Datensicherheitsprobleme größten Ausmaßes kommen in Wellen
Harald Lutz
Frankfurt am Main (Weltexpresso) – Für eine – aus zwingenden IT-Sicherheitsgründen – behutsame und wohlüberlegte Umsetzung von aktuellen Big Data-, Industrie 4.0- oder Internet-of-Things-(IoT)-Konzepten plädierte der Sprecher des Chaos Computer Clubs e.V., Frank Rieger, auf einer Veranstaltung der Aktionslinie Hessen IT in Frankfurt am Main.
Die heute in der Produktion anfallenden, bislang nie gekannten Datenmengen sollten nicht bedenkenlos gespeichert oder ins Internet gestellt werden. Rieger: „Die IT-Systeme werden mittlerweile an vielen Stellen miteinander vernetzt, wo sie es vorher nicht waren. Und das auf der Basis einer Sicherheitstechnologie, die es nicht besonders weise erscheinen lässt, das zu tun.“
Der Sprecher gibt ein Beispiel: Auf ausdrücklichen Vorstandwunsch hat sich die größte europäische Hackervereinigung jüngst an einem Scheinangriff auf ein nagelneues, für 100 Mio. Euro in Süddeutschland erstelltes Werk versucht. Rieger: „Nach drei Tagen hatten die Test-Hacker die Produktionsstätte unter Kontrolle. Am vierten Tag wurde als kleines Add-on noch ein Industrieroboterballett programmiert mit der Aufgabenstellung, synchrone Bewegungen auszuführen und dabei den Imperialen Star Wars-Marsch auf der Fördertechnikanlage zu spielen..."
"Der Systemintegrator hat an sich nicht so viel falsch gemacht“, sagt der Sprecher. Als Sicherheitslücke des Unternehmens und Einfallstor für die Test-Hacker erwies sich, dass die Produktionsanlage und die Auftragsverarbeitung in der flexiblen Fertigung des Herstellers an dem gleichen Netzwerksegment angeschlossen waren. Rieger: „Da waren die Kommunikationswege von draußen hinein in das Produktionssystem nicht mehr besonders lang.“
Mit der Technologie verbundene Risiken und Probleme aufzeigen
Datensicherheitsprobleme allergrößten Ausmaßes werden in Wellen auf die Nutzer zukommen, prognostiziert der Chaos Computer Club, der sich auf die Fahnen geschrieben hat, als unabhängige Instanz die Gesellschaft auf dem Weg in die Informationsgesellschaft zu begleiten und die damit verbundenen Risiken und Probleme aufzuzeigen. Sogar die großen Anbieter von Antivirus-Software müssten zugeben, nur etwa die Hälfte aller im Umlauf befindlichen Trojaner-Schadsoftware überhaupt zu entdecken. Rieger: „Wir registrieren bei den aktuell im Umlauf befindlichen Erpressungstrojanern Infektionsraten im Zehntausenderbereich pro Tag.“
Ein Erpressungstrojaner verschlüsselt die Daten und fordert beispielsweise dazu auf, innerhalb der nächsten 48 Stunden eine Summe X in der Internetwährung „Bitcoin“ zu überweisen, sofern man oder frau wieder Zugriff auf den geliebten Rechner und seine Daten haben möchte. Cyberkriminalität habe sich mittlerweile zu einem einträglichen Business-to-Consumer-Geschäft entwickelt. Rieger: „Kriminelle suchen mit hohem technischem Aufwand nach vorhandenen IT-Sicherheitslücken. Sie haben heute sowohl bei Privatpersonen als auch bei Unternehmen Mittel und Wege gefunden, diese Lücken zu Geld zu machen.“
IT-Sicherheitslücken sind kein Naturgesetz
Was also tun, fragten sich schon große Geister. Auch IT-Sicherheitslücken sind Europas größter Hackervereinigung zufolge kein ewig gültiges Naturgesetz. Aufwendig und teuer sei es, sie alle zu suchen und wirksam zu schließen. Auch eine fundierte Informatikerausbildung und die Investition der Unternehmen in Information Security Officers (CISO) und andere IT-Sicherheitsspezialisten gehören zu einer guten Prävention. Ebenso notwendig sei es, verbindliche Haftungsregeln für Hersteller einführen. Der Sprecher verdeutlicht: „Wir müssen in der IT-Industrie zu Haftungsregelungen für Betreiber von IT-Systemen kommen, wie sie heute für jede andere Industrieanlage auch gelten.“ Benötigt würden Methoden, um den aktuellen Stand der Technik, die sog. Best Practice, abzubilden. „Wer sein IT-System dann nicht mehr so aufbaut, wie es dem Stand der Technik entspricht, darf auch keine Haftpflichtversicherung mehr dafür bekommen“, erhofft sich der Hacker und IT-Sicherheitsexperte eine erzieherische Wirkung.
Die Lage ist ernst, aber nicht hoffnungslos!
Auch heute seien beispielsweise noch jede Menge alte Smartphones ohne aktuelle Hersteller-Sicherheitsupdates im Umlauf. Rieger: „Obwohl diese Geräte an sich noch einwandfrei funktionieren, kann man sie aus IT-Sicherheitsperspektive einfach wegschmeißen.“ Trotz aller aufgezeigten Bedrohungsszenarien habe die deutsche Industrie in puncto Datenschutz aber einen guten Ruf. Deutschland sei in der aktuellen Situation weit besser dran als viele andere Länder – zwar etwas langsamer und vorsichtiger bei der Umsetzung digitaler Megaprojekte wie Big Data, Internet der Dinge und wie sie auch heißen mögen, dafür aber auch vorsichtiger und mit größerem Augenmerk auf IT-Sicherheit. Rieger: „Daraus gilt es, einen Wettbewerbsvorteil zu realisieren.“
„Es geht heute nicht mehr um Big, sondern um Smart Data: Welche Daten brauchen wir wirklich? Wie können wir sie so realisieren, dass sie den Nutzer, wenn sie denn verloren gehen, nicht negativ treffen?“ Resümierend plädiert der Sprecher des Chaos Computer Clubs dafür, nicht weiter einer ungeheuren Datensammelwut unter der Annahme zu frönen, in den Datenmengen schon irgendwelche Korrelationen finden zu können, die es so dann aber doch nicht gebe. Auch im Mekka der IT-Branche, dem berühmten Silicon Valley in den USA, werde bereits umgedacht.
INFOS:
Nützliche Links:
www.hessen-it.de
Foto: (c) Software AG
Autoreninfo: Harald Lutz lebt und arbeitet als Fachjournalist und Technikredakteur in Frankfurt am Main.