bedeckt München
vgwortpixel

IT-Sicherheit:Täglich tausend Kriege

Im Zeitalter zunehmender Vernetzung müssen IT-Systeme technisch abgesichert werden, aber auch der menschliche Faktor ist mindestens ebenso wichtig. Denn für viele Angriffe müssen Hacker gar nicht ins System eindringen.

Die Geschichte der Menschheit ist auch eine des Krieges. Immer wieder ersannen die Menschen neue, stetig wirksamere Angriffswaffen. Für die Verteidiger hieß das jedes Mal, mit einer neuen Strategie der Verteidigung darauf zu reagieren - wer dabei zu spät kam, bekam die Überlegenheit neuer Waffen schmerzhaft zu spüren. Im Computerzeitalter ist aber nicht bloß eine neue Waffengattung dazugekommen: Cyberangriffe. Auch die Bedrohungslage ist eine andere. Computer spielen in der vernetzten Welt von heute eine derart wichtige Rolle, dass ein Angriff auf Computer und ihre Infrastruktur weit größeren Schaden anrichtet, als nur die Geräte außer Gefecht zu setzen.

Schon ein eigentlich lächerlicher Computerausfall durch einen Wartungsfehler oder einen lokalen Stromausfall an einem Flughafen produziert ein enormes Chaos. Um Größenordnungen schwerwiegender wäre es, wenn es Angreifern gelänge, zum Beispiel die Stromversorgung eines Landes lahmzulegen. Was das bedeutet, hat der österreichische Autor Marc Elsberg in seinem Roman "Blackout" sehr anschaulich aufgeschrieben. Licht, Kommunikation, Wasserversorgung, Heizung - ohne Strom geht nichts. Und wer ein Notstromaggregat haben sollte: Spätestens, wenn es nachgetankt werden muss, sähe es schlecht aus, denn ohne Strom geht auch an der Tankstelle nichts mehr.

Je vernetzter die Systeme sind, desto abhängiger wird die Wirtschaft von der IT

In dem Buch wird der europaweite Stromausfall übrigens von Ökoterroristen verursacht, die sich in vernetzte Stromzähler gehackt haben. Das ist keineswegs so unrealistisch, wie es auf den ersten Blick aussieht. Vor allem lenkt es den Blick auf das, was einerseits eine große Chance für Wirtschaft und Gesellschaft ist: die zunehmende Vernetzung.

Denn wenn alles mit allem zusammenhängt, bedeutet das auf der anderen Seite eben auch, dass ein Angriff auf Teile des Netzes große Teile des Konstrukts gefährden können. Die Vorboten sind heute schon in der sogenannten Just-in-time-Produktion zu besichtigen. Aus Kostengründen organisieren Unternehmen ihre Lieferketten so, dass sie die nötigen Teile oder Rohstoffe immer erst kurz vor dem Termin geliefert bekommen, wenn sie sie brauchen. Wird diese Kette unterbrochen, etwa durch ein Schiffsunglück oder eine Naturkatastrophe, gerät die Produktion ins Stocken.

Bei einem erfolgreichen Angriff ist die Firmen-IT nutzlos wie Computer-Schrott.

(Foto: plainpicture/Millennium/Dara Mcg)

Die Industrie ist gerade auf dem Weg dahin, die gesamte Wertschöpfungskette von Unternehmen digital abzubilden. Das geht bis hin zum Maschinenpark, von dem - wie man das nennt - digitale Zwillinge erstellt werden. Die Vorteile liegen auf der Hand: Wenn der Computer alles über eine Maschine weiß, kann er sie auch perfekt simulieren. Was früher material- und zeitintensiv ausprobiert werden musste, kann heute über Nacht simuliert werden, und der Computer verlangt auch keinen Nachtarbeitszuschlag.

Das aber bedeutet natürlich auch, dass die Technologie mehr und mehr unverzichtbar wird. Da in den digitalen Zwillingen viel Erfahrungswissen steckt, werden diese zu einem begehrten Ziel von Industriespionen.

Gefahren drohen auf verschiedenen Ebenen. Die Technik kann versagen wie jede andere Technik auch. Je bedeutender sie für das Unternehmen ist, umso mehr sollten sich die Verantwortlichen Gedanken um Redundanz machen, also Reservesysteme, dass Back-ups Pflicht sind, ist ohnehin klar. Die helfen auch bei Angriffen zum Beispiel mit Erpressersoftware. Wer ein (funktionierendes) Back-up hat, kann einen solchen Angriff vergleichsweise leicht abwehren.

Die meisten Attacken werden heute nicht mit besonders ausgefeilten Cyberoperationen ausgeführt, bei denen Hacker durch Schwachstellen im System ins Firmennetz eindringen. Sie kommen ganz unschuldig als E-Mail. Bei den gefährlicheren davon haben sich die Angreifer über ihre potenziellen Opfer vorab informiert, sprechen sie über ihr Hobby an oder geben sich als ihre Chefs aus - die E-Mail-Technologie lässt das leider zu, es sei denn, die Firma trifft Gegenmaßnahmen.

Große Zahl

In den Mails werden zum Beispiel Mitarbeiter der Finanzabteilung aufgefordert, ausstehende Rechnungen zu bezahlen, oder ein Vorgesetzter befiehlt ihnen scheinbar, Geld für eine geheime Akquisition zu überweisen. Der Fußballclub Lazio Rom hat auf diese Weise zwei Millionen Euro verloren, weil Kriminelle ihm eine gefälschte Rechnung für die Rate eines geplanten Transfers geschickt hatten. Die Betrüger wussten, wann die Rate fällig werden würde, und schlugen erfolgreich zu. Sie mussten dazu nicht einmal ins IT-System des Clubs eindringen.

Mindestens ebenso wichtig wie die technische Absicherung von Computersystemen ist daher die Schulung der Mitarbeiter. Eine gute Möglichkeit wäre es, solche Mails von einem Sicherheitsunternehmen an die eigenen Mitarbeiter senden zu lassen. Nicht um die zu tadeln, die darauf hereingefallen sind, sondern um das Bewusstsein dafür zu schärfen. Nur wer wenigstens ahnt, mit welchen Methoden er hereingelegt werden soll, wird künftig genauer hinsehen und im Zweifel lieber noch einmal anrufen.

Aber auch die technische Absicherung der Systeme muss auf dem neuesten Stand sein. In der Branche gilt es als ausgemacht, dass nicht für alle Daten die gleiche Schutzstufe erforderlich ist. Der Kantinenspeiseplan im Intranet muss nicht mit derselben Hochsicherheitsstufe geschützt werden wie geheime Produktionsverfahren und Konstruktionspläne. Die wirklich kritischen Daten sollten nur den Mitarbeitern zugänglich sein, die sie wirklich für ihre Arbeit brauchen. Die Chefs übrigens gehören dazu nicht immer, nehmen sich aber gerne Sonderrechte heraus und werden damit zu lukrativen Angriffszielen.

Gerade in Zeiten, in denen Daten so wichtig geworden sind, ist es keine leichte Aufgabe, die richtige Balance zu finden. Die Mitarbeiter, die Zulieferer, sie sollen ja nicht durch zu restriktive Regeln behindert werden. Aber die Unternehmen können es sich auch nicht leisten, die Schleusen zu weit zu öffnen. Erschwerend kommt hinzu, dass Fachkräfte für Computersicherheit rar sind und hohe Gehälter fordern können. Viele Mittelständler finden entweder keine Fachkräfte oder können sie sich nicht leisten. Für sie ist meist der beste Weg, sich die Kompetenz über einen Dienstleister ins Haus zu holen. Auch sie müssen aber damit leben, dass ihnen die Angreifer meist einen Schritt voraus sind.