IT-Security: Wie sich EADS schützt

Stuxnet war nur der Anfang

26.05.2011
Von 
Reppesgaard studierte in Hannover und arbeitete danach als Reporter und Moderator bei Hörfunk von Radio Bremen zu innen- und jugendpolitischen Themen und in den Bereichen Technologie und Wissenschaft. Seit dem Jahr 2000 lebt er in Hamburg, seit 2001 arbeitet er mit Christoph Lixenfeld im druckreif Redaktionsbüro zusammen.
Weitere Artikel des Autors

Spionage gehört zum Auftrag

Tabelle: IT-Security - So könnten die Ausgaben steigen.
Tabelle: IT-Security - So könnten die Ausgaben steigen.
Foto: cio.de

Offizielle Kriegserklärungen wird es dabei nicht geben. Die Attacken kommen plötzlich, und ihre Urheber legen in den digitalen Netzen falsche Fährten, um ihre Spuren zu verwischen. Maßgeschneiderte Angriffe auf Unternehmenssysteme gehören in dieser Zukunft zum Alltag. Mit ihnen verdienen Profi-Hacker ihr Geld, ebenso wie Männer in dunklen Anzügen, so wie sie 2021 in den Kleinbus nach Langfang steigen. "Informationen aus anderen Ländern (also fremden Firmen, Anm. d. Red.) zu beschaffen ist in den Landesverfassungen von China und Russland legitimiert", warnt Herbert Kurek, Referatsleiter beim Bundesamt für den Verfassungsschutz, gebetsmühlenartig.

Guus Dekkers Corporate CIO EADS und CIO Airbus: "Vor ein paar Jahren war Sicherheit noch eine Frage von ein paar Produkten. Das können Sie heute vergessen."
Guus Dekkers Corporate CIO EADS und CIO Airbus: "Vor ein paar Jahren war Sicherheit noch eine Frage von ein paar Produkten. Das können Sie heute vergessen."
Foto: EADS

Vor diesem Hintergrund muss in IT-Sicherheit investiert werden. Nach Berechnungen der Unternehmensberatung Booz & Company könnten die Ausgaben für IT-Sicherheit in Deutschland im Jahr 2021 die Summen für die Innere Sicherheit in Deutschland um das Doppelte übertreffen. Bei Booz geht man für dieses Gedankenspiel davon aus, dass der Markt für IT-Sicherheitsprodukte in Deutschland in den nächsten Jahren jeweils um zehn Prozent steigen wird. Dann würden 2021 in diesem Bereich etwa 8,6 Milliarden Euro ausgegeben (siehe Tabelle oben). "Natürlich muss es nicht so kommen, aber ein jährlich zweistellig wachsender Markt für IT-Security über die nächsten zehn Jahre ist ein realistisches Szenario", sagt Wolfgang Zink, Mitglied der Geschäftsleitung von Booz & Company in München.

Beispiel Stuxnet

Ein wichtiges Argument für diesen Anstieg sind 15.000 Zeilen Code, die seit dem Sommer 2010 Schlagzeilen machen. Der damals entdeckte Computerwurm Stuxnet zielt auf Industriesteuerungsanlagen, die mit einer Siemens-Software betrieben werden. Wer Urheber und Ziel dieses Computerangriffs waren, blieb zunächst unklar. Sicher ist aber, dass Stuxnet Maßarbeit war. Das Schadensprogramm wurde nur aktiv, wenn es eine ganz bestimmte Anlage mit einer Siemens-Steuerung befiel. Diese Anlage war das Steuerpult für die Zentrifugen der iranischen Urananreicherungsanlage in Natanz, wie Sicherheitsfachleute im Laufe der nächsten Monate herausfanden.

Dieter Schmidbaur CIO, EADS-Division Cassidian: "Wir stehen vor Angriffen, die nicht mehr mit klassischen Methoden wie einem Virenscanner oder einer Firewall abgewehrt werden können."
Dieter Schmidbaur CIO, EADS-Division Cassidian: "Wir stehen vor Angriffen, die nicht mehr mit klassischen Methoden wie einem Virenscanner oder einer Firewall abgewehrt werden können."
Foto: EADS

Mitarbeiter von Wartungsfirmen hatten den Wurm dann offenbar über infizierte Laptops oder USB-Sticks dort eingeschleppt. Dort befiel Stuxnet die Siemens-Steuerungssysteme und manipulierte die Geschwindigkeit der Zentrifugen so, dass die Motoren von fast 1000 dieser Trennschleudern beschädigt wurden. Durch die Probleme musste die Anlage monatelang heruntergefahren werden. Experten gehen davon aus, dass die Versuche des Iran, waffenfähiges Material für den Bau von Atombomben herzustellen, um zwei Jahre zurückgeworfen wurden.

Wer sich Gedanken darüber macht, wie es um die IT-Sicherheit 2021 bestellt ist, muss dieses kleine Stück Nahost-Geschichte im Blick haben. Dekkers hat alle Informationen, die über das Angriffsprogramm bekannt wurden, natürlich genau verfolgt. "Dass es technisch möglich ist, einen Virus wie Stuxnet zu programmieren, ist für uns keine Überraschung", sagt er. "Überraschend ist eher, dass es der Sicherheits-Community gelang, seine Existenz nachzuweisen und dabei so viele Informationen über den Sinn und die Funktionsweise von Stuxnet zusammenzutragen. Daraus lässt sich ableiten, worauf wir uns alle in Zukunft einstellen müssen."

Zur Startseite