IT-Security für kritische Infrastrukturen

Prof. Dipl. El.-Ing. FH Carlos Rieder leitet seit 1999 das Unternehmen ISEC, das sich unter anderem auf die IT-Risikoanalyse, auf IT-Audits und die Erstellung von IT-Sicherheitskonzepten spezialisiert hat. In unserem Interview erklärt er uns, welche Risiken bestehen und welche Möglichkeiten Unternehmen haben, sich vor Angriffen zu schützen. Dabei spielt vor allem die Bewusstmachung der Gefahren von Cyber-Kriminalität sowie das eigenverantwortliche Handeln jedes Einzelnen eine entscheidende Rolle.

Prof. Dipl. El.-Ing. FH Carlos Rieder war Dozent und Leiter des Fachbereichs Information Security an der Hochschule Luzern und leitet seit 1999 das Unternehmen ISEC.

Sehr hoch! Das Geschäft der Cyber-Kriminalität boomt und es passiert wirklich sehr viel. E-Banking-Plattformen werden beispielsweise täglich angegriffen. Das grösste Problem ist, dass die Angreifer wirklich gut organisiert sind und sie in Gruppen vorgehen. Meist haben sie auch nur ein Ziel vor Augen: Geld zu verdienen. Die Cyber-Kriminalität lässt sich inzwischen als Wertschöpfungskette betrachten: Da gibt es die Leute, die für das Suchen eines Fehlers bezahlt werden. Andere wollen die Fehler ausnutzen, der Nächste macht damit Geld und schlussendlich wird es von einem anderen gewaschen. Damit wird mittlerweile weltweit mehr Geld verdient als im Drogenhandel.

Man sollte immer die ganze Thematik betrachten. Es nützt nichts, Berge von Checklisten abzuarbeiten, währenddessen die Firewall angegriffen wird und niemand Zeit hat, diese zu überwachen. Die Schaffung klarer Prozesse steht für mich im Vordergrund. Es gibt ja auch schon Gesetze, die bestimmte Verantwortlichkeiten vorschreiben. Allerdings kenne ich auch genügend Unternehmen, deren Interesse an diesen Themen noch nicht vorhanden ist. Nach 15 Jahren in diesem Business kann ich aber zumindest sagen, dass sich die Management-Attention bessert.

Zu einem grossen Teil sicher am mangelnden Bewusstsein der Verantwortlichen. Die Unternehmen müssen sich auf jeden Fall die Frage stellen, wo ihre Risiken liegen. Dabei geht es nicht nur um finanzielle, sondern auch um Reputations- und Compliance-Risiken. Die wirklich gefährlichen Angriffe sind immer gezielt. Wer zum Beispiel im Fokus von militanten Aktivisten steht, muss heute damit rechnen, dass die Angriffe auch über die IT erfolgen könnten. Ein weiteres Problem vieler Industriebetriebe ist aber nach wie vor das veraltete Credo «Never touch a running system». Die Installation von Updates und Patches ist heute eine der wirksamsten Massnahmen, um die Systeme vor Angriffen zu schützen. Die Ursache liegt aber nicht nur beim Anwender, sondern zum Teil auch bei den Herstellern. Früher führten Updates oft zu Problemen. Weiter garantieren die Hersteller von Spezialapplikation den zuverlässigen Betrieb nur für genau definierte Betriebssystemversionen. Bis Updates zugelassen werden – wenn das überhaupt der Fall ist – dauert es oft viel zu lange.

Das ist ganz sicher der Fall. Es ist ja in den meisten Bereichen üblich, dass der Verteidiger dem Angreifer hinterher hinkt. Ein wesentlicher Punkt, der sich verändert hat ist, dass die klassischen Schutzmechanismen an Wirksamkeit verlieren. Bei einem normalen Virenschutzprogramm liegt die Chance bei 40 Prozent, dass ein Schadprogramm erkannt wird. Zudem gibt es im Netz Programme, mit denen ein schäd­licher Code getestet werden kann, ob er von den bekannten Virenscannern erkannt wird. Ist dies nicht der Fall, wird er verschickt und die Aussicht auf Erfolg ist gross. Wer die Programme nicht selbst schreiben kann, kauft sie sich eben im Internet.

Die Automatisierung von Prozessen und die damit verbundene Vernetzung bieten viele Angriffsflächen. Mobile Geräte sind natürlich auch angreifbar. Viele Fehler werden dabei durch den Menschen verursacht, der vor dem Computer sitzt. Umso wichtiger ist es, das Bewusstsein der Bediener zu schärfen und misstrauisch zu sein. Vieles wird leider nicht hinterfragt. Gefahren lauern überall – egal, ob man einen unbekannten E-Mail-Anhang öffnet oder einen gefundenen USB-Stick anschliesst, was übrigens auch eine beliebte Methode von Angreifern ist. Die oft noch vorherrschende Geisteshaltung «probiere es doch einfach mal» ist absolut unverantwortlich. Gesunder Menschenverstand ist hier gefragt.

Sicherheit ist ein ganzheitliches System und muss deshalb auch dementsprechend geplant und umgesetzt werden. Ein unternehmensweit eingesetztes Information Security Management System (ISMS) ist hierfür der richtige Ansatz. Ein weiterer wichtiger Punkt ist das Security by Design, das heisst, dass die Sicherheit bereits bei der Entwicklung von Systemen und Applikationen gebührend berücksichtigt wird. Die Anforderungen an die Sicherheit sollten ein zentraler Bestandteil in der öffentlichen Ausschreibung von Projekten sein. Wenn ich beispielsweise einen Mechanismus zur Fernsteuerung einer Anlage einbaue, muss ich auch wissen, was das sicherheitstechnisch für mich bedeutet und wie ich mich vor Angriffen schützen könnte. Zudem sollte jedes Unternehmen über einen Notfallplan verfügen, um kritische Situationen richtig beurteilen zu können. Wie lange kann mein Unternehmen ohne funktionierende IT bestehen? Was ist zu tun, wenn das Netz durch einen Angriff vollkommen ausfällt? Wie komme ich zu einer neuen Hardware, wenn die alte unter Wasser steht? Auf diese Fragen zu möglichen Szenarien muss es eine Antwort geben. Nur so ist man im Notfall vorbereitet und hat mehr Handlungsspielraum.

Eine staatliche Kontrolle halte ich nicht zwingend für zielführend. Wie schon erwähnt priorisiere ich die Eigenverantwortung. Vernünftige Auflagen sind sicher notwendig und sinnvoll. Dies kann allerdings sehr schnell ausufern. Die verfügbaren Ressourcen sollten sich auf die Verbesserung der Sicherheit konzentrieren und nicht genötigt werden, ständig neue Checklisten der Regulatoren auszufüllen.

«Sicherheit ist ein ganzheitliches System und muss deshalb auch dementsprechend geplant und umgesetzt werden.»

Die Aussichten sind leider nicht sehr berauschend. Es bieten sich sehr viele Angriffsflächen. Viele Betroffene zeigen die Angriffe aus Imagegründen nicht an. Die Dunkelziffer ist gewaltig. Deshalb fehlt auch das nötige Bewusstsein in den Unternehmen, insbesondere in der Industrie. Nehmen wir das Beispiel der Smart-Meter. Bei der Markteinführung wurden bei gewissen Produkten Sicherheitsmängel aufgezeigt. Man stelle sich vor, dass unberechtigte Dritte die Smart-Meter unter ihre Kontrolle bringen und somit ganze Regionen nach Belieben steuern. Grundsätzlich braucht es lediglich jemanden, der das System manipulieren kann und will und über die nötigen Mittel verfügt, dies umzusetzen. Es besteht immer ein potenzielles Risiko, Opfer eines Angriffs zu werden. Umso wichtiger ist es, die aktuelle Bedrohungslage regelmässig zu beurteilen und allfällig notwendige Massnahmen einzuleiten. Eine unabhängige Überprüfung ist besonders empfehlenswert. Es muss nicht immer ein externer Auditor sein. Eine Kooperation mit einem ähnlich gelagerten Unternehmen bringt schon viel. Beispielsweise könnten sich benachbarte Betreiber gegenseitig auditieren – und so mit dem Blick von aussen den Status der eigenen Sicherheitsmassnahmen besser beurteilen.

Unternehmen würde ich grundsätzlich raten, nach der ISO Normreihe 27000 für die Informationssicherheit zu arbeiten. Diese ist allgemein anerkannt und gibt einen roten Faden vor. Eine Zertifizierung halte ich aufgrund der hohen Kosten nur bei IT-Service-Anbietern für sinnvoll. Das, was ich aber grundsätzlich am Wichtigsten finde, ist definitiv die Eigenverantwortung jedes Einzelnen und das Engagement, das Thema immer wieder ins Zentrum zu rücken.

Vielen Dank für das Gespräch.