http://www.faz.net/-i2i-7uj3v
Verlagsspezial

: Wenn Hacker den Strom abstellen

  • -Aktualisiert am

Bild: Thinkstock

Angriffe gegen Versorgungseinrichtungen und kritische Infrastruktur gehören immer häufiger zum Instrumentarium von kriegsführenden Parteien, Terroristen und ordinären Erpressern. Oft sind die Ziele erschreckend einfach zu „knacken“.

          Knapp zwei Tage dauerte es, bis ein Hacker die Stadtwerke der südwestdeutschen Stadt Ettlingen übernehmen konnte. Der Mann hatte sich an allen IT-Security-Einrichtungen des Versorgungsbetriebes vorbei gemogelt und war so in der Lage, den 39000 Einwohnern der Stadt südlich von Karlsruhe mit ein paar Klicks Strom und Wasser abzudrehen.

          Die Auswirkungen kann sich jeder leicht ausmalen: kein Wasser mehr für Menschen, Tiere, Pflanzen und Maschinen; keine elektrische Energie für Computer, Telefone, Telekommunikationssysteme, Pumpen, Beleuchtung und private Elektrogeräte. Die Menschen von Ettlingen hatten Glück. Denn hier war kein böswilliger Angreifer am Werk, sondern der White-Hat-Hacker Felix Lindner. Der IT-Security-Spezialist hatte im Auftrag der Stadtwerke einen sogenannten „Penetration Test“ durchgeführt, um Schwachstellen in der Absicherung der lokalen Versorgungsnetzwerke offenzulegen.

          Infrastruktur im Visier

          Angriffe auf IT-Systeme sowie Steuerungs- und Kontrolleinrichtungen gelten längst nicht mehr nur Industriebetrieben, privatwirtschaftlichen Unternehmen und Banken. Vermehrt im Visier fremdstaatlich unterstützer Angreifer oder politisch motivierter ‚Hacktivisten’ stehen Kraftwerke und Wasserversorgungsysteme ebenso wie Messstationen, Verkehrsleitanlagen oder die Automatisierungssysteme in der Industrie.

          Offene Flanken

          Als Angriffsziele zunehmend „populärer“ werden offenbar auch Satellitenkommunikationssysteme, mit denen Geräte an abgelegenen Orten an ein Datennetz angebunden werden. Bekannte Beispiele sind Mess- und Steuerungssysteme in Energieerzeugungs- und Industrieanlagen, Ölförderanlagen und Pipeline-Systeme. Ein Großteil der hier eingesetzten VSAT-Terminals sind laut Expertenmeinung „offen wie ein Scheunentor“, also leichte Ziele für Cyberattacken.

          Aber auch bei Unternehmen und Einrichtungen, die Sicherheit sehr ernst nehmen, gibt es offene Flanken. „Es gibt Unternehmen, die – beispielhaft gesprochen – mit 80 verschiedenen Sicherheitsanwendungen von 35 unterschiedlichen Anbietern versuchen, ihre Mitarbeiter, Daten, Anwendungen und Infrastruktur vor kriminellen Cyberattacken zu schützen. Vom Antivirusprogramm bis zur Firewall ist zwar alles da, was aber wenig hilft, wenn die Abwehrkette nicht ineinandergreift“, konstatiert IBM in einem Papier, das zur diesjährigen Sicherheitsmesse IT-SA in Nürnberg erschienen ist.

          Blick nach innen

          Selbst bei bester ganzheitlicher und flexibler Sicherheitsarchitektur bleibt immer noch ein gewaltiger Risikoposten: die eigenen Mitarbeiter. Allen voran solche mit privilegiertem Zugriff auf die IT- und Sicherheitssysteme. Netzwerkadministratoren und Abteilungsleiter wissen, wo welche Informationen zu finden sind. Außerdem kennen sie die Schwachpunkte der Systeme und können so vorhandene Sicherheitsmaßnahmen umgehen.

          Wer kann, wer darf auf welche Daten zugreifen? Und wer überwacht die Bewacher? Das sind Kernfragen, die viele Unternehmen (noch) nicht eindeutig beantworten können. Woran es vielerorts fehlt, ist ein durchgängiges Identitäts- und Zugriffsmanagement. „Auch in der deutschen Wirtschaft ist es leider noch an der Tagesordnung, dass Ex-Mitarbeiter teils noch Jahre nach ihrem Ausscheiden Zugriff auf Passwörter und Unternehmensinformationen haben“, so die Erfahrung von Mišo Brus, Geschäftsführer bei Agito, zu dessen Kunden auch die größte Ölförderungsgesellschaft der Welt (Saudi Aramco) zählt. „Viel zu wenige Unternehmen setzen Identitätsmanagement konsequent ein. Im Jahr 2014 wirkt das geradezu fahrlässig, denn ein unberechtigter Zugriff kann katastrophale Folgen für das Geschäft eines Unternehmens haben“, so Brus.


          Allumfassende Sicherheit bleibt also eine Illusion. Ganz gleich, ob es um Industrieanlagen, Kraftwerke, Stromnetze, Wasserversorgung, öffentliche Verwaltungen, Unternehmensnetzwerke oder das smarte Zuhause geht. Aber es gibt auch eine gute Nachricht: Effektive Abwehr- und Schutzmaßnahmen, die auf Ganzheitlichkeit ausgerichtet sind, existieren bereits. Sie müssten bloß noch flächendeckend zum Einsatz kommen.

          Topmeldungen

          : Datenklau als Geschäftsfeld

          Ausspähungs- und Angriffsverfahren sind ein wachsendes Geschäftsfeld mit hoher Innovationskraft. Neue Schnüffel- und Schadprogramme kommen alle nasenlang in Umlauf und nisten sich in Unternehmensnetzwerken ebenso ein wie in den mobilen Endgeräten von Einzelpersonen.

          : Mitten im Minenfeld

          Keine Sicherheit, nirgends: Studien belegen den dramatischen Anstieg von Angriffen auf Unternehmen und Einrichtungen, auf ihre Daten, Mitarbeiter und Maschinen.

          : Ernstfall ist immer

          Immer mehr, immer raffiniertere Cyberangriffe auf geistiges und materielles Eigentum machen ein Umdenken nötig. Von punktuellem Schutz zu ganzheitlicher Sicherheitsstrategie, von Projekten zu flexiblen Programmen.

          : Vertrauen auf Wolken

          Für die einen ist es der Motor für Effizienz und die Pole Position im internationalen Wettbewerb, für andere unsicheres Teufelszeug: IT als Online-Service, besser bekannt als Cloud-Computing. Was Skeptiker gern übersehen, ist die Kläglichkeit ihrer eigenen Schutzmaßnahmen.