Ein Service der

Inhalt

90. Jahrgang, 2010, Heft 10 · S. 642

IT-Sicherheit: Umdenken nach "Stuxnet"?

Rainer Böhme

Über Sicherheitsprobleme im Internet lesen wir fast täglich in den Medien. Die Entdeckung der Schadsoftware "Stuxnet" ließ jedoch aufhorchen. Der Wurm verbreitet sich heimlich über die USB-Schnittstelle und befällt gezielt Steuerungssysteme für Industrieanlagen, obwohl diese vom Internet abgeschottet sind. Zwischenfälle in den iranischen Nuklearanlagen in Bushehr und Natanz werden mit "Stuxnet" in Verbindung gebracht. Wenn dies, wie oft behauptet, der Anfang einer Ära von Cyber-Warfare ist, wie können Unternehmen dann vermeiden, zwischen die Fronten zu geraten?

Für die Fachwelt war "Stuxnet" nur eine Frage der Zeit. Informationstechnologie hat eine Komplexität erreicht, die mit heute verfügbaren Methoden nur unter hohen Kosten annähernd beherrschbar ist. Der Ruf nach Funktionsintegration gepaart mit Kostendruck führte dazu, dass auch in Industrieanlagen zunehmend Standardkomponenten zum Einsatz kommen, bei deren Entwurf oft bereits zu Lasten der Sicherheit gespart wurde. Viel der vorhandenen Funktionalität dieser Komponenten liegt brach, kann aber durch Schadsoftware leicht ausgenutzt werden und wird so zu einem erheblichen Sicherheitsrisiko. Industrielle Steuerungssysteme enthalten also mitunter die gleichen Sicherheitslücken wie PCs für Endverbraucher. Aus technischer Sicht demonstriert "Stuxnet" zwei Dinge eindrucksvoll: Erstens, selbst die physische Entkopplung kritischer Systeme vom Internet ist nur bedingt wirksam solange nicht alle Schnittstellen inklusive der Lieferkette geschützt sind. Zweitens, jede programmierbare Hardware ist anfällig für Schadsoftware. Im Fall von "Stuxnet" betrifft es die Automatisierungstechnik und damit verbundene PCs.

Nach heutiger Einschätzung ist "Stuxnet" ein Produkt der Geheimdienstszene, die den Wurm zur Durchsetzung geopolitischer Ziele entwickelte. Obwohl der Wurm explizit nicht gegen Unternehmen gerichtet ist, lassen sich seine Konsequenzen als Weckruf für Sicherheitsverantwortliche interpretieren. Zunächst ist Sabotage nicht die einzige Bedrohung. Auch Industriespionage gehört zum Aufgabenbereich ausländischer Geheimdienste. Ist die Technologie einmal verfügbar, kann sie leicht für andere Zwecke eingesetzt werden. Weiterhin beschafft die organisierte Kriminalität ihr Know-how aus den gleichen Quellen. Auf dem globalen Markt für unveröffentlichte Sicherheitslücken kaufen sowohl die "Guten" als auch die "Bösen" ein. Gleiches gilt für den einschlägigen Arbeitsmarkt. Unternehmen sind im Visier der organisierten Kriminalität als Ziele für Auftragsspionage und Erpressungsversuche. Letztere bekommen durch Angriffe auf die Automatisierungstechnik noch mehr Drohpotenzial.

Schließlich zeigt die Entdeckung und öffentliche Analyse von "Stuxnet", dass es selbst Geheimdiensten nicht gelingt, im Cyberspace unbemerkt zu agieren. Demnach sollte die bislang beispiellose Technologie von "Stuxnet" keinesfalls als Erfolg von Spionage auf höchstem Niveau interpretiert werden, sondern vielmehr als Scheitern des Grundprinzips, nicht nur geheimdienstliche Erkenntnisse, sondern auch Fähigkeiten geheim zu halten. In der Konsequenz werden nicht-staatliche, schlechter finanzierte Angreifer schnell innovative Angriffstechniken lernen und sie für ihre Zwecke einsetzen. Es ist zu bezweifeln, dass diese Akteure ähnlichen Aufwand wie die Entwickler von "Stuxnet" in Kauf nehmen, um Begleitschäden zu minimieren. In der Verbreitung bösartigerer Varianten liegt die wahre Bedrohung durch "Stuxnet". Ursache des Problems bleibt aber, dass unsichere Steuerungssysteme verkauft und betrieben werden. Industrieausrüster sollten als erstes umdenken.

Rainer Böhme

Westfälische Wilhelms-Universität Münster

rainer.boehme@wi.uni-muenster.de


Kommentare zu diesem Artikel

Es gibt noch keine Kommentare zu diesem Artikel.

Ihr Kommentar

Wir freuen uns über Ihren Kommentar.
Die Redaktion behält sich vor Beiträge, die diffamierende Äußerungen enthalten oder sich eines unangemessenen Sprachstils bedienen, nicht zu veröffentlichen.

SPAM-Schutz * Welcher Buchstabe fehlt im folgenden Wort?