Ob unsachgemäßer Umgang mit Unternehmensdaten durch Mitarbeiter, Dienstleister oder Lieferanten – Cyber-Kriminalität nimmt immer mehr zu, immer neue Formen an und wird immer gefährlicher. Wer heute Banken hackt, kann morgen die Stromversorgung lahmlegen. Doch sich auf die Kompetenz der IT-Abteilung zu verlassen, reicht bei Weitem nicht aus, sagt Jörn Müller-Quade, Professor für Kryptographie und IT-Sicherheit und plädiert für eine w irkungsvolle Informationssicherheit als Aufgabe des gesamten Unternehmens. Die Anforderungen sind mehrdimensional, entsprechend ist systematisches Denken gefragt.
Seit Stuxnet das iranische Atomprogramm um Jahre zurückgeworfen hat, ist klar: Hacker können physischen Schaden anrichten, Stromnetze zusammenbrechen lassen oder Verkehrsstaus provozieren. Dies kann großflächig und Chaos auslösend passieren oder, subtiler, als immer wieder auftretende kleine Störungen. Niemand würde ein Hacking vermuten. Dennoch kann eine Firma oder eine ganze Volkswirtschaft nachhaltig geschädigt werden.
Klassisches Hacking war gestern, Social Engineering ist heute
IT-Systeme sind irrsinnig komplex und die Gegner raffiniert. Klassisches Hacking war gestern, Social Engineering ist heute. Denn: Auch das beste Sicherheitssystem schützt nicht vor der Gefahrenquelle Mensch. Hierbei werden Personen zum Beispiel bei Energieerzeugern oder Netzbetreibern gezielt ausgespäht, ohne dass sie es merken. Sie erhalten maßgeschneiderte E-Mails, deren Anhänge sie unachtsam öffnen. Hat sich die dahintersteckende Schadsoftware installiert, werden Daten und Passwörter gestohlen. Von diesem Computer aus kann man das Vertrauen weiterer Mitarbeiter gezielt missbrauchen, bis man genug Material für den wirklichen Angriff hat. Das Cabernak-Schadprogramm funktionierte so, mit dem der bis heute größte Bankraub aller Zeiten stattfinden konnte. Dabei sind die Cyber-Kriminellen unter anderem direkt in das Herz der Buchhaltungssysteme der Geldinstitute eingedrungen, um Kontensaldi zu erhöhen und im Anschluss die überschüssigen Geldmittel durch eine Überweisung zu entwenden.
Sich allein auf die technische Kompetenz der IT-Sicherheitsabteilung oder ein funktionierendes Risk Management zu verlassen, reicht nicht aus. Angesichts der Komplexität und Vielschichtigkeit möglicher Bedrohungen, müssen ebenso Technik, Prozesse und Strukturen kontinuierlich den Bedürfnissen anpasst werden sowie die Mitarbeiter sensibilisiert werden.
Kraftwerke und Stromnetze der Zukunft werden von Computern gesteuert
Eins ist klar: Im Zuge zunehmender Vernetzung wird die Bedrohung durch Cyber-Kriminalität insgesamt anwachsen. Die G7-Staaten haben daher beschlossen, gemeinsam den Schutz der Infrastrukturen zu verbessern, denn die Kraftwerke und Stromnetze der Zukunft werden von Computern gesteuert. Wir werden Angriffe nicht immer verhindern können. Ich empfehle daher, zusätzlich systemisch zu denken. Das Smart Grid muss robust funktionieren, selbst wenn Teile korrumpiert sind. Große Netze sollten etwa in Micro Grids zergliedert sein, sodass mit einer Netztrennung gezielt auf Angriffe reagiert werden kann, ohne dass sie sich ausweiten.
Jörn Müller-Quade, Professor für Kryptographie und IT-Sicherheit am Karlsruher Institut für Technologie ( KIT )