Sicherheitsexperte fordert bessere Gesetze zum Schutz kritischer Infrastrukturen
Ira Winkler, der Lücken in der IT von US-Kraftwerken nachwies, fordert ein deutlich stärkeres Eingreifen der Regulierungsbehörden, da die Betreiber selbst nur schleppend reagierten.
Das Risiko von Angriffen auf kritische Infrastrukturen wie das Stromnetz steigt, nachdem immer wieder Sicherheitslücken in entsprechenden Kontrollsystemen aufgedeckt werden. Der US-IT-Sicherheitsexperte Ira Winkler, der entsprechende Probleme bei amerikanischen Kraftwerken nachwies, fordert nun ein deutlich stärkeres Eingreifen der Regulierungsbehörden, um die Betreiber zu zwingen, mehr Geld in die Absicherung ihrer Infrastruktur zu stecken. "Natürlich gibt es viel Hype, aber es gibt eben auch viele Sicherheitsprobleme, die eine böswillige Partei ausnutzen könnte", sagte er im Interview mit dem Technologiemagazin Technology Review. "Das Potenzial, dass es zu ernsten Schäden kommen könnte, halte ich für durchaus real. Die einzige Antwort darauf ist, dass die US-Regierung damit beginnt, Sicherheitsmaßnahmen zu regulieren und sie gesetzlich zu erfordern."
Entsprechende Bitten an die Industrie gäbe es aber schon seit mehr als einem Jahrzehnt – die Behörden fragten stets freundlich nach. "Theoretisch müssen die Firmen alle selbst dafür sorgen, dass ihre Systeme abgesichert sind. Es gibt für sie aber zu wenig Anreize. Es kostet sie stets Geld, und es können dabei Fehler entstehen, die zu Ausfällen der Infrastruktur führen. Solange sie nicht gesetzlich gezwungen werden, die Situation zu beheben, wird sich nicht viel tun." Winkler hatte auf der renommierten RSA-Sicherheitskonferenz demonstriert, wie es möglich war, Kraftwerksangestellte mit Hilfe einer zielgerichteten Phishing-Attacke dazu zu bewegen, Angreifern von außen den Zugang auf ihren Rechner zu überlassen.
Problematisch sei auch, so Winkler, dass Kontrollrechner, die unter Windows liefen, oft schlecht gewartet seien. Die Rechner befänden sich oft auf einem erstaunlich schlechten Stand, "weil die Administratoren es hassen, solche Maschinen zu modifizieren. Es könnte ja zu unbeabsichtigten Ausfällen durch fehlerhafte Software-Aktualisierungen kommen". Tatsächlich hatte es erst kürzlich nach einem Update einen Ausfall in einem US-Atomkraftwerk gegeben. Die Sicherheitsprobleme begannen, nachdem sich Stromkonzerne vor allem in Amerika dazu entschlossen hatten, ihre Verwaltungs- und Kontrollnetze miteinander zu koppeln, um Ressourcen zu sparen, sagte Winkler. "Dann begannen die Unternehmen schließlich damit, auch das Internet in ihren geschäftlichen Netzwerken verfügbar zu machen. Und plötzlich waren dann auch die Kontrollnetzwerke über verschiedene Wege online."
Das ganze Interview mit Ira Winkler in Technology Review online:
(bsc)
