http://www.faz.net/-gqe-9fyhm

FAZ Plus Artikel Siemens wehrt Hacker ab : Hausdetektive gegen Cyberkriminelle

Natalia Oropeza ist Chief Information Security Officer von Siemens. Bild: Jan Roeder

Rund 1000 Hackerangriffe verzeichnet der Siemens-Konzern im Monat. Deshalb sucht das Unternehmen nach Schwachstellen in eigenen Systemen und verkauften Produkten. Ein Besuch im Hacker-Labor.

          Anton Ebertzeder hat eine Platine unter die Lupe genommen. In Engelsgeduld friemelt er mit einem Ministift Epoxidharz von den verlöteten Stellen ab, der die sensiblen Elemente auf dem 10 mal 8 Zentimeter großen Plättchen eigentlich vor Feuchtigkeit schützen soll.

          Rüdiger Köhn

          Wirtschaftskorrespondent mit Sitz in München.

          Neben der großen Profi-Lupe wartet ein hauchdünner Draht auf den Einsatz. Sind die Lötstellen freigelegt, beginnt die eigentliche Arbeit: Mit dem Drähtchen versucht der Informatiker, Schwachstellen auf der Platine auszumachen. Wo könnten Lecks sein, um Daten abzuziehen? Wo sind Einfallstore, über die Hacker Systeme kontern könnten? Um Ebertzeder herum sitzen weitere Kollegen, die ebenfalls mit Werkzeugen Hardware bearbeiten.

          Vom „Darkroom“ jedenfalls gibt es keine Spur. Einen hermetisch abgeschlossenen dunklen Raum, in dem IT-Experten und Nerds vor einer riesigen mit Bildschirmen tapezierten Wand hektisch auf Tastaturen herumkloppen, muss man im Hacker-Labor von Siemens, draußen in München-Neuperlach, lange suchen. Der Raum hat sogar Fenster.

          Sich selbst hacken, um nicht gehackt zu werden

          Experten sitzen vor ihrem Computer, laufen herum, besprechen sich – Lounge-Ecken mit modernen Sitzmöbeln wie sie in Start-ups heute üblich sind, gibt es hier allerdings auch nicht. Die ungemütliche, und auf den ersten Blick unordentlich wirkende Werkstatt mit allen möglichen Geräten und Hardware-Teilen befindet sich in einem Sicherheitsbereich, verbunden über ein großes Fenster mit dem Nachbarraum.

          Dort werden Chips ausgelötet. Auf ihnen befindet sich Software, die elementar dafür ist, dass IT-Systeme aller Art funktionieren; sei es in der Produktion oder in Hochleistungsrechnern. Anton Ebertzeder will die Software auf den Chips knacken. Nur so erkennt er die Schwachstellen. Derlei Platinen sind für Cyberkriminelle – „Black Hats“ – wie sie im Fachjargon genannt werden, willkommene Beute. Denn die Komponenten, die zu einem Rechnersystem zusammengestellt werden, sind käuflich zu erwerben und bieten damit ein Quell für Ideen, wie man Systeme angreifen kann.

          „Wir versuchen die Prozesse abzubilden, wie ein Hacker arbeitet“, sagt Sven Lehmberg. Er ist Leiter des Hacker-Teams. „Es gehört zur Vorarbeit, herauszufinden, was besonders schützenswert ist, was weniger.“ Und da geht es nicht ohne Handwerk.

          Lehmberg steht unmittelbar einem Team von 25 Mitarbeitern in Deutschland vor. Etwa 150 „Laboranten“ bilden um die Welt verteilt ein Netzwerk von Hacker-Detektiven, die Fehlerquellen aufspüren; in Amerika, China, Indien, Portugal, Rumänen, in der Türkei. Insgesamt setzt der Konzern 1100 Mitarbeiter im Kampf gegen die Cyberkriminalität auf unterschiedlichen Ebenen ein.

          Siemens verzeichnet 1000 Attacken im Monat

          Lehmbergs Mannschaft greift in den Maßnahmen im Kampf gegen Cyberkriminelle schon im frühen Stadium ein. Als Präventivgruppe arbeitet sie während der Entwicklung mit den entsprechenden Abteilungen zusammen. Schon wenn neue Produkte etwa für die Automatisierung und die Steuerung von Produktionsanlagen entstehen, sollen sie Schutzmechanismen entwerfen und einbauen.

          Dieser Schutz ist freilich ein Ergebnis akribischer Forschungs- und Ermittlungsarbeit. Es gibt zudem Expertenteams im Unternehmen, die im akuten Kampf gegen Cyberkriminelle eingreifen. Es muss aufgerüstet werden: Denn rund 1000 Attacken zählt Siemens allein im eigenen Unternehmen im Monat; Attacken auf Kunden gar nicht mitgezählt.

          Je höher die Automatisierung desto größer die Einfallstore

          Ebertzeder arbeitet als Hacker im Auftrag seines Arbeitgebers. Er ist ein „Guter“, wie Lehmberg sagt. Deshalb werden solche Menschen in Abgrenzung zu den „Bösen“ weitläufig „White Hats“ genannt. Es geht gar nicht anders, als proaktiv den Kampf aufzunehmen. Rund um die Welt gewinnt der Cyberkrieg an Intensität, nimmt das Wettrüsten zwischen den „Black Hats“ und den „White Hats“ zu. „Je höher der Automatisierungsgrad in der Industrie ist, umso größer werden die Einfallstore“, sagt Lehmberg. „Die Dynamik der Hacker-Attacken gewinnt exponentiell an Tempo.“

          Die Angreifer wollen Patente stehlen und geistiges Eigentum, dahinter stehen nicht selten Söldnergruppen, die im Auftrag von staatlichen Organisationen oder anderen, konkurrierenden Unternehmen handeln. Es gibt Sabotage, um Produktionsanlagen, die Stromversorgung oder Telekommunikation zu behindern oder stillzulegen.

          Viele Cyberkriminelle lieben es, etwa mit infizierten Dateienanhängen die Computer ihrer Opfer zu kapern oder Rechner mit Daten-Tsunamis zu überschwemmen (DDoS-Angriffe), um Geld zu erpressen. Ständig werden aufs Neue Regierungsstellen, Institutionen und Unternehmen unter Beschuss genommen. Eine der bislang schwersten Attacken dürfte das Schadprogramm Wannacry gewesen sein, das im Frühjahr 2017 rund 230.000 Computer in 150 Ländern lahmgelegt hatte.

          Erste Aufgabe ist die Risikoabschätzung

          Gern wird in der Cyberbranche das Bild mit der Burg aus dem Mittelalter gewählt. Ist die Brücke über dem Graben nicht hochgezogen, werden die Eroberer mit dem offenen Einfallstor geradezu zur Attacke eingeladen. Ansonsten nehmen die Feinde sie ständig unter Beschuss, um Löcher in die Mauer zu schlagen. Der Unterschied zum Zeitalter der Digitalisierung und Informationstechnik: „Aus einer Burgmauer klopft man einzelne Steine heraus, in der IT bricht gleich das ganze System zusammen“, warnt Lehmberg vor den Folgen von Cyberattacken.

          Auch eine Burg kann dünnere Mauerteile haben, wonach die Angreifer suchen. So geht es auch den Hacker-Forschern, die dünnhäutige Systeme aufspüren – indem sie zum Beispiel mit dem Auseinandernehmen einer Platine beginnen. Das Bild mit der Burg stimmt insofern, als dass man sich auf Kerne konzentrieren muss.

          Burgmauer und -graben zogen sich um die Gemächer von Fürsten und Königen, während das nahe liegende Dorf oder das Fürstentum weitgehend ungeschützt blieb. Im Hacker-Labor geht es ständig um die Frage, was besonders schützenswert ist. Denn eine allumfassende Absicherung kann es wegen fehlender Kapazitäten nicht geben. „Risikoabschätzung und das Erstellen von Risikoprofilen spielt eine große Rolle, bevor wir ein Problem angehen“, sagt Lehmberg.

          KI spielt bisher kaum eine Rolle

          Um Kapazitäten für die wirklich großen Probleme zu bekommen, hat Siemens in den vergangenen zwei Jahren begonnen, mit Standardprozessen über eine Art Prüfstand Schwachstellen auszumachen. Nach bestimmten Mustern werden bestehende Systeme unter Beschuss genommen, um Lücken zu finden.

          „Fuzzing“ nennt sich das. Die Suche nach dem Fussel (englisch: Fuzz) kostet viel Zeit. „Mit der automatisierten Bekämpfung bekommen die Hacker-Detektive mehr Zeit für die schwierigen Fälle und Kapazitäten für die wahren Probleme“, sagt Lehmberg. Er hat die Abteilung vor 15 Jahren maßgeblich mit aufgebaut und er ist über die entlastende Prüfstandsarbeit sichtlich erleichtert.

          Noch weit entfernt ist die automatische Detektei von dem Einsatz Künstlicher Intelligenz, die in Zukunft einmal in der Cybersicherheit eine wichtige Rolle spielen dürfte. Sie lernt aus Prozessen und könnte viele Angriffsszenarien antizipieren. Lehmberg ist noch etwas skeptisch, da KI nur sehr fokussiert auf bestimmte Themen setze und nicht den breiten Blick habe. Er vermutet aber auch, dass die Hacker genauso KI einsetzen werden.

          Mit Vernetzung die Schlagkraft erhöhen

          Verstärkung erhofft sich Siemens im Abwehrkampf durch eine neue Struktur mit einem möglichst ganzheitlichen System der Cybersicherheit. Sie ist am 1. Oktober in Kraft getreten. Durch die enge Vernetzung der verschiedenen im Konzern existierenden Abwehrsysteme soll die Schlagkraft zunehmen.

          Es ist die erste große Aufgabe von Natalia Oropeza gewesen, die seit Jahresanfang zur Cybersicherheitschefin bei Siemens geworden ist. Als Chief Cyber Security Officer (CCSO) hat sie in Projektgruppen in wenigen Monaten bereichsübergreifende Mechanismen und Vorgehensweisen entwickelt. Gehe es um Cybersicherheit, sagt sie, verbiete sich Silo-Denken. Es dürfe kein Unterschied mehr gemacht werden zwischen Produktsicherheit und Schutz vor Hacker-Attacken auf Unternehmen.

          Mit Vernetzung die Schlagkraft erhöhen; das gilt auch für Lehmbergs Team, der nicht nur auf angestrebte engere Verbindungen im Unternehmen setzt. „Unsere Arbeit lebt stark vom Erfahrungsaustausch mit Externen, sei es an Universitäten, mit Forschungsinstituten oder auf Konferenzen – und wenn es der Chaos Computer Club oder Black-Hat-Konferenzen in Amerika sind.“

          Mit dem Internet der Dinge seien die Technologien so vielfältig und komplex geworden, dass man ohne externes Fachwissen nicht mehr auskommen könne. Kooperationen seien entscheidend, um Netzwerke zu bilden. Für beide, für den Laborchef wie für Oropeza, gilt das Motto: Nur gemeinsam ist man stark. Bündnisfähigkeit im Kampf gegen Hacker ist unabdingbar. „Es ist wie ein Wettlauf, wer ist zuerst im Ziel ist – um dann zu sehen, dass ein neues Rennen längst begonnen hat“, sagt Lehmberg.

          Frankfurter Allgemeine Zeitung

          Die digitale F.A.Z.

          Zur kompletten Ausgabe

          Jetzt mit F+ lesen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.