigungsdepartement und der Führungsunterstützungsbasis der Armee im Austausch, die bis 2024 in das Schweizer Kommando Cyber weiterentwickelt wird.
Als Politikwissenschaftler geht es ihm darum, die technologischen Risiken in den politischen Kontext einzuordnen. «Wir haben die Effekte im Blick», erklärt Bund. «Wie werden Technologien eingesetzt? Was kann man mit ihnen erreichen? Worin unterscheiden sie sich von konventionellen Mitteln?»
Staaten tragen ihre Konflikte heute auf ganz verschiedenen Ebenen im virtuellen Raum aus. Sie verbreiten falsche Informationen in sozialen Netzwerken, beschaffen sich über Cyberspionage geheime Informationen oder beschädigen beim Gegner gezielt kritische Infrastrukturen. Um die einzelnen Vorgänge richtig zu verstehen, müsse man immer die strategische Ebene im Blick behalten, meint Bund: Was wollen die Akteure erreichen? Worauf zielen ihre Aktivitäten ab?
Inzwischen gibt es in Fachkreisen eine rege Diskussion darüber, wie man im virtuellen Raum Regeln für Staaten etablieren könnte. «Das ist ein anspruchsvoller Prozess», meint Bund. «Man muss nicht nur definieren, was verantwortungsvolles Verhalten im virtuellen Raum für einen Staat konkret bedeutet, sondern man muss sich auch überlegen, wie man diese Normen später durchsetzen will.»
Wie raffiniert Staaten im virtuellen Raum gegeneinander vorgehen, verdeutlichte exemplarisch die Aufarbeitung der US-Wahlen im Jahr 2016. «Dass die Zentralen der beiden Parteien ausspioniert wurden, war an sich nicht überraschend», meint Bund. «Doch wie die gewonnenen Informationen für Wahlkampfzwecke eingesetzt wurden, war in dieser Form neu.» Das Beispiel zeigt, dass Staaten heute über völlig neue Möglichkeiten verfügen, sich in die Vorgänge in einem anderen Land einzumischen. In Europa werde das Thema tendenziell noch unterschätzt, findet Bund. «Das liegt vermutlich daran, dass hier die Einflussnahme anspruchsvoller ist, weil es ein breiteres Spektrum an Parteien gibt.»
Ein für die Schweiz interessanter Aspekt ist das Neutralitätsrecht. Dieses wurde mit dem Aufkommen neuer Technologien – etwa Telegrafie oder Rundfunk – immer wieder angepasst. Nun stellt sich die Frage, inwieweit der Neutralitätsbegriff auf den Cyberraum ausgedehnt werden kann. «Wir haben einen weltumspannenden virtuellen Raum, in dem es zahlreiche Konfliktlinien gibt», stellt Bund fest. «Doch dieser virtuelle Raum ist an Infrastrukturen in der realen Welt gebunden. «Unter welchen Umständen diese digitalen Verflechtungen auch entfernte unbeteiligte Staaten einbeziehen könnten, muss sich auch die Schweiz überlegen.»
Bedeutsam ist diese Diskussion für die Schweiz noch aus einem anderen Grund: Inwieweit hat sie eine Schutzverantwortung für die hier ansässigen internationalen Organisationen? «Für die Cyberspionage sind diese Organisationen ein attraktives Ziel», erklärt Bund. «Und damit gelangt auch die Schweiz schneller ins Visier solcher Aktivitäten.» Deshalb sei es wichtig zu erfahren, wie sich andere Länder vor Cyberrisiken schützen. «Als unabhängige Wissenschaftlerinnen und Wissenschaftler können wir zu diesem Wissensaustausch einen wichtigen Beitrag leisten.»