Schrift:
Ansicht Home:
Wirtschaft

IT-Sicherheit

Wenn Legoland zurückhackt

Cyberangriffe können jeder Firma gefährlich werden, vom Maschinenbauer bis zur Bank. Erst allmählich erkennen Unternehmen in Deutschland das Risiko - und bereiten sich vor.

Michael Walter / DER SPIEGEL

Trügerische Sicherheit

Von
Samstag, 02.12.2017   19:37 Uhr

Wenn ein Hacker in eine Industrieanlage eindringt, bekommt er es an irgendeiner Stelle mit Siemens zu tun. Das deutsche High-Tech-Unternehmen stellt Steuerungsgeräte für Kraftwerke und Produktionsstraßen her, Netzwerkkomponenten, Sensoren und Leitsysteme. Wären diese Komponenten leicht zu knacken, wäre der Dax-Konzern schnell am Ende.

Die für Siemens gefährlichsten Hacker greifen von Legoland aus an. So nennen die Siemens-Mitarbeiter ihr Forschungszentrum in München-Neuperlach-Süd, wegen der Siebzigerjahre-Laborgebäude mit den bunten Aufbauten. In einem kleinen Trakt irgendwo auf dem Firmengelände, in nüchtern-chaotischen Zimmern, zwischen Kabelrollen, Werkzeugen und Steuerungskomponenten sitzen Hacker an Schreibtischen voller Monitore.

Sie handeln im Auftrag - allerdings nicht im Auftrag von Konkurrenten, Terroristen, Geheimdiensten, sondern im Auftrag von Siemens selbst. Von verschiedenen Einheiten des Konzerns bekommen sie die Order, eine bestimmte Komponente auszutricksen. Dazu das schlimmstmögliche Szenario, beispielsweise: "Versucht, mit dem Zeitaufwand X in dieses Gerät einzudringen und die davon gesteuerte Produktion lahmzulegen, für mindestens X Stunden/Tage." Oder auch: "Überliste das Alarmsystem und dringe ein, ohne dass es jemand bemerkt." Im IT-Jargon heißt das Penetration Testing, der Versuch, in eine geschützte Umgebung einzudringen.

REUTERS

Siemens-Entwicklungszentrum "Legoland" in München

Software und Schraubenzieher

Wie der Leiter der Einheit, Robert Ingruber, haben auch einige der "guten" Hacker Elektrotechnik studiert, eine hilfreiche Ausbildung. Denn sie schrauben die Siemens-Geräte auch auseinander, untersuchen, welche Komponenten verbaut sind und wie man über das Netz an sie herankommen könnte. Sie schließen die Geräte an Strom und ein Netzwerk an, versuchen die Funktionsweise zu verstehen und entwickeln eine Einbruchsstrategie.

Der digitale Kontrollverlust

Für Siemens wäre es vergleichsweise leicht, die eigenen Systeme sehr gut zu sichern, aber in großen Systemen wie Produktionsstraßen, Kraftwerken, Wasserwerken oder Krankenhäusern arbeiten sehr viele Geräte unterschiedlicher Hersteller zusammen und alle kommunizieren - miteinander, mit dem Systemadministrator oder dem Produzenten.

"Die hohe Komplexität größerer Systeme macht die Sicherung extrem schwierig", sagt Ingruber. Die Herausforderung sei, dass die Komponenten oftmals in kritischen Infrastrukturen verbaut sind und zudem zehn, 20 oder 30 Jahre und länger betrieben werden.

Es sind keine Script-Kiddies mehr, Jugendliche mit ein wenig technischem Sachverstand, die vom heimischen PC aus in kritische Anlagen eindringen. Es sind Profis, die mit hohem Aufwand, mit Geld und Technik ein Ziel verfolgen. "Wer erfolgreich sein will, braucht viel Erfahrung, Zeit, Geduld und ein wenig Glück", sagt Ingruber. Vielleicht hat ein Administrator mal vergessen, ein Passwort zu vergeben oder ein W-Lan versehentlich geöffnet.

Eine dreifach gesicherte Stahltür - in einer Hecke

Die größten Probleme verursachen nicht fehlerhafte Codes in einer Software, sondern die mangelhafte Einbindung neuer Geräte oder Software in das bestehende System. Ingruber beschreibt es so: "Da baut jemand eine dreifach gesicherte Stahltür ein, rechts und links davon pflanzt er aber nur eine Hecke, durch die jeder leicht durchspazieren kann."

Die Siemens-Lösung, eigene Tests durchführen zu lassen, ist aufwändig und teuer, aber sie rechnet sich. Einzelne Hackerangriffe können gewaltige Schäden verursachen, wie das Beispiel der Firma Maersk zeigt: Allein der Angriff mit der Ransomware Petya/NotPetya kostete die Reederei 200 bis 300 Millionen Dollar Gewinn.

DPA

Cyberattacke mit Ransomware Petya

Siemens hat daher den Wettlauf mit Hackern schon früh aufgenommen. Seit 25 Jahren gibt es dort ein Fachzentrum für Sicherheit, seit 13 Jahren greift Siemens seine Geräte selbst an - der Konzern beobachtet die Attacken auf seine eigenen Systeme und lernt daraus.

Kleine und mittelständische Unternehmen in Deutschland, die in Deutschland überwiegen, haben nicht die Mittel, die einem Weltkonzern wie Siemens mit mehr als 350.000 Mitarbeitern und einem Jahresumsatz von 80 Milliarden Euro zur Verfügung stehen. Viele Firmenchefs scheuen größere Investitionen in IT-Sicherheit, zumal sie keinen unmittelbaren Nutzen sehen - wenn etwas nicht passiert, ist es schwer, das als Erfolg zu sehen.

Der erfolgreiche Angriff kommt auf jeden Fall

So klagen IT-Sicherheitsbeauftragte im Gespräch mit SPIEGEL ONLINE über mangelnde Wertschätzung und mühsame Überzeugungsarbeit in der eigenen Firma. Viele Betriebe haben auch schlicht keine nennenswert große IT-Abteilung.

Dienstleister wie Hisolutions profitieren davon, sie sichern nicht nur Netze und Anlagen ab, sie treten auch als Feuerwehr auf - und das immer häufiger, sagt Direktor Frank Rustemeyer. "Noch vor fünf bis zehn Jahren bestand unsere Arbeit vor allem darin, einen Schadensfall zu verhindern. Heute geht es darum, den Schaden, der früher oder später eintritt, zu begrenzen." Zwar hat sich nach Ansicht Rustemeyers einiges verbessert, so seien sich die Unternehmen heute grundsätzlich bewusst, dass sie andauernd bedroht werden.

Allerdings birgt auch das Tücken: Einige Unternehmen haben zwar bereitwillig digitalisiert, jetzt sind sie aber vollkommen abhängig von Dienstleistern. Viele Programme laufen ausschließlich auf Servern von Drittanbietern - werden die dann gehackt, steht der Betrieb still. Als genau dies vor wenigen Wochen passierte, standen die betroffenen Unternehmen besonders dumm da: Sie wussten nicht, warum ihre Anlagen streikten, konnten aber auch ihren IT-Dienstleister nicht erreichen. Der war nämlich damit beschäftigt, den Cyberangriff unter Kontrolle zu bekommen - und beantwortete einfach keine E-Mails oder Telefonanrufe mehr. Sicherheitsbehörden erkennen schon seit längerem den Trend, dass Hacker im Auftrag ausländischer Nachrichtendienste IT-Anbieter attackieren.

AP

Phishing-E-Mail

Immerhin kann mittlerweile jeder Betrieb einen mehr oder minder maßgeschneiderten IT-Schutz einkaufen, auch ganz simpel bei der Telekom. Die Technik alleine bietet allerdings keinen absoluten Schutz. Das größte Problem für alle Unternehmen, egal wie gut sie vermeintlich gesichert sind: Mitarbeiter, die schwerwiegende Fehler machen, aus Unwissenheit, Gutgläubigkeit oder einfach nur aus Angst.

Zwar weiß mittlerweile fast jeder, dass nicht jeder E-Mail-Anhang einfach geöffnet werden sollte, trotzdem verbreiten sich Schadprogramme immer noch vor allem auf diesem Weg. Tests, bei denen IT-Experten gezielt infizierte Mails verschicken, haben ergeben, dass rund sieben Prozent der Nutzer trotz aller Warnungen auf den Anhang klicken. Manche tun dies sogar mehrfach, wie die Grafik zeigt:

Besonders erfolgversprechend ist es offenbar auch, die Schadsoftware auf einem USB-Stick zu speichern und den auf dem Firmenparkplatz zu "verlieren" - arglose Mitarbeiter stecken das Fundstück in den Bürorechner und schleusen das Schnüffelprogramm selbst in die Firma ein.

Der findige IT-Sicherheitschef eines weltbekannten deutschen Maschinenbauers hat auch dagegen einen wirksamen Schutz gefunden: Er lässt selbst solche USB-Sticks herumliegen. Wer einen davon mit seinem Computer verbindet, bekommt eine Textnachricht zu sehen. "Ihr Computer wurde gehackt, wir kopieren diese Dateien." Es folgt eine Liste aller Dokumente auf dem Rechner und die Nachricht "Jetzt wird alles gelöscht. Wenn Sie Ihre Daten wiederhaben wollen, rufen Sie folgende Telefonnummer an."

Dort meldet sich dann der IT-Sicherheitschef: Das Programm ist ein Fake und ändert auf dem Computer nichts. Schocktherapie zur Bewusstseinsbildung - vermutlich der erfolgreichste Weg.

insgesamt 23 Beiträge
vitalik 02.12.2017
1.
Der Artikel gibt doch selbst die Antwort darauf, warum das Unterfangen zum Scheitern verurteilt ist. Die super getesteten Komponente nützen einem nichts, wenn der Faktor Mensch immer noch im Spiel ist. Siemens liefert die [...]
Der Artikel gibt doch selbst die Antwort darauf, warum das Unterfangen zum Scheitern verurteilt ist. Die super getesteten Komponente nützen einem nichts, wenn der Faktor Mensch immer noch im Spiel ist. Siemens liefert die "sicheren" Steuerungskomponenten, nur der Kunde will es bequem haben und will die Steuerung zusätzlich über einen 0815 PC, der auch noch am Netz hängt.
Velociped 02.12.2017
2. Digitale Genfer Konvention
Sicher gibt es viele Sicherheitslücken, die sich einfach schließen lassen. Aber das Sicherheitsproblem an sich lässt sich so genauso wenig lösen wie man Einbrüche durch bessere Türen verhindern kann. Dazu kommt, dass [...]
Sicher gibt es viele Sicherheitslücken, die sich einfach schließen lassen. Aber das Sicherheitsproblem an sich lässt sich so genauso wenig lösen wie man Einbrüche durch bessere Türen verhindern kann. Dazu kommt, dass "Sicherheitsbehörden", die Unsicherheit fördern. Sie bestechen Entwickler um Hintertüren einzubauen, deren Verwendung dann nicht mehr kontrolliert werden kann. Sie bezahlen Kriminelle dafür, dass diese Sicherheitslücken weitergeben und versuchen zu verhindern, dass Hersteller diese Sicherheitslücken schließen. Wir bezahlen zweimal für (Un-)Sicherheit: Einmal die Firmen für die Sicherheitslösungen und das zweite Mal mit unseren Steuergeldern dass dort Sicherheitslücken vorhanden sind und diese nicht geschlossen werden. Microsoft hat das thematisiert und Diskussionen um eine "Digital Geneva Convention" angestoßen. Darüber wird in den nächsten Wochen in Genf verhandelt. Schade, dass der Artikel diese Dimension des Problems unterschlägt.
jozu2 02.12.2017
3. Muss alles mit dem Internet verbunden sein?
Wieso ist heute alles mit dem Internet verbunden? Vielleicht sollte man auf die bequeme Fernwartung verzichten und lieber auf den Hausmeister setzen, der Rundgänge macht und die Wartungsfirma ruft, wenn ein rotes Lämpchen [...]
Wieso ist heute alles mit dem Internet verbunden? Vielleicht sollte man auf die bequeme Fernwartung verzichten und lieber auf den Hausmeister setzen, der Rundgänge macht und die Wartungsfirma ruft, wenn ein rotes Lämpchen blinkt.
debabba 02.12.2017
4. Der Hacker ist immer schneller
Leider ist es nun mal die Wahrheit Der Hacker ist nun mal schneller als die "Hackerabwehr", denn bis die Hackerabwehr merkt das jemand eingebrochen ist, ist der Hacker ja schon drin. Ein neue Lücke... dann wird die [...]
Leider ist es nun mal die Wahrheit Der Hacker ist nun mal schneller als die "Hackerabwehr", denn bis die Hackerabwehr merkt das jemand eingebrochen ist, ist der Hacker ja schon drin. Ein neue Lücke... dann wird die geschlossen. Dann sucht der Hacker ne neue Lücke im System und findet die natürlich vor der Abwehr
global.payer 02.12.2017
5. und dann kommt noch unser Innenminister De Maiziere
und möchte „zusätzliche Hecken“, damit der Staat auch immer und überall reinschauen kann. Welchen Schaden das verursacht, man mag es sich nicht vorstellen.
und möchte „zusätzliche Hecken“, damit der Staat auch immer und überall reinschauen kann. Welchen Schaden das verursacht, man mag es sich nicht vorstellen.

Verwandte Artikel

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP