Datensicherheitsprobleme größten Ausmaßes kommen in Wellen

Harald Lutz

Frankfurt am Main (Weltexpresso) – Für eine – aus zwingenden IT-Sicherheitsgrün­den – behutsame und wohlüberlegte Umsetzung von aktuellen Big Data-, Industrie 4.0- oder Internet-of-Things-(IoT)-Konzepten  plädierte der Sprecher des Chaos Computer Clubs e.V., Frank Rieger, auf einer Veranstaltung der Aktionsli­nie Hessen IT in Frankfurt am Main.

Die heute in der Produktion anfallenden, bislang nie ge­kannten Datenmengen sollten nicht bedenkenlos gespeichert oder ins Internet ge­stellt wer­den. Rieger: „Die IT-Systeme werden mittlerweile an vielen Stellen mitei­nander vernetzt, wo sie es vorher nicht waren. Und das auf der Basis einer Sicher­heitstech­nologie, die es nicht besonders weise erscheinen lässt, das zu tun.“

Der Sprecher gibt ein Beispiel: Auf ausdrücklichen Vorstandwunsch hat sich die größte europäische Hackervereinigung jüngst an einem Scheinangriff auf ein nagel­neues, für 100 Mio. Euro in Süddeutschland erstelltes Werk versucht. Rieger: „Nach drei Tagen hatten die Test-Hacker die Produktionsstätte unter Kontrolle. Am vierten Tag wurde als kleines Add-on noch ein Industrieroboterballett programmiert mit der Aufgabenstellung, syn­chrone Bewegungen auszuführen und dabei den Imperialen Star Wars-Marsch auf der Fördertechnikanlage zu spielen..."

"Der Systemintegrator hat an sich nicht so viel falsch gemacht“, sagt der Sprecher. Als Sicherheitslücke des Unter­nehmens und Ein­fallstor für die Test-Hacker erwies sich, dass die Produktionsanlage und die Auftrags­verarbeitung in der flexiblen Fertigung des Herstellers an dem glei­chen Netzwerk­segment angeschlossen waren. Rieger: „Da waren die Kommunika­tionswege von draußen hinein in das Produk­tionssystem nicht mehr besonders lang.“



Mit der Technologie verbundene Risiken und Probleme aufzeigen

Datensicherheitsprobleme allergrößten Ausmaßes werden in Wellen auf die Nutzer zukommen, prognostiziert der Chaos Computer Club, der sich auf die Fahnen ge­schrieben hat, als unabhängige Instanz die Gesellschaft auf dem Weg in die Infor­ma­tionsgesellschaft zu begleiten und die damit verbundenen Risiken und Probleme auf­zuzeigen. Sogar die großen Anbieter von Antivirus-Software müss­ten zugeben, nur etwa die Hälfte aller im Umlauf befindlichen Trojaner-Schadsoft­ware überhaupt zu entdecken. Rieger: „Wir registrieren bei den aktuell im Umlauf be­findlichen Erpres­sungstrojanern Infektionsraten im Zehntausenderbereich pro Tag.“

Ein Erpressungstrojaner verschlüsselt die Daten und fordert beispielsweise dazu auf, innerhalb der nächsten 48 Stunden eine Summe X in der Internetwährung „Bitcoin“ zu überweisen, sofern man oder frau wieder Zugriff auf den geliebten Rechner und seine Daten haben möchte. Cyberkriminalität habe sich mittlerweile zu einem einträgli­chen Business-to-Consumer-Geschäft entwickelt. Rieger: „Kriminelle suchen mit hohem technischem Aufwand nach vorhandenen IT-Sicherheitslücken. Sie haben heute so­wohl bei Privat­personen als auch bei Unternehmen Mittel und Wege gefunden, diese Lücken zu Geld zu machen.“


IT-Sicherheitslücken sind kein Naturgesetz

Was also tun, fragten sich schon große Geister. Auch IT-Sicherheitslücken sind Euro­pas größter Hackervereinigung zufolge kein ewig gültiges Naturgesetz. Aufwen­dig und teuer sei es, sie alle zu suchen und wirksam zu schließen. Auch eine fun­dierte Informa­tikerausbildung und die Investition der Unterneh­men in In­formation Secu­rity Officers (CISO) und andere IT-Sicherheitsspezialisten gehören zu einer guten Prä­vention. Ebenso notwendi­g sei es, verbindliche Haf­tungsregeln für Hersteller einfüh­ren. Der Sprecher verdeutlicht: „Wir müssen in der IT-Industrie zu Haftungs­regelun­gen für Betreiber von IT-Systemen kommen, wie sie heute für jede andere Industrie­anlage auch gelten.“ Benötigt würden Methoden, um den aktuellen Stand der Technik, die sog. Best Practice, abzubilden. „Wer sein IT-System dann nicht mehr so aufbaut, wie es dem Stand der Technik ent­spricht, darf auch keine Haftpflichtversicherung mehr dafür bekom­men“, erhofft sich der Hacker und IT-Sicherheitsexperte eine erzie­heri­sche Wirkung.


Die Lage ist ernst, aber nicht hoffnungslos!

Auch heute seien beispielsweise noch jede Menge alte Smartphones ohne aktuelle Hersteller-Sicherheitsupdates im Umlauf. Rieger: „Ob­wohl diese Geräte an sich noch einwandfrei funktionieren, kann man sie aus IT-Sicher­heitsper­spektive einfach weg­schmeißen.“ Trotz aller aufgezeigten Bedrohungsszenarien habe die deutsche In­dus­trie in puncto Datenschutz aber einen guten Ruf. Deutschland sei in der aktuellen Si­tuation weit besser dran als viele andere Länder – zwar etwas langsamer und vor­sich­tiger bei der Umsetzung digitaler Megaprojekte wie Big Data, Internet der Dinge und wie sie auch heißen mögen, dafür aber auch vorsichti­ger und mit größerem Augen­merk auf IT-Sicherheit. Rieger: „Daraus gilt es, einen Wettbewerbsvorteil zu realisie­ren.“

„Es geht heute nicht mehr um Big, sondern um Smart Data: Welche Daten brauchen wir wirklich? Wie können wir sie so realisieren, dass sie den Nutzer, wenn sie denn verloren gehen, nicht negativ treffen?“ Resümierend plädiert der Sprecher des Chaos Compu­ter Clubs dafür, nicht weiter einer ungeheuren Datensam­melwut unter der An­nahme zu frönen, in den Datenmengen schon irgendwel­che Korre­lationen finden zu können, die es so dann aber doch nicht gebe. Auch im Mekka der IT-Bran­che, dem berühmten Silicon Valley in den USA, werde bereits umgedacht.


INFOS:

Nützliche Links:

www.hessen-it.de

www.ccc.de

Foto: (c) Software AG

Autoreninfo: Harald Lutz lebt und arbeitet als Fachjournalist und Technikredakteur in Frank­furt am Main.