Im Kopf der Hacker

Als Opfer einer Hacker-Attacke bloßgestellt zu werden, gehört schon jetzt zu den übleren Albträumen eines Managers. Dazu braucht es nicht einmal Kriminelle, die Kundendaten absaugen. Ein erfolgreiches Experiment wohlmeinender „white hat“-Angreifer ist Imageschaden genug – etwa wenn IT-Wissenschaftler Autoherstellern vorwerfen, die Codes ihrer Türschlösser seien zu leicht zu knacken, oder gar einen fahrenden Geländewagen per Funkbefehl an den Bordcomputer zum Stillstand bringen.

In Zukunft könnten Unternehmenschefs noch häufiger in Erklärungsnot geraten. Die systematische Vernetzung bestehender und neuer Datenquellen – heute gern als „Digitalisierung“ apostrophiert – hat nicht nur gute Seiten, sie verlängert auch die Liste der Risiken und Nebenwirkungen des IT-Einsatzes. Je mehr automatisch erzeugte Informationen zum Schmiermittel langer Wertschöpfungsketten werden, je mehr Produkte sich ins „Internet der Dinge“ (IoT, Internet of Things) einfügen, desto mehr potenzielle Ansatzpunkte bieten sich zwangsläufig Industriespionen, Saboteuren und Erpressern.

Die gute Nachricht: Die Software zur Früherkennung und Abwehr von Attacken aus dem Netz oder physisch eingeschmuggelten Schadprogrammen hat in den vergangenen Jahren große Fortschritte gemacht. Dank künstlicher Intelligenz lernen Firewalls aus jedem neuen Trick, mit dem sie angegriffen werden. So ist die SAP-Lösung Enterprise Threat Detection (ETD) darauf gedrillt, auch interne Gefahrenquellen zu erkennen. Sie sucht in den Kommunikationsströmen der Mitarbeiter ständig nach Anomalien, die auf einen kompromittierten PC hindeuten könnten. Cyber-Security-Experten wie Derk Fischer, Partner Risk Assurance Solutions bei PwC Deutschland, warnen dennoch vor blindem Vertrauen in die Technik: „100-prozentigen Schutz gibt es nicht.“

Das hat nicht nur damit zu tun, dass auch die Angreifer ihre Algorithmen und Methoden ständig weiterentwickeln und immer wieder versuchen, sogar die Sicherheitssoftware selbst unter ihre Kontrolle zu bringen. Allein schon das Jahrzehnte alte Übertragungsprotokoll des Internets (TCP/IP) entspricht längst nicht mehr den Sicherheitsanforderungen. Diese Altlast Zug um Zug durch ein Protokoll auf zeitgemäßem Sicherheitsniveau zu ersetzen, sei nicht praktikabel, so Fischer, ein Big Bang – also die weltweite Umrüstung über Nacht – ohnehin illusorisch. Schon deshalb bleibe den Firmen gar nichts anderes übrig, als die Tatsache zu akzeptieren, dass sie angreifbar sind und bleiben. Auf dieser Prämisse aufbauend, müssten sie an ihrer „Cyber Resilience“ arbeiten. Der Begriff steht für die Fähigkeit, Eindringlingen Paroli zu bieten, die trotz zeitgemäßer Prävention die Firewall überwunden haben, rasch den Schaden zu begrenzen und schnellstmöglich zum Business as usual zurückzufinden – anders als etwa im Bundestag, dessen Abgeordnete nach dem spektakulären Hack im vorigen Jahr monatelang auf Ersatz für das kompromittierte Intranet warten mussten.

Sehr ausgeprägt ist das Bewusstsein für die Verwundbarkeit der eigenen IT-Infrastruktur aber auch in den Führungsetagen der Wirtschaft noch nicht. Viele Unternehmen haben zwar die Themen Industrie 4.0 und IoT auf die Agenda gesetzt, doch erst wenige passen auch ihre Organisation systematisch an die steigenden Anforderungen an, etwa indem sie Verantwortlichkeiten neu zuschneiden und Zuständigkeitsgrenzen aufheben. IT-Sicherheit gilt traditionell als Aufgabe – und damit Problem – der IT-Fachleute. Erst langsam bricht sich die Erkenntnis Bahn, dass die Konstrukteure und Produktionsverantwortlichen mit ihnen im selben Boot sitzen. Lag deren Fokus bisher immer auf der Funktion und Effizienz der Fertigungsanlagen und der Produkte, müssen sie nun auch den Advocatus diaboli spielen – also sich in den Kopf eines Saboteurs versetzen, der die Steuerungssoftware hacken will, um mithilfe all der neuen Sensoren und Aktoren Schäden anzurichten, die niemand erwartet hätte.

Wie schwer es sein kann, dafür genug destruktive Fantasie zu entwickeln, erklärt Derk Fischer gern anhand des „Salty Cookie“-Fallbeispiels: Im Worst-Case-Szenario der Manager einer Keksfabrik manipuliert der Angreifer die Rezeptur, sodass unbemerkt eine Charge versalzen wird und eine Tagesproduktion auf den Müll wandert. Dann passiert etwas ganz anderes: Die Teigpumpen fallen aus und auch das Notfallsystem versagt, das mit Hochdruck Spülwasser durch die Rohre pressen müsste. Deshalb härtet die zähklebrige Masse in der Anlage aus; die verstopfte Teigführung wird irreparabel beschädigt. Zum hohen Sachschaden kommt eine langwierige Betriebsunterbrechung.

Bei Industrie 4.0 und dem Internet der Dinge steht aber nicht nur Geld auf dem Spiel. Künftige Generationen von Industrierobotern, die ohne Schutzkäfig unmittelbar mit Menschen zusammenarbeiten, oder selbstfahrende Autos werden zur Gefahr für Leib und Leben, wenn sie mit böser Absicht manipuliert werden. Ein neuer Ansatz heißt deshalb „Security by design“. Dabei wachsen Produktentwicklung und Risikomanagement zusammen, Sicherheitsfragen werden von Anfang an in den Konstruktionsprozess integriert. Wer etwa das Bauteil einer Maschine oder eines Autos mit einem Sensor ausrüsten will, muss sich zugleich überlegen, wie er die damit erfassten Daten vor unberechtigtem Auslesen oder gar einer Verfälschung schützen kann. Technisch ist es im IoT durchaus möglich, jedem „Ding“ eine unverwechselbare digitale Identität zu geben, denn der Adressraum des Internet-Protokolls IPv6 ist praktisch unbegrenzt. Möchte man ausschließen, dass das technische Gesamtsystem durch den Einbau eines manipulierten Ersatzteils kompromittiert wird – sei es zwecks Sabotage oder Spionage – muss diese Identität zudem fälschungssicher implementiert sein. Dazu wiederum bedarf es einer vertrauenswürdigen Instanz im Hintergrund, die die Identität verifiziert.

Hier wird es knifflig: Bislang existiert keine allseits anerkannte Institution, die eine solche kryptografisch abgesicherte Infrastruktur anbietet. Ein Kandidat wäre das offene System OpenPGP, mit dem nicht nur E-Mails verschlüsselt werden können. Wegen seiner notorischen Kompliziertheit wird es aber trotz Edward Snowdens NSA-Enthüllungen kaum genutzt. Denkbar wäre auch der Einsatz von Blockchains. Diese ursprünglich für die Kunstwährung Bitcoin entwickelte Krypto-Technik hat aber den Nachteil, dass sie einen stetig wachsenden Rattenschwanz aus Altdaten erzeugt. „Sobald Sie hochfrequente, kleinteilige Transaktionen haben“, warnt Derk Fischer, „werden Sie sofort von der Datenmenge erschlagen.“

Der Knackpunkt bei der Entwicklung einer Sicherheitsphilosophie für die digitalisierte Zukunft ist eine ganzheitliche Risikoabschätzung, denn Produkte und Anlagen existieren nur noch als Teile elektronischer Ökosysteme, innerhalb derer sie interagieren. Betriebswirtschaftlich lässt sich ein Return on Security zwar erst kalkulieren, wenn ein vergleichbarer Schaden schon einmal irgendwo eingetreten ist. Sicherheit bei jeder vernetzten Komponente von Anfang an mitzudenken – in Teamarbeit mit den anderen Teilnehmern der Wertschöpfungskette – hilft zumindest, den Angreifern an den empfindlichsten Stellen hohe Hürden in den Weg zu stellen.

Bildnachweis: PwC

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen