Was die Industrie vom Bundesleak lernen muss

„Mega-Hack auf Politiker-Daten“, „LKA erstellt Gefährdungsanalyse“: So titelten deutsche Topmedien zum Jahresbeginn. Ein Laie hatte private Daten von Politikern und Prominenten gestohlen und diese veröffentlicht. Eine Lappalie – im Vergleich zu dem, was ein professioneller IT-Angriff auf die Industrie bewirken könnte. Experten fordern zum Handeln auf.

Es war eine Nachricht, wie sie Medienmacher lieben. Aus politischem Verdruss oder schlicht aus Geltungssucht stiehlt ein 20-jähriger Schüler private Daten von Politikern und Prominenten und veröffentlicht sie. Inklusive Telefonnummern, Chat-Protokollen und Fotos. Wirklich brisante Informationen sind nicht darunter, dennoch reagieren die Betroffenen hysterisch. Dabei ist ihre Machtlosigkeit größtenteils selbst verschuldet, wie Medienrecherchen inzwischen ergeben haben. In vielen Fällen beispielsweise waren die Accounts der Betroffenen kaum geschützt, einige Informationen gar frei zugänglich.

Cybersecurity wird noch völlig unterschätzt

Der Vorfall lasse erahnen, was noch alles möglich ist, wenn professionelle Kriminelle oder staatliche Hacker ein System aushebeln oder Daten sammeln, sagt Michael Waidner. Der Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie unterstreicht, dass Hacker noch viel kompromittierendere Datensätze zusammenstellen und vor allem kritische Infrastrukturen angreifen könnten.

Industrie als Angriffsziel Nummer eins

Eben diese kritischen Infrastrukturen werden längst nicht nur von Regierungen betrieben. Mit der zunehmenden digitalen Vernetzung in den Fabriken stehen verstärkt Industrieunternehmen im Schussfeld – und zwar weltweit. Damit die Anlagenverbünde untereinander kommunizieren können, sind sie mit dem Internet of Things verbunden. Und damit potenziell von außen angreifbar.

„Wir reden hier nicht nur von Datenklau“, sagt Dr. Alexander Horch, Entwicklungsleiter von HIMA, dem weltweit führenden Anbieter von Sicherheitstechnologie für die Industrie. „Natürlich sind Kriminelle daran interessiert, beispielsweise Konstruktionszeichnungen von Maschinen oder Rezepturen von Medikamenten zu stehlen und weiterzuverkaufen. Weitaus gefährlicher ist es aber, wenn sie sich Zugriff auf die Prozessleitsysteme verschaffen.“ Hat das attackierte Unternehmen die Cybersecurity vernachlässigt, kann der Angreifer dann nämlich die komplette Fabrik unter seine Kontrolle bringen.

„Wir reden hier nicht nur von Datenklau. Weitaus gefährlicher ist es, wenn sich Kriminelle Zugriff auf Prozessleitsysteme verschaffen.“
Dr. Alexander Horch,
Entwicklungsleiter, HIMA Paul Hildebrandt GmbH

Gefahren für Wirtschaft, Umwelt und Menschen

Schon 2010 offenbarte der Computerwurm Stuxnet, wozu gut finanzierte, hochgradig individuelle Cyberattacken fähig sind. Unbekannte sabotierten mit dem Schadprogramm eine Uran-Anreicherungsanlage im Iran. In einem Interview mit der Zeit ging der renommierte Cyberwar-Experte Sandro Gaycken vor zwei Jahren davon aus, dass es sich bei Stuxnet lediglich um einen „Test für künftige Sabotageakte in Industrieanlagen“ handeln dürfte – unter anderem auf Infrastrukturen wie Strom, Wasser und Gas.

Tatsächlich wurde beispielsweise das amerikanische Wasserversorgungssystem in den letzten Monaten immer wieder zum Opfer von Cyberattacken. Die Angreifer übernahmen die Kontrolle über Prozessleitsysteme und manipulierten so unter anderem das Mischverhältnis chemischer Zusätze für die Wasseraufbereitung.

Die meiste Technik hält nicht Schritt

Nur ein Fall von vielen, und zumeist ist das Problem das gleiche: veraltete Technik. Im Gegensatz zu Bürocomputern, die alle paar Jahre durch neue ersetzt werden, seien Industrieanlagen oder Roboter sehr viel länger im Einsatz, sagt Gordon Mühl, Vice President Industrie 4.0 beim globalen IT-Anbieter Infosys. Entsprechend veraltet seien die sogenannten Bus-Systeme, mit denen die Maschinen Daten übermitteln. Bei ihrer Entwicklung sei nicht an das Internet gedacht worden und daran, dass man auch Maßnahmen zur Datensicherheit brauche.

Müssen Anlagenbetreiber jetzt also komplett neue Technologien einführen? Können sie das Internet of Things überhaupt nutzen, ohne sich unkalkulierbaren Risiken auszusetzen? Die Fragen sind vielfältig, die Antworten rar. Experten wie Sandro Gaycken sind daher heute noch gefragter als zu Stuxnet-Zeiten. Für ihn steht fest: Wer kritische Infrastrukturen vor Cyberangriffen schützen wolle, müsse so viele Systeme wie möglich vom Internet entkoppeln und separieren, sagte er gegenüber FAZ.net.

Sind integrierte Systeme noch tragbar?

Die Ingenieure bei HIMA verfolgen diesen Ansatz bereits seit Jahren. Das Unternehmen entwickelt Sicherheitssteuerungen für Industrieanlagen im digitalen Zeitalter. Dabei setzt HIMA auf eine strikte physikalische Trennung der eigenen Geräte von den Prozessleitsystemen. Die internationalen Normen für funktionale Sicherheit und Cybersecurity – IEC 61511 und IEC 62443 – fordern diese Trennung längst vehement. „Viele Unternehmen verwenden allerdings noch immer integrierte Systeme. Weil ihnen eine Umrüstung überflüssig erscheint oder weil sie glauben, Kosten zu sparen“, sagt Entwicklungsleiter Horch. Das Risiko dabei: Hat ein Angreifer einmal das Prozessleitsystem infiltriert, kann er auch die Sicherheitssteuerung aushebeln. Die potenziellen Schäden sind nicht zu beziffern. „Integrierte Systeme sind daher inzwischen eigentlich nicht mehr zu verantworten“, so Horch.

„Die potenziellen Schäden [einer erfolgreichen Attacke] sind nicht zu beziffern.“
Dr. Alexander Horch,
Entwicklungsleiter, HIMA Paul Hildebrandt GmbH

Das Bewusstsein ist geschärft

Natürlich spielen professionell koordinierte, bestens finanzierte Hacks von Industrieunternehmen in einer völlig anderen Liga als der jüngste „Bundesleak“. Für die breite Öffentlichkeit sind die privaten Details der Promis aber eben deutlich spannender. Immerhin wurde Cybersecurity dank des Vorfalls für eine Weile zum Gesprächsthema Nummer eins in Deutschland und auch international wichtig. Bleibt zu hoffen, dass der Ruf nach mehr Sicherheit vor allem in der Industrie gehört wird.

Denn sonst, so Gaycken, könne „alles Mögliche drohen.“