IT und kritische Infrastrukturen schützen

Blackout-Autor Marc Elsberg beschrieb nicht nur die Entstehungsgeschichte seines Buchs, sondern auch, wie die Realität – unter anderem flächendeckende Stromausfälle in Italien – die Fiktion einholte. Er gab zu bedenken, dass immer öfter versäumt werde, Resilienz-Mechanismen einzubauen, also die Toleranz von Systeme gegenüber Störungen.

Rund 80 Prozent der Angriffe in Unternehmen gehen dabei offenbar von Innentätern aus. Michael George, Leiter des Cyber-Allianz-Zentrums beim Bayerischen Landesamt für Verfassungsschutz, zeigte im Publikum, wie der klassische Innentäter aussieht: Sie sind der Statistik nach männlich, zwischen 38 und 50 Jahre und länger als drei Jahre im Unternehmen tätig. George erläuterte darüber hinaus, warum Hacking heute ein Element der Politik geworden ist – Stichwort Stuxnet – und dass Cyberwar für Propaganda genutzt werde.

Wie einfach beispielsweise Scada-Systeme (Supervisory Control and Data Acquisition – Überwachung und Steuerung technischer Prozesse via Computersystem) angegriffen werden können, zeigte der White-Hat-Hacker Marco Di Filippo von Cyber Security Austria anhand des Honey Train Projekts. Dabei zeigte er nicht nur theoretische und praktische Angriffswege (Modems, Standard-Passwörter, War-Googeling), sondern auch, wie innerhalb von wenigen Stunden rund 10.000 Angriffe aus China auf vermeintliche Infrastruktur-Einrichtungen stattfinden, und dass versierte Hacker relativ schnell die Webcam-Steuerung, Haltestellen-Temperierung, Signal- oder Zugsteuerung eines Bahnhofs übernehmen könnten.

Dass – wie im Roman – auch Smart Meter angreifbar sind, erklärte Markus Bartsch, Business Development IT-Security bei der TÜV Informationstechnik GmbH. So sei es in anderen Ländern beispielsweise üblich, dass der Energieversorger den Strom aus der Zentrale heraus abschaltet, wenn nicht bezahlt wurde. In Deutschland hingegen werde mehr Wert auf Datenschutz und einen rechtlichen Rahmen gelegt, so dass hier ein dezentrales System errichtet wurde. Ein sicherer, elektronischer Messdaten-Austausch soll so von vornherein unterstützt und überprüfbar sein.

Dass digitale Daten stets gefährdet sind, zeigte das Live-Hacking von SySS-Geschäftsführer Sebastian Schreiber, der unter anderem das Hacking eines ausgeschalteten iPads über ein USB-Kabel vorstellte. Wer auf das persönliche Gespräch ausweicht, kann zwar ebenso abgehört werden, wie die Fink Secure Communication GmbH vorführte, doch viele Menschen geben Informationen sowieso freiwillig preis. „Jede freie Minute, ob in der Bahn oder am Flughafen, soll öffentlich gearbeitet werden, ohne Führung und ohne Anerkennung“, gab Marcus Beyer von der Hewlett Packard (Schweiz) GmbH zu bedenken. Dies habe zur Folge, dass sich Menschen entsichern. Zudem hätten nur 16 Prozent der Mitarbeiter eine emotionale Bindung zu ihrem Arbeitgeber, während sich 67 Prozent nur als eine Nummer fühlten und keine Werte durch Führungskräfte vorgelebt bekämen. Dies mache den Menschen zu einer Schwachstelle und einem Risikofaktor in Unternehmen ohne gelebte Unternehmenskultur.

Zur Unternehmenskultur gehört auch, den Betrieb auf eventuelle Ausfälle und Notsituationen vorzubereiten. Matthias Rosenberg, Vorstand der Controllit AG, lenkte deshalb den Blick auf Business Continuity Management (BCM) in Unternehmen: Wie werden Ausfälle für den Kunden vermieden, wie der Kundebestand gesichert und die Verluste gering gehalten? Und was ist für das Überleben des Unternehmens nicht wirklich essentiell? Hier nannte Rosenberg beispielsweise Controlling und Marketing. „BCM bedeutet, dass Notfallpläne nicht nur erstellt, sondern auch getestet werden“, riet Rosenberg.

Dies liegt zum einen in der Eigenverantwortung der Unternehmen, zum anderen muss hier aber auch die Politik die Leitplanken setzen, wie auch Klaus J. Keus vom Bundesamt für Sicherheit in der Informationstechnik (BSI) befand. Er stellte die Allianz für Cyber-Sicherheit und das Nationale Lagebild Cyber-Sicherheit vor, gab aber auch zu bedenken, dass immer noch rund 15 Prozent aller Rechner in kleinen und mittleren Unternehmen mit XP laufen, einem abgekündigten Betriebssystem, für das es keine Sicherheits-Updates mehr gibt.