Verzeichnis der Veranstaltungen
Cyberkriminelle brechen in Firmennetze ein
Harald SchugtHarald SchugtCybersicherheit für Industriesysteme
Wer glaubt, dass Firmen, Geldinstitute oder Behörden genug für die Sicherheit ihrer IT-Systeme tun, musste beim Vortrag von Harald Schugt schnell erkennen, dass ein beruhigende Gefühl nur dann gelten kann, wenn die Unternehmen diese Aufgabe sehr ernst nehmen. Der romantische Blick auf den talentierten Pennäler, der in seiner Freizeit den finsteren Hacker spielt, darf man getrost eintauschen gegen ein ungläubiges Entsetzen über die geradezu industrielle Professionalität heutiger Internetkrimineller.
Die Schutzmechanismen privater PC-Anwender wie Firewall und Virenscanner reichen bei weitem für Firmennetze nicht aus. Wenn wir heute vom Internet der Dinge reden, diese neue Welt mit Industrie 4.0 bezeichnen, bedeutet das nichts anderes, als eine totale Vernetzung aller technischen Geräte und Systeme. Die gewaltigen Vorteile einer Steuerbarkeit aller Komponenten geht dann natürlich einher mit einer ebenso gewaltigen Angreifbarkeit mittels Schadsoftware. Schon die Technik heutiger Anlagen ist aber bereits so sehr auf Kommunikation und Steuerbarkeit ausgelegt, dass auch diese mit wenig Aufwand geknackt werden können.
Schugt überraschte die Zuhörer mit einigen frappierenden Beispielen. Die Stadtwerke Ettlingen ließen ein Hackerteam auf ihre Anlagen los, mit der Aufgabe, in interne Datennetze einzudringen, was tatsächlich gelang und jüngst in einer Fernsehdokumentation zu sehen war. Als Ergebnis dieser freundlichen Attacke gab es viel zu tun!
In einem Versuch eines amerikanischen Forschungslabors gelang es einem Software-Entwickler, der keinerlei Informationen zu einem Leittechniksystem hatte, durch schlichtes Abhören der Kommunikation in wenigen Wochen ein Programm zu schreiben, mit dem er Schalthandlungen an der Anlage durchführen konnte. Neben aller High-Tech sind natürlich auch äußerst simple Vorgehensweisen beim Einbruch in ein Firmensystem gang und gäbe. „Werfen Sie zehn mit Schadsoftware behaftete USB-Sticks auf einen Firmenparkplatz, Sie dürfen sicher sein, dass am nächsten Tag die Hälfte davon in Rechner des Unternehmens eingesteckt werden und ihr dunkles Werk beginnen“. Hilfreich bleiben hier nur sensible und informierte Mitarbeiter, die über Risiken und Angriffswege auf die Unternehmens-IT informiert und sensibilisiert sind. Auf ähnliche Weise wurde vermutlich auch der berühmte Virus Stuxnet in eine Urananreicherungsanlage im nahen Osten eingeschleust, mit der Folge einer Störung des Produktionsprozesses.
Im Internet werden heute Cyberattacken als Dienstleistung angeboten. Es bilden sich für komplexere Aufgaben „Arbeitsgemeinschaften“ krimineller Experten. Der Auftraggeber bekommt gegen entsprechende Bezahlung auch Garantie und Wartung. Es gibt im Internet Landkarten, auf denen alle offen angreifbaren Industriesteueranlagen zu sehen sind. Ein Klick genügt, und das Verderben nimmt seinen Lauf.
Ist die Lage hoffnungslos? Nein, IT-Experte Schugt ließ keinen Zweifel aufkommen. Überwinden Sie die selbstsicheren Aussagen aller Organisationen, etwa in dieser Art: Unsere Systeme sind physikalisch getrennt und deshalb unangreifbar; die Redundanz unserer Systeme schützt uns gegen Angreifer, Angreifer wollen Systeme zerstören, bei uns läuft doch alles; unsere Systeme fahren bei Störungen in einen sicheren Grundzustand; unsere Systeme sind so proprietär, dass sie draußen keiner kennt. Das ist alles falsch. Es gibt unzählige Beispiele dafür, dass keines dieser Argumente trägt.
Stellen Sie eine IT-Sicherheitsorganisation auf. Benennen Sie Verantwortliche, definieren Sie einen Security-Prozess, binden Sie Lieferanten und Systemintegratoren mit ein. Tun Sie das, was Burgherren im Mittelalter für richtig hielten, bauen Sie verschiedene Wälle um ihr IT-Herz. Verbannen Sie Smartphones aus Ihrem Betrieb und beachten Sie die einschlägigen, internationalen Standards. IT-Sicherheit ist vor allem auch ein Kulturwandel im Unternehmen. Harald Schugt ließ eine nachdenkliche Zuhörerschaft zurück.
