Cybersecurity-Division der Telekom

Cyberangriffe simulieren, um sie zu bekämpfen



Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Je komplexer, desto anfälliger

Marc Elsberg schaffte mit "Blackout" einen Bestseller.
Marc Elsberg schaffte mit "Blackout" einen Bestseller.
Foto: Clemens Lechner

Glücklicherweise sind die meisten Angriffe bei weitem (noch) nicht so massiv und umfangreich wie die eingangs beschriebenen. Die Zeichen mehren sich aber, dass aus dem unkontrollierbaren Horrorszenario Realität werden könnte. Gerade IT-Attacken auf Industrieanlagen wie Produktionssteuerungssysteme oder kritische Infrastrukturen wie intelligente Stromnetze (Smart Grids) sind spätestens seit dem Stuxnet-Vorfall im Sommer 2010 (Manipulierung von SCADA-Systemen in Atomanlagen durch staatlich entwickelte Trojaner) keine Science Fiction mehr.

"Das Problem ist, dass wir unsere Systeme selbst nicht mehr verstehen - werden diese dann miteinander vernetzt, potenzieren sich die Komplexität und die Gefahr noch einmal", stellt Marc Elsberg fest. Der Autor beschreibt in seinem Bestseller "Blackout" die schlimmstanzunehmenden Folgen eines großflächigen Stromausfalls in Europa - mehr als eindringlich.

Sichere Industrie 4.0

Daniel Hamburg sieht Sicherheitsfragen noch nicht im 'deutschen Mittelstandsbauch' angekommen.
Daniel Hamburg sieht Sicherheitsfragen noch nicht im 'deutschen Mittelstandsbauch' angekommen.
Foto: TÜV Rheinland i-sec

"Die Vernetzung industrieller Systeme mit dem Internet ist noch zu wenig auf dem Radar der Produktionsleiter - und wenn, dann nur in den Großkonzernen", so Daniel Hamburg, Head of SecuritySecurity Engineering bei TÜV Rheinland i-sec. Zudem sei die Sprache zwischen IT-Sicherheitsexperten und Ingenieuren nicht dieselbe, entsprechend das Bewusstsein für die Bedrohungen nicht da. Was jahrzehntelang ausschließlich ein Problem für die IT-Wirtschaft darstellte, greift nun in andere Industriebereiche über, ohne dass die dort Beschäftigten davon etwas zu merken scheinen. Alles zu Security auf CIO.de

"Der Baggerfahrer ist der Terrorist des Alltags", weist Elsberg beispeislweise augenzwinkernd auf die Gefahren durch versehentlich durchtrennte Erdkabel hin. Er unterstreicht damit, dass die gefährlichsten Sicherheitsrisiken in IT-Systemen schon längst nicht mehr nur durch absichtliche Manipulation herbeigeführt und ausgenutzt werden. Selbes gilt für den Umgang mit Unternehmensdaten, wie die TechConsult-Marktanalyse "Industrie 4.0 - Vernetzung braucht IT-Sicherheit" zu Tage fördert: Besonders dem deutschen Mittelstand treibt die Angst vor Fehlverhalten und leichtfertigem Umgang der Mitarbeiter mit Daten die Sorgenfalten auf die Stirn.

Sich der Bedrohung nur bewusst zu werden, genügt jedoch nicht. "Sicherheit muss beim Design der Infrastruktur und des Systems mitgedacht werden", fordert Elsberg. Die Idee ist nicht neu, hat dank des aktuellen Hypes in der IT-Welt um den Begriff "IndustrieIndustrie 4.0" aber eine größere Chance auf Umsetzung als jemals zuvor. Die vierte industrielle Revolution nach Dampfmaschine, Fließband und programmierbarer Steuerung dreht sich schließlich um die Informatisierung der klassischen Industrien und damit um den finalen Brückenschlag zwischen IT und Produktion. Viele Experten hoffen, dass so auch der Bereich IT-Sicherheit in der Industrie bald einen ähnlich wichtigen Stellenwert einnnehmen wird wie klassische Sicherheitsaspekte. Top-Firmen der Branche Industrie

Neue Standards?

"Wir müssen neue Protokolle und Standards schaffen, die Sicherheit voraussetzen", betonte der Forschungsleiter von ThyssenKrupp, Reinhold Achatz, jüngst auf dem 13. IT-Security-Kongress des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nur dann sei die Idealvorstellung "Security by Design" realistisch. Einige Politiker hoffen sogar, dass der Wirtschaftsstandort Deutschland mit neuen Standards der sicheren Entwicklung einen Schub erfährt und "IT-Security made in Germany" als elementarer Bestandteil von Produkten und Maschinen zum Exportschlager wird. Der Weg bis dahin ist aber noch lang. Zunächst werkeln Konzerne wie die Telekom weiter an der Bewusstseinsschärfung aller Beteiligten.

Lesen Sie auch unser Interview mit Professor Marco Gercke über die Motivation der Deutschen Telekom, diese Art Cyberangriffe zu simulieren, den Willen zur Zusammenarbeit zwischen Unternehmen und Politik in Security-Fragen, eine mögliche verbindliche Meldepflicht bei Datenverlusten und den Nachwuchsmangel im IT-Sicherheitsbereich. (CW)

Zur Startseite