Pirate Security Conference: Aggressive Drohnenschwärme, Cyber-Nachlässigkeiten und katastrophale Kettenreaktionen

Inhaltsverzeichnis

Die wachsenden Listen von Schwachstellen in Industrial Control Systems (ICS) wird in wenigen Jahren das wichtigste Problem der Sicherheitspolitiker, prognostiziert der Sicherheitsexperte und IT Harvest Berater Richard Stiennon. Auf der parallel zur Münchner Sicherheitkonferenz veranstalteten Pirate Security Conference (PSC 2016) empfahlen Experten, systemische Schwachstellen und die automatisierter Kriegsführung ins Zentrum von "Cyber-Abrüstungsverhandlungen" zu stellen.

Rund 3000 bis 4000 Warnmeldungen gibt ein speziell für Schwachstellen im ICS eingerichtetes CERT des US Heimanschutzministeriums pro Quartal heraus. Betroffen sind derzeit beispielsweise vor allem die Controller CPU SIMATICS7-1500 oder auch ein Gebäudemanagementsystem der deutschen Firma Sauter.

Kritik an kritisierende Politiker

Die für die IT-Sicherheit in der Schweiz zuständige Agentur Melanie bringe demgegenüber gerade mal drei bis vier Alerts im Vierteljahr heraus, kritisierte Guillaume Saouli, einer der Vorsitzenden der Schweizer Piraten. Schlimmer noch ist aus seiner Sicht: Die Betreiber kritischer Infrastrukturen – Gas-, Wasser-, Stromversorgung oder Transport – schauen bei solchen Steuerungen vor allem auf die Kosten.

Wenn Politiker ihre Bürger zurechtweisen, weil diese so bereitwillig mit ihren Daten für kostenlose Dienste im Netz bezahlen, sollten sie erst noch einmal die Sicherheitsbudgets für ihre kritischen Infrastrukturen überprüfen. Ein Ausfall einer der 720 Schweizer Versorger könne Kettenreaktionen mit katastrophalen Ausmaßen auch für die Nachbarn in Europa auslösen.

Cyberwar-Buchautor Stiennon bekräftigte, dass er neben Angriffen auf kritische Infrastrukturen auch den Cyberwar für nicht für wahrscheinlich hält, sondern als sicher. Innerhalb von fünf Jahren dürfe die Welt die ersten Demonstrationen von Drohnenschwärmen erwarten, die miteinander kommunizieren und koordiniert angreifen.

USA Ziel Nummer eins

Die ersten dieser Angriffe würden aber ihrerseits so unsicher sein, dass gerüstete Verteidiger "ganz gute Chancen" zur Gegenwehr hätten. Stiennon rechnet damit, dass die USA selbst als erstes ins Visier eines Cyberschlags gerät. Das Land habe mit Stuxnet selbst den Aufschlag gemacht. Und erst nach einer echten Blamage hofft er auf eine Trendwende in der besseren Absicherung der eigenen Systeme, sowohl der kritischen Infrastrukturen als auch der militärischen Systeme.

Als Beispiel für die Nachlässigkeiten erzählt Stiennon von den 9 Millionen Zeilen Code im und 15 Millionen Zeilen Code außerhalb des Cockpits des Kampfjets Lockheed Martin F-35. Laut Test einer Hackergruppe gebe es rund 125.000 potentielle Zero Day-Angriffspunkte in dem Flieger. Normalerweise seien diese nicht so leicht auszunutzen. Aber, weil China sich durch einen Angriff bei Lockheed Martin den Source Code beschafft habe, sehe das natürlich anders aus, meinte Stiennon.

Chancen für die Cyberabrüstung

Ob durch solche Aussichten die Chancen für Abrüstungsgespräche unter dem Dach der Vereinten Nationen oder der Non-Proliferation and Disarmament Initiative (NPDI) steigen? Angelika Beer, Piraten-Abgeordnete im Landtag von Schleswig-Holstein, fühlt sich auf jeden Fall bestätigt. Noch zur ersten PSC seien über die Idee die Köpfe geschüttelt worden. Jetzt sind die Überlegungen, wie mit autonomen Waffensystemen – "Killerdrohnen" – umgegangen werden soll, auch eine Thema der Münchner Sicherheitskonferenz.

Ein erster Schritt könnte sein, den Handel mit den Zero-Day-Schwachstellen als Geschäftsmodell kommerzieller Anbieter zu verbieten und nicht noch staatlicherseits anzuheizen, empfahl Marcel Dickow von der Stiftung Wissenschaft und Politik. Diese Empfehlung, voll automatisierte militärische Systeme jetzt noch zu verbieten, könnte Deutschland in den im April anstehenden Verhandlungen zu "Lethal Autonomous Weapon Systems" vorantreiben. Dort hat Deutschland den Vorsitz. (anw)