Betrachtung

ÜBERTRAGUNG VON IT- TYPISCHEN BEDROHUNGEN AUF ANDERE „Technologie-Bereiche“

Stuxnet, Sony´s Playstation-Hack und Hacks gegen Kreditkartenabrechner sind nur die Spitze des Eisbergs welche von der Öffentlichkeit wahrgenommen wird. Aber sie sind klare Indikatoren dafür,

dass es einen Wandel möglicher Angriffsziele von Cyberkriminellen aber auch staatlichen Organisationen gibt.

Bei näherer Betrachtung läuten dabei aber ganz schnell alle Alarm-Glocken – gleich ob sich der Angriff gegen SCADA und DCS/PCS Systeme richtet, oder ob Autos, Abrechnungssysteme oder Embedded Systems betroffen sind - die Qualität des möglichen Impacts übertrifft jene im Vergleich zum „hochgegangenen“ Back-Office PC um ein Vielfaches.

Mit ein bisschen Phantasie sind Szenarien wie im 4.Teil von „Stirb Langsam“ plötzlich gar nicht mehr utopisch.

Dabei wird das Top-Angriffsmotiv weniger von pädagogisch fragwürdigen Intentionen getrieben sein, sondern damit eine Gesellschaft mit der Situation zu konfrontieren, wie es ihr wohl ohne funktionierende Infrastruktur ergeht. Militärisch, nachrichtendienstlich und staatlich motivierte Schritte unberücksichtigt zu lassen werden es mit hoher Wahrscheinlichkeit handfeste wirtschafspolitische Interessen sein. Ungeachtet ob diese Interessen nur die eines einzelnen oder jene einiger weniger sind.

Das Wissen um die die Auswirkungen eines gezielten Angriffs auf strategische Infrastrukturen lässt sich – im Fall der Fälle - zu barem Geld verwandeln. Neu ist der Wandel der Angriffe, die mittlerweile Social Driven sind (z.B. Social DDOS Attacks gegen Amazon/Paypal im Fall vom Playstation hack). Auch dieses Vorgehen lässt sich perfekt zum Geldverdienen benutzen.

Nicht nur wegen der mögliche Auswirkungen, die solche Angriffe verursachen können, läuft es einem kalt über den Rücken sondern vor allem auch wenn man sich ansieht, wie weit die Welt der Security Leute von jener der Prozessleit-Techniker und Steuerungsprogrammierer auseinanderdriftet.

Um das gesamte Netzwerk (Prozesssteuerung und Unternehmensnetz) abzusichern ist es eine Grundvoraussetzung, dass diese Ansichten zusammenwachsen.

Nicht gerade ideal ist, dass wir in diesem Umfeld zudem von denkbar ungünstigen Voraussetzungen ausgehen müssen:

Systemkomplexität ist zu hoch, benötigt Expertenwissen in vielen Bereichen (das niemand wirklich hat) unser tägliches Leben hängt schon zu stark von der IT ab (siehe Estland, Südkorea, Iran) – bei exponentiell steigender Abhängigkeit deren Interdependenz in Ihrer Gesamtheit niemand mehr abzuschätzen vermag der Versuch, fehlende Sicherheit durch Anwendung von alltagsbewährten Sicherheitsmaßnahmen (z.B. AV/IDS/FW, ...) herzustellen behebt nicht das Problem von mangelhaften/fehlenden Sicherheitskonzepten... und es macht das System noch komplexer für beinahe jedes Produkt gilt: Gewinnmaximierung kommt vor Unfallvermeidung und Sicherheit -  Profitabilität hat naturgemäß den Vorzug gegenüber Sicherheit