Probleme gesichtet

20 Jahre sind eine lange Zeit. Vor allem in der IT. 1994 reagierte Deutschland zum ersten Mal auf die Anforderungen des PC Zeitalters. Ein Grund für Hartmut Isselhorst, Abteilungsleiter beim Bundesamts für Sicherheit in der Informationstechnik (BSI), einmal zurück zu blicken. Computer standen damals plötzlich überall, und es waren keine Mainframes, sondern recht einfach zusammengestrickte Persomalcomputer. Jeder setzte sie ein, auch der für Deutschland so überaus wichtige Mittelstand. Und der kann sich keine Stabsabteilung IT mit 50 Experten leisten. Der IT-Grundschutz sollte hier helfen. Unentgeldlich und Firmenneutral. Was damals als schmales Bändchen begann, ist heute ein 3000 Seiten Konvolut, das ein Mensch alleine nicht bearbeiten kann und ständig an Umfang zunimmt. Dem Grundschutz folgt darum jetzt der Basisschutz. Statt Bausteinen mit mehreren Hundert Seiten Text soll in Zukunft eine zehnseitige Zusammenfassung reichen.

Doch längst haben sich die Aufgaben erweitert. Industrie 4.0 ist angesagt und von der Cebit bis zur Hannover Messe das beherrschende Thema. Der Kongress widmete dem Thema erstmals einen kompletten Seminarblock, unter der Überschrift "Industrial Security”. Fünf Vorträge im Angebot, alle von Beratern und Dienstleistern gehalten. Das, was die Experten da zu berichten wussten, gibt all jenen Recht, die bei Industrie 4.0 ein ungutes Gefühlt in der Magengrube verspüren. "Wir sind 20 Jahre zurück, was Sicherheit angeht" war da zu hören, und zwar gleich von allen Referenten: "Selbst die ältesten Viren funktionieren." Vor Ort beim Mittelstand finden die Berater kaum geeignet ausgebildete Fachkräfte. Der Elektromeister schließt die Systeme an, und wartet sie auch. Virenschutz und Intrusion Detection Systeme (IDS) sind bei SCADA-Anlagen Fremdworte, bei einem “Patchday” bekommen Chefs Angstanfälle. Sie sind froh, wenn die Systeme laufen. Jede Unterbrechung des Produktionsbetriebs kostet bares Geld und sicherheitskritische Systeme müssten nach einer Softwareänderung neu zertifiziert werden.

“Sicherheitskritisch” meint hier die nötige Betriebssicherheit, und die soll Arbeitsunfälle vermeiden. Lange waren diese Systeme so abgeschottet, dass ein Schutz vor Malware obsolet erschien. Das ist längst Vergangenheit. USB Schnittsstellen finden sich fast überall. Das hat Folgen. Ein Berater erzählt aus der Praxis: ein Ingenieur nimmt sich Arbeit mit nach Hause, um an Software für die Maschinensteuerung zu arbeiten. Am nächsten Werktag ist der USB Stick wieder in der Werkhalle, darauf die Lösung des Problems und zusätzlich ein Virus. Bis zur Mittagspause hatte sich die Malware durch alle Systeme durchgearbeitet und die Produktion stillgelegt.

Was wird passieren wenn nun alle Brandschutzmauern und Systemgrenzen fallen und wirklich jedes IT-System mit jedem anderen reden kann und darf? Ein konkretes Szenario wagt derzeit niemand zu erstellen. Der betroffene Mittelstand hatte nach Bonn auch kaum Personal entsandt. Unter den 600 Teilnehmern ordnete sich gerade einmal eine Handvoll dem Bereich “Mittelstand” zu. Behörden und Forschungseinrichtungen dominieren nach wie vor die Veranstaltung, und deren Sprache ist für Praktiker oft schwer verständlich. Ähnlich wie beim Grundschutz sollte es eine abgespeckte Variante geben, mit klaren Hinweisen was zu tun und zu lassen ist.

Ein wenig ausführlicher und didaktisch gereifter als das derzeit vorliegende 123 Seiten „ICS-Security-Kompendium“ könnte es allerdings schon sein. Leider war zu einem möglichen Nachfolger in Bonn dieses Jahr nichts zu hören. Ebenso wenig zu konkreten Forschungsaufträgen, um die Schutzinstrumente generell zu verbessern und gegebenenfalls zu erweitern. Konkrete und erprobte Verfahren zur Schadensbekämpfung wären wünschenswert, vergleichbar mit Wasser und Löschschaum bei der Brandbekämpfung

Die digitale Sorglosigkeit, vor der Innenminister Thomas de Maizière bei der Eröffnung des Kongresses warnte, mündet in der Praxis oft eher in eine digitale Hilflosigkeit. Die Möglichkeiten der Angreifer sind einfach zu groß, und die der Verteidiger bei weitem zu gering. Schon am zweiten Kongresstag sollten die Teilnehmer einen Vorgeschmack davon bekommen. Das versprochene “Live Hacking” von BSI Experten fiel aus. Die Veranstalter griffen auf einen externen Referenten zurück, denn die eigenen Experten würden dringend an einem anderen Einsatzort benötigt. Nicht wenige im Saale vermuteten, die beiden Herren könnten aktuell die Cyberangriffe auf die IT-Systeme des Deutschen Bundestages begutachten und nach einer Lösung suchen, denn diese stand bis Pfingsten noch aus. Das dürfte nicht nur die Abgeordneten alarmieren, sondern auch Geschäftsführer von KMUs. Wenn schon der Arbeitgeber des BSI derart in Bedrängnis gerät, was passiert dann mit einem kleinen Unternehmen?

Die Politik feilt an juristischen Lösungen. Der Bundestag berät zur Zeit das IT-Sicherheitsgesetz, das ein Mindestniveau an IT-Sicherheit erzwingen will. Zunächst nur für die Betreiber von kritischen Infrastrukturen, per Erlass könnten diese Vorgaben aber auf weitere Branchen ausgeweitet werden. Teil des Gesetzes sol auch eine Meldepflicht für Angriffe werden. Eine Vorgabe, die viele wegen der möglichen Folgeschäden für Image und Reputation der betroffenen Unternehmen kritisch sehen.