Siemens-Manager: Fundamente der IT-Sicherheit am Wanken

Johann Fichtner, Leiter des "Cyber Emergency Readiness Team" (CERT) bei Siemens, sieht die IT-Sicherheit "in den Grundfesten etwas erschüttert". Grund für seine Einschätzung ist weniger der Stuxnet-Wurm, der auf Steuerungstechnik für Industrieanlagen des Technologiekonzerns spezialisiert ist und vielfach als Sündenfall in Cyberwar-Szenarien bezeichnet wurde. Grund für seine Sorgen seien vielmehr Angriffe auf Verschlüsselungsinfrastrukturen, wie sie mit dem RSA-Hack oder dem Knacken der Zertifizierungsstellen DigiNotar, Comodo und GlobalSign erfolgten, führte der Manager auf der Konferenz Cybersecurity 2011 am Mittwoch in Berlin aus. "Schaffen wir es, die Endgeräte in den Griff zu bekommen?", sei derzeit eine der wichtigsten Frage von Security-Experten.

Ihn beunruhige, dass die Geldverdienstmöglichkeiten mit organisierter Cyberkriminalität "massiv zur Aufrüstung beitragen", führte Fichtner weiter aus. Damit würden die "Waffen" für den Cyberwar "auch zur Spionage und Sabotage nutzbar". Diese Entwicklung stelle wiederum auch für Staaten eine "starke Versuchung" dar, in diesem Feld aktiv zu werden. Stuxnet sei in diesem Sinne "sicher nicht der letzte Fall gewesen", in dem ein Computerschädling mit einem gezielten Angriff auf hohem Niveau einem Gegner Sand ins Getriebe streuen solle. Dabei habe es sich bei dem Wurm letztlich um "ganz normale Malware" gehandelt, die über "sehr wirkungsvolle Microsoft-Schwachstellen verfügt" habe. Die Wichtigkeit des Know-hows von Siemens-Produkten für die Attacke sei dagegen "überschätzt" worden, meinte Fichtner zunächst. Später räumte er aber ein, dass den Stuxnet-Programmierern das angegriffene System "genau bekannt" gewesen sein müsste "bis hin zu den Frequenzen, die Uranzentrifugen steuern".

Zu Mutmaßungen, dass Siemens ein solches Wissen zu bereitwillig mit Regierungsvertretern etwa in den USA geteilt habe, erklärte der Konzernvertreter, dass man vor einer Reihe von Jahren "genauso wie andere Hersteller" mit dem Idaho National Lab zusammengearbeitet habe, das jenseits des Atlantiks eine wichtige Rolle beim Schutz kritischer Infrastrukturen spiele. Es habe die Aufforderung gegeben, die eigenen Systeme für "Sicherheitstests" zur Verfügung zu stellen. Entsprechende Kooperationen habe es generell im Verteidigungsbereich gegeben. Bei Siemens sei man aber definitiv nicht davon ausgegangen, dass diese Aktivitäten "einen ungewollten Beitrag zu einem offensiven Angriff" leisten könnten. Wenn es um die Aufdeckung von Schwachstellen in kritischen Infrastrukturen gehe, sei jedoch immer die Preisgabe von Informationen nötig, die sich auch Angreifer zunutze machen könnten.

Zur Prävention hält Fichtner es am wichtigsten, "sicheres Codieren voranzutreiben". Noch immer seien die wenigsten Programmierer in der Lage, sichere Software zu schreiben. Dies fange bei der mangelhaften Implementierung elementarer Krypto-Algorithmen an und erstrecke sich etwa auf Tests, in denen Passwörter im Klartext übertragen würden. Anschließend werde vergessen, solche Lücken zu schließen. Es sei daher noch "viel Konzeptarbeit nötig". Fremdsysteme müssten ferner gehärtet und mehrfach getestet werden. Neben Prozessen seien auch Produkte Sicherheitsüberprüfungen zu unterziehen.

Andreas Rohr, der bis vor Kurzem für den Aufbau der Einheit Cyber Forensics bei RWE zuständig war, gab zu, dass auch Betreiber kritischer Infrastrukturen "Nachholbedarf bei der Entdeckung von Angriffen haben" und stärker sowie grenzüberschreitend zusammenarbeiten müssten. Angesichts einer "Aufklärung wie im militärischen Umfeld" auf der Gegnerseite zum Ausfindigmachen von Angriffspunkten bei Technik oder Mitarbeitern, müssten firmenintern Infos etwa über den Crash von Applikationen gesammelt und bewertet werden. Nur so sei der Methodik gezielter Attacken auf die Spur zu kommen, befand der Abgesandte des Stromriesen. Unerlässlich sei es zudem, auf der Ebene der Konzernsicherheit Mindestanforderungen für IT-Security genauso aufzustellen wie für den Schutz von Infrastrukturen und die Personen- und Objektsicherung. Deutsche Konzerne seien in der Regel aber besser aufgestellt "als der Rest der Welt", da sie Prozessnetze nicht ins Internet hängten.

Was ein eigenes Forensik-Team erreichen kann, zeigte Stefan Krebs, Leiter Informationssicherheit bei der Finanz Informatik GmbH, an einem realen Beispiel aus dem Firmenalltag auf. So hätten die Netzwächter des Sparkassendienstleisters etwa eines Tages einen auffälligen Netzverkehr gemeldet, der bei einer Analyse "nach Video-Traffic ausgesehen" habe und "außerhalb der üblichen Dienstzeiten" aufgetreten sei. Wie sich später herausstellte, hatte ein "fleißiger Mitarbeiter" aus der IT-Abteilung sich tatsächlich Videos von seinem Webserver zuhause angeschaut. Der findige Techniker habe sich im Garten eine Videokamera installiert, um Übeltäter ausfindig zu machen, die immer wieder seine Rosen abknickten, berichtete Krebs von einem harmlosen Fall.

Beim Vorgehen gegen Phishing gehe der Kampf aber "gegen Wirtschaftsorganisationen", konstatierte der Abteilungschef. Es sei daher wichtig, entsprechende Angriffe etwa schon durch das Setzen eines Überweisungslimits von 500 Euro von Nutzerseite aus ökonomisch uninteressant zu machen. Auf Betreiberseite täten in Eigenregie entwickelte Applikationen das Ihre, um den Phishern die Arbeit zu erschweren. Eher Gutes abgewinnen kann der Zulassung von Smartphones fürs Online-Banking: Je mehr Plattformen es gebe, desto schwieriger werde die Manipulation, da diese auf Browser und Betriebssystem zugeschnitten sein müsse. (jk)