Presse
IT-Sicherheit: Ist die Industrie im Belagerungszustand?
Computer, Netze und Nutzer sind oft allzu leichte Opfer für kriminelle Machenschaften. Ein Gastbeitrag des Fachjournalisten Joachim Jakobs.
Im vergangenen Sommer wurden bei dem größten Ölförderer der Welt, Saudi Aramco, 30.000 Computer durch einen Computer-Schädling „<link http: business.chip.de artikel it-sicherheit-die-gefahr-von-innen-wird-immer-groesser_57513672.html>komplett zerstört“. Angeblich mit Unterstützung schlecht bezahlter Zeitarbeitnehmer.
Für die chemische Industrie sind drei Aspekte an dem Vorgang interessant:
- Cyber-physische Systeme sind anfällig für Schadsoftware. Dabei können massive Schäden entstehen.
- Bei derlei Angriffen muss keine Internet-Verbindung bestehen.
- Die Beschäftigten können (unfreiwillig) zu Komplizen werden.
US-Amerikanische Wissenschaftler <link http: www.nap.edu>glauben, dass sich Mitarbeiter von „außen“ instrumentalisieren lassen – etwa durch Manipulation, Bestechung oder Erpressung. Zur Kompromittierung könnten ideologische oder psychologische Neigungen genutzt werden. Als hilfreich könnten sich dabei detaillierte Profile von Entscheidern und anderen Zielpersonen erweisen. - Eine Erfahrung, die ein Mitarbeiter des Beratungsunternehmens <link http: www.digitalbond.com>Digital Bond machen musste: Er hatte eine Mail – scheinbar vom Chef – erhalten. In Wahrheit hat aber nur ein unbekannter Dritter dessen Absender und Namen missbraucht, um die Zielperson zum Öffnen eines mutmaßlich infizierten Dokuments zu verleiten. Das Unternehmen fragt sich nach dem Ziel des Angriffs. Schließlich tue man doch nichts anderes, als industrielle Steuerungen zu sichern. Wer wessen Mitarbeiter oder Freund ist oder über welche Interessen und Werdegang verfügt, läßt sich häufig mit Hilfe der „sozialen“ Netze rausbringen. Je vollständiger das Personenprofil, desto leichter ist die Zielperson aufs Kreuz zu legen. Diese Profile lassen sich nach <link http: www.mcafee.com us resources reports rp-unsecured-economies-report.pdf>Erkenntnis des Sicherheitsunternehmen McAfee mittlerweile automatisiert bilden.
Wissenschaftler sind außerdem der <link http: business.chip.de artikel spear-phishing-_-kriminelle-nutzen-social-media-4_56904437.html>Meinung, dass sich die perfekte Lüge ebenfalls softwaregestützt – mit Hilfe eines „social engineering bots“ - erstellen läßt.
Ericka Chickowski vom Fachdienst darkreading.com <link http: www.darkreading.com security vulnerabilities malware-the-next-generation.html>kennt die technische Qualität der Angriffe: „Für wenige tausend Dollar kann man kriminelle Software haben, mit der sich automatisierte Angriffe unternehmen lassen, die ohne menschliches Eingreifen auskommen. Und die Angreifer starten tausende dieser Angriffe auf unternehmerische Ziele.“ Dabei hat die US-Bundespolizei bereits vor zwei Jahren <link http: online.wsj.com article sb10001424052702304177104577307773326180032.html>resigniert: „Wir gewinnen (den Cyberkrieg, Anm. d. Autors) nicht.“
Kürzlich <link http: www.security-insider.de themenbereiche plattformsicherheit verschluesselung articles>wies die Gesellschaft für Informatik (GI) darauf hin, dass die Geheimdienste weltweit in der Lage seien, in tausende deutsche Server in einem Dutzend Branchen – darunter auch der chemischen und der Pharmaindustrie – einzudringen. Die GI meint darüber hinaus, dass sich Kriminelle für die Fähigkeiten der Geheimdienste interessieren könnten und warnt vor einer „akuten Gefahr für Leib und Leben der Bürgerinnen und Bürger“. Soweit zur Angriffsqualität.
Wie aber sieht's mit der Verteidigungsbereitschaft aus? Der Sicherheitsberater Tyler Klingler hat's an zwei Unternehmen <link http: bits.blogs.nytimes.com critical-infrastructure-systems-seen-as-vulnerable-to-attack>ausprobiert – eines betreibt Kraftwerke, ein anderes wartet Ölleitungen. Von diesen Firmen identifizierte er übers Internet 72 Mitarbeiter und schickte ihnen Mails im Namen ihrer Freunde. Ein Viertel seiner Opfer fiel auf den Trick rein und klickte auf den beigefügten Link – darunter ein Leitstellen-Verantwortlicher, ein Pipeline Controller und ein Senior Vice President.
Angriffsqualität und Verteidigungsbereitschaft stehen allzu oft im umgekehrten Verhältnis zueinander. Grade in der Prozeßindustrie kann das tödlich sein. – Was also ist zu tun? Das US-Heimatschutzministerium hat einige Tipps für die Angestellten der chemischen Industrie <link http: www.socma.com assets file socma1 pdffiles gr_pdf_files dhs_chemical_sector_guide_final.pdf>zusammengetragen: Passwörter sollten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen <link http: www.itespresso.de passwoerter-sicherer-machen>bestehen, private Hard- und Software darf nicht ans Firmennetz geknüpft werden und Hardware sollte auf Reisen immer unter Beobachtung sein. Dem Management empfehlen die Autoren, klare Regeln aufzustellen, Firewalls und Intrusion Detection Systeme zu installieren und Standard-Passwörter der Softwarelieferanten zu ändern. Hinzu kommt: Die Steuerungskomponenten industrieller Anlagen sind mittlerweile auf Hosentaschenformat <link https: www.honeywellprocess.com library marketing brochures masterlogicpin_april09.pdf>geschrumpft. Wie aber wird ein solches Gerät angemessen vor Diebstahl geschützt? Nicht nur für diese Überlegung sollte eine Risikoanalyse erstellt werden; daran schließen sich dann die Entwicklung von Sicherheits- und Notfallkonzepten an.
Notwendig scheinen aber auch Änderungen im Bildungssystem zu sein: Aktuell <link https: www.sicher-im-netz.de presse pressemitteilungen_2394.aspx>verlangt der 'Deutschland sicher im Netz e.V.', in jeder Informatik-Vorlesung zehn Prozent auf das Thema „Sicherheit“ zu verwenden. Aktuell kann ein Informatiker durchs Studium kommen, ohne je eine Vorlesung dazu gehört zu haben. Es gibt keine Hinweise darauf, dass dies bei den Ingenieuren, BWLern oder Chemikern besser wäre. Somit ist die gesamte Prozesskette von Software bedroht, mit deren Hilfe Anlagen gesteuert oder personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern verarbeitet werden.
Außerdem muss die chemische Industrie Fehler aus der Politik und ihrem Netz aus Dienstleistern und Behörden <link http: www.security-explorer.de>fürchten – etwa Ärzten, Anwälten, Finanzämtern, Steuerberatern und Zulassungsstellen.
Zum Autor: Joachim Jakobs veröffentlicht als Journalist zum Thema Datenschutz und Datensicherheit auch für "Euro", "Geldinstitute", tab.de und "ke NEXT". Zuvor war er für IBM in Schottland, Pressesprecher bei der Fraunhofer-Gesellschaft und der Free Software Foundation Europe (FSFE).