Computer, Netze und Nutzer sind oft allzu leichte Opfer für kriminelle Machenschaften. Ein Gastbeitrag des Fachjournalisten Joachim Jakobs. Im vergangenen Sommer wurden bei dem größten Ölförderer der Welt, Saudi Aramco, 30.000 Computer durch einen Computer-Schädling „komplett zerstört“. Angeblich mit Unterstützung schlecht bezahlter Zeitarbeitnehmer. Für die chemische Industrie sind drei Aspekte an dem Vorgang interessant:

1. Cyber-physische Systeme sind anfällig für Schadsoftware. Dabei können massive Schäden entstehen.
2. Bei derlei Angriffen muss keine Internet-Verbindung bestehen.
3. Die Beschäftigten können (unfreiwillig) zu Komplizen werden.

US-Amerikanische Wissenschaftler glauben, dass sich Mitarbeiter von „außen“ instrumentalisieren lassen – etwa  durch Manipulation, Bestechung oder Erpressung. Zur Kompromittierung könnten ideologische oder psychologische Neigungen genutzt werden. Als hilfreich könnten sich dabei detaillierte Profile von Entscheidern und anderen Zielpersonen erweisen. - Eine Erfahrung, die ein Mitarbeiter des Beratungsunternehmens Digital Bond machen musste: Er hatte eine Mail – scheinbar vom Chef – erhalten. In Wahrheit hat aber nur ein unbekannter Dritter dessen Absender und Namen missbraucht, um die Zielperson zum Öffnen eines mutmaßlich infizierten Dokuments zu verleiten. Das Unternehmen fragt sich nach dem Ziel des Angriffs. Schließlich tue man doch nichts anderes, als industrielle Steuerungen zu sichern. Wer wessen Mitarbeiter oder Freund ist oder über welche Interessen und Werdegang verfügt, läßt sich häufig mit Hilfe der „sozialen“ Netze rausbringen. Je vollständiger das Personenprofil, desto leichter ist die Zielperson aufs Kreuz zu legen. Diese Profile lassen sich nach Erkenntnis des Sicherheitsunternehmen McAfee mittlerweile automatisiert bilden.

Wissenschaftler sind außerdem der Meinung, dass sich die perfekte Lüge ebenfalls softwaregestützt – mit Hilfe eines „social engineering bots“ - erstellen läßt.

Ericka Chickowski vom Fachdienst darkreading.com kennt die technische Qualität der Angriffe: „Für wenige tausend Dollar kann man kriminelle Software haben, mit der sich automatisierte Angriffe unternehmen lassen, die ohne menschliches Eingreifen auskommen. Und die Angreifer starten tausende dieser Angriffe auf unternehmerische Ziele.“ Dabei hat die US-Bundespolizei bereits vor zwei Jahren resigniert: „Wir gewinnen (den Cyberkrieg, Anm. d. Autors) nicht.“

Kürzlich wies die Gesellschaft für Informatik (GI) darauf hin, dass die  Geheimdienste weltweit in der Lage seien, in tausende deutsche Server in einem Dutzend Branchen – darunter auch der chemischen und der Pharmaindustrie – einzudringen. Die GI meint darüber hinaus, dass sich Kriminelle für die Fähigkeiten der Geheimdienste interessieren könnten und warnt vor einer „akuten Gefahr für Leib und Leben der Bürgerinnen und Bürger“. Soweit zur Angriffsqualität.

Wie aber sieht's mit der Verteidigungsbereitschaft aus? Der Sicherheitsberater Tyler Klingler hat's an zwei Unternehmen ausprobiert – eines betreibt Kraftwerke, ein anderes wartet Ölleitungen. Von diesen Firmen identifizierte er übers Internet 72 Mitarbeiter und schickte ihnen Mails im Namen ihrer Freunde. Ein Viertel seiner Opfer fiel auf den Trick rein und klickte auf den beigefügten Link – darunter ein Leitstellen-Verantwortlicher, ein  Pipeline Controller und ein Senior Vice President.

Angriffsqualität und Verteidigungsbereitschaft stehen allzu oft im umgekehrten Verhältnis zueinander. Grade in der Prozeßindustrie kann das tödlich sein. – Was also ist zu tun? Das US-Heimatschutzministerium hat einige Tipps für die Angestellten der chemischen Industrie zusammengetragen: Passwörter sollten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen, private Hard- und Software darf nicht ans Firmennetz geknüpft werden und Hardware sollte auf Reisen immer unter Beobachtung sein. Dem Management empfehlen die Autoren, klare Regeln aufzustellen, Firewalls und Intrusion Detection Systeme zu installieren und Standard-Passwörter der Softwarelieferanten zu ändern. Hinzu kommt: Die Steuerungskomponenten industrieller Anlagen sind mittlerweile auf Hosentaschenformat geschrumpft. Wie aber wird ein solches Gerät angemessen vor Diebstahl geschützt? Nicht nur für diese Überlegung sollte eine Risikoanalyse erstellt werden; daran schließen sich dann die Entwicklung von Sicherheits- und Notfallkonzepten an.

Notwendig scheinen aber auch Änderungen im Bildungssystem zu sein: Aktuell verlangt der 'Deutschland sicher im Netz e.V.', in jeder Informatik-Vorlesung zehn Prozent auf das Thema „Sicherheit“ zu verwenden. Aktuell kann ein Informatiker durchs Studium kommen, ohne je eine Vorlesung dazu gehört zu haben. Es gibt keine Hinweise darauf, dass dies bei den Ingenieuren, BWLern oder Chemikern besser wäre. Somit ist die gesamte Prozesskette von Software bedroht, mit deren Hilfe Anlagen gesteuert oder personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern verarbeitet werden.

Außerdem muss die chemische Industrie Fehler aus der Politik und ihrem Netz aus Dienstleistern und Behörden fürchten – etwa Ärzten, Anwälten, Finanzämtern, Steuerberatern und Zulassungsstellen.

  Zum Autor: Joachim Jakobs veröffentlicht als Journalist zum Thema Datenschutz und Datensicherheit auch für "Euro", "Geldinstitute", tab.de und "ke NEXT". Zuvor war er für IBM in Schottland,  Pressesprecher bei der Fraunhofer-Gesellschaft und der Free Software Foundation Europe (FSFE).