So schützen Sie Ihre Daten

Damit öffnen sie Angreifern Tür und Tor. Denn die eigene IT ist trotz Firewall und Virenschutz nicht hundertprozentig sicher – wenn beispielsweise ein Mitarbeiter einen virenverseuchten USB-Stick an seinen Rechner anschließt, kann er damit das gesamte Netzwerk infizieren. Und Fernwartungszugänge im Internet lassen sich häufig noch leichter angreifen. „Solche Systeme sind einfache Beute für Hacker, Cyberkrieger und Wirtschaftsspione“, warnt der Sicherheitsforscher Volker Roth von der Freien Universität (FU) Berlin.

Auch moderne Produkte sind nicht unbedingt besser geschützt. „Viele Hersteller vernetzter Geräte konzentrieren sich auf ihr Produkt, aber nicht die Sicherheit“, sagt Mark Rogers, Sicherheitsexperte bei der Software-Firma Lookout. „Ihnen fehlen oft auch die nötigen Kapazitäten dafür.“ Das gelte für alle vernetzten Produkte, beispielsweise auch Heizungen oder Insulinpumpen mit WLAN-Anschluss. Auf der renommierten Hackerkonferenz Defcon in Las Vegas war im August 2013 zu besichtigen, welche Geräte alle kompromittiert werden können, vom Auto bis zum Wasserhahn.

Wie oft es zu Manipulationen kommt, lässt sich kaum einschätzen, gibt doch kein Unternehmen öffentlich zu, Opfer einer Cyber-Attacke zu sein – ob aus Scham oder Image-Gründen. Doch es gibt Anhaltspunkte für das Ausmaß der Gefahr:

Das IT-Unternehmen Trend Micro hat einen Monat lang die virtuelle Attrappe eines Wasserwerks aufgestellt und die Angriffe untersucht. 39 teils ausgefeilte Attacken zählten sie. „Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen“, bilanzierte Trend-Micro-Forscher Kyle Wilhoit.

Forscher der FU Berlin zeigen auf einer Kartean, wo mit dem Internet verbundene Industriesysteme zu finden sind. Die Daten stammen von der Spezialsuchmaschine Shodan, die solche Geräte auffindbar macht. Es wird sichtbar, dass auch in Deutschland viele solcher Anlagen online sind – und somit angreifbar. „Unser Datensatz ist unvollständig, wir haben nur nach bestimmten Anlagen gesucht. Wir gehen daher von einer hohen Dunkelziffer aus“, sagt IT-Sicherheitsexperte Roth.

Mitarbeiter der IT-Fachzeitschrift „c’t“ fanden hunderte ungesicherte Anlagen, darunter eine Brauerei und ein Gefängnis. Auch die Schließanlage eines Stadions mit 40.000 Sitzplätzen hätten sie fernsteuern können.

Ein Fall ist tatsächlich bekannt: Der US-Geheimdienst ließ nach einem Bericht der „New York Times“ den Computerwurm Stuxnet aufwändig programmieren, um eine Urananreicherungsanlage im Iran lahmzulegen. Der monatelange Einsatz hatte offenbar Erfolg – bis die Iraner den virtuellen Angriff entdeckten.

Nicht jede Anlage ist schutzlos. Und nicht jeder Angreifer kommt zum Ziel – „grundsätzlich sind, wie bei Angriffen auf Heim-PCs auch, kriminielle Energie und technischer Sachverstand nötig“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Risiken sind indes immens: Was, wenn ein Konkurrent sich in die Fabrik einhackt und Chaos anrichtet? Oder wertvolle Informationen über die Produktion abzapft? Auch Erpresser und Saboteure könnten zuschlagen. Dafür müssen die Hacker längst nicht so einen großen Aufwand betreiben wie die Geheimdienstler. „Ein Angriff, der auf Erpressung ausgelegt ist, ist wesentlich einfacher umzusetzen als eine Attacke à la Stuxnet“, betont Roth. Denn dafür ist fast egal, wer das Opfer ist.

Die Gefahr wird in den kommenden Jahren noch deutlich wachsen. Denn die Wirtschaft will die Produktion stärker vernetzen, von der Planung über die Herstellung bis zur Abrechnung – „Industrie 4.0“ lautet das Schlagwort. Die Produktion wird damit flexibler, effizienter und individueller. Sichert man sie nicht ab, wird sie aber auch angreifbarer.

Was tun? Das Bewusstsein für IT-Sicherheit sei nicht in allen Firmen ausreichend verbreitet, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Gerade in kleineren und mittleren Unternehmen fehlen jedoch häufig die erforderlichen finanziellen oder personellen Ressourcen, um ein ganzheitliches Sicherheitsprogramm aufzusetzen.“

Die Behörde empfiehlt, zunächst eine Bedrohungsanalyse vorzunehmen: Welche Systeme sind besonders gefährdet? Dann sollten Unternehmen ein System zum Informationssicherheits-Management einrichten – Ziel sei, einen „ganzheitlichen Schutz“ zu erreichen. „Sicherheit ist ein Prozess, der sich nicht durch sporadische Maßnahmen umsetzen lässt“, betont das BSI.

Auch IT-Experte Rogers betont: „Es gibt Werkzeuge, um Produkte sicher zu gestalten“ – etwa sichere Protokolle. „Die Erkenntnisse liegen vor, wir müssen sie aber auch nutzen.“ Noch wichtiger sei jedoch, dass IT-Sicherheit Teil der Unternehmenskultur werde: „Was heute sicher ist, ist es morgen vielleicht nicht mehr. Das muss konstant überprüft werden“, fordert Rogers.

Die Politik könnte helfen, die Fabriken der Zukunft sicherer zu machen. „Es ist wichtig, überzeugende Referenzarchitekturen aufzubauen und auch zum Einsatz zu bringen“, sagt Claudia Eckert, Professorin für IT-Sicherheit an der Technischen Universität (TU) München. Damit die IT-Firmen das Forschungsrisiko nicht alleine tragen müssten, sei eine Förderung sinnvoll, sagt die Forscherin, die am Fraunhofer-Institut AISEC mit mehr als 90 Mitarbeitern an sicheren Lösungen für die Industrie 4.0 arbeitet. „Wir haben die riesige Chance, in Deutschland unsere guten Sicherheitstechnologien und unser Qualitätsbewusstsein da reinzubringen.“

Текст предоставлен ООО «ЛитРес».

Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.