Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Wir sprachen mit CEO Andreas Marx über Sicherheitsaspekte bei Cloud-Nutzung.
- Warum ist Cloud Security ein besonderer Fokus für AV-TEST?
Das Arbeiten mit Cloud-gestützten Anwendungen und Diensten ist sowohl im Berufs- als auch Privatleben längst Alltag. Für Firmen bedeutet das Auslagern von Daten sinkende Betriebskosten sowie orts-, zeit- und geräteunabhängigen Zugriff ihrer Mitarbeiter. Für Privatanwender, gerade wenn sie mit Mobilgeräten unterwegs sind, gibt es per App quasi nur noch cloudbasierte Angebote, ob es sich etwa um den Austausch von Bildern, Chatten oder den Einkauf per Internet handelt. Tatsache ist aber auch, dass diese Entwicklung an Kriminellen nicht vorbei gegangen ist. Und so nimmt die Zahl der Angriffe auf Onlinekonten, ob über Hacks, Phishing oder mit spezialisierten Schadprogrammen, ständig zu. Dementsprechend haben sich auch die Sicherheitsfunktionen von Schutzlösungen weiter entwickelt, mache besser, andere weniger gut. Als IT-Sicherheitsinstitut ist es unsere Aufgabe, über Tests Schwächen cloudbasierter Produkte aufzudecken, Hersteller sowie Kunden zu informieren und damit an der Sicherheit dieser Produkte mitzuwirken. - Welche Gefahren sehen Sie, wenn die realen und virtuellen Welten immer weiter verschmelzen?
Generell bieten cloudbasierte Produkte und Dienstleistungen viele Vorteile, die unser Leben komfortabler sicherer gestalten können. Das reicht von der Kommunikation im Notfall, über den Abruf von Informationen, bis hin zur smarten Haussteuerung. Allerdings setze ich mich bei Nutzung dieser Angebote auch Risiken aus, die es in der analogen Welt entweder gar nicht oder in ganz anderem Umfang gibt. Ein Beispiel dafür sind etwa die Internetattacken der letzten Wochen: Millionen von Internetkameras führten DDoS-Attacken auf große Internetdienste wie Amazon, Netflix und Twitter und schossen deren Seiten teilweise aus dem Netz. Ausgeführt wurden die Angriffe über ein riesiges Botnetz, das die Rechenpower vernetzter Web-Cams ausnutze. Das Schadprogramm, das die Angriffe möglich machte, suchte nach Internetkameras, die ohne entsprechende Sicherheitseinstellungen online waren, und wurde millionenfach fündig. Natürlich wurden die Kameras von ihren Nutzern angeschafft, um ein Auge auf Haus und Hof zu werfen und so für Sicherheit zu sorgen. Doch ein spezialisiertes Schadprogramm missbrauchte die Überwachungskameras für großangelegte Online-Angriffe – und drehte den Spieß quasi um. Das zeigt zweierlei: Cloudbasierte Dienste sind anfällig für Angriffe aller Art und müssen darum möglichst gut geschützt werden. Und: Bei der Vernetzung vieler Geräte unseres täglichen Lebens steht die Sicherheit meist kaum im Fokus. Auch hier sollten Hersteller und Nutzer sich der Gefahr bewusst sein. - Was müssen wir tun, um uns gegen diese Gefahren zu wappnen?
Hersteller sollten überlegen, ob ein Produkt ohne entsprechende Sicherheitseinstellungen marktreif ist. Wie das Beispiel des Kamera-Botnetzes zeigt, kann quasi jedes vernetzte Gerät für Angriffe missbraucht werden. „Security by Design“ sollte keine Besonderheit sondern eine Selbstverständlichkeit werden. Als Nutzer solcher Geräte muss ich wissen, dass eine Internetverbindung keine Einbahnstraße ist. Der Datenaustausch funktioniert in beide Richtungen und muss entsprechend geschützt werden. Zudem erzeugen solche Geräte und Dienste oft brisante Daten. Dafür, und das diese Daten gespeichert, getauscht und sogar verkauft werden können, müssen Nutzer ein Gefühl entwickeln. AV-TEST überprüft und zertifiziert neben Sicherheits-Software und -Apps auch regelmäßig SmartHome-Geräte und -Dienste. Die Ergebnisse dieser Tests und damit die Möglichkeit, die Sicherheit von Produkten entsprechend einzuschätzen, bieten wir Privatnutzern auf unserer Internetseite kostenlos. - Als unabhängiges Test-Institut haben Sie Erkenntnisse über die Effektivität von Lösungen. Wer gewinnt das Rennen? Haben die Schutzmechanismen die Cyberkriminellen überholt?
Tatsächlich ist es Katz-und-Maus-Spiel: Kriminelle finden ständig neue Sicherheitslecks in Anwendungen, über die es ihnen gelingt, Schadprogramme einzuschleusen. Die Hersteller, die neue Angriffe am schnellsten durchschauen und abwehren können, bieten den effektivsten Schutz. In unseren Labors prüfen wir Schutzprogramme darum mit aktueller Malware, die echte Angriffe auf unseren Testsystemen fährt. Solche Real-World-Tests sind technisch sehr anspruchsvoll und entsprechend aufwendig, doch so ist es uns möglich, die Schutzwirkung von Sicherheitsprodukten auf reelle Gefahren reproduzierbar auszuloten. Zu diesem Zweck betreiben wir auch die weltweit größte Forschungs-Datenbank für Schadprogramme. Auf unseren Servern speichern wir jede Sekunde fünf neue Schadprogramme, Tendenz stark steigend. Aktuell umfasst unsere Testdatenbank nahezu 600 Millionen Schadprogramme. - Würden Sie Ihre Gesundheitsdaten einem vernetzten Gerät anvertrauen?
Da stellt sich zuerst mal die Frage, ob ich das freiwillig tue, oder ob ich es gar nicht bemerke. Nutzer eines iPhones etwa, senden bestimmte Gesundheits- bzw. Fitness-Daten ohnehin schon an Apple, etwa über die Health-App. Für Android-Nutzer und damit Google-Kunden gilt übrigens dasselbe. Das Erfassen und Auswerten von Fitnesswerten hat ja immense Vorteile, wenn man etwas an den eigenen Lebensgewohnheiten ändern möchte. Inwieweit solche Werte auf den Server eines Onlinedienstes gehören, muss jeder für sich selbst entscheiden. Doch auch hier gilt: Nutzer sollten ein Gespür dafür entwickeln, dass ihre Daten in den falschen Händen irgendwann für sie zum Nachteil werden könne. Etwa, wenn Krankenkassen Beiträge aufgrund von Gesundheitsdaten individuell berechnen oder die Bank aufgrund schlechter Gesundheitswerte keinen Kredit mehr einräumen will. All das klingt vielleicht nach Science Fiction, doch das Sammeln von und Zusammenführen von Nutzerdaten aus ganz unterschiedlichen Quellen ist längst Realität. Unsere Tests von Fitness-Trackern zeigen, welche Vielzahl an Informationen solche Geräte bereits erfassen. Und nicht nur Versicherungen arbeiten längst an Modellen, um solche Daten in die Kalkulation ihrer Tarife einzubinden. Sonst würde es sich für solche Unternehmen kaum lohnen, Geräte dieser Art zu bezuschussen.