"Lasst eure Häuser offline!"

Die Computerzeitschrift c't hat gezeigt,wie erschrecken einfach es ist, an das Internet angeschlossene Steuerungsanlagen zu manipulieren. Unter anderem hatte sie Zugriff auf die Heizungsanlage einer Haftanstalt. Das Beispiel zeigt: Wir sollten uns hüten, Systeme ohne Not an das Netz anzuschließen.

Quelle: Der Tagesspiegel vom 04.05.13

 

Der Stuxnet-Schock war offensichtlich nicht groß genug. Mit diesem Computervirus war es den USA gelungen, Urananreicherungsanlagen des Iran zu sabotieren. Stuxnet funktionierte wie eine mehrstufige Rakete. In der ersten Stufe wurde sichergestellt, dass der Schädling über die USB-Schnittstelle in einen Computer eindringen konnte. Die zweite Stufe nutzte eine Schwachstelle im Windows-Betriebssystem. Erst mit der letzten Stufe wurde die eigentliche Steuerungsanlage so manipuliert, dass die Zentrifugen zur Urananreicherung nicht mehr richtig arbeiteten. In dieser Kombination war Stuxnet zwar nur für das iranische Atomprogramm gefährlich, dennoch war nicht nur den Experten des deutschen Systemsteuerungsherstellers klar: Die Gefahr reicht viel weiter als bis nach Natanz.

Genutzt hat das offensichtlich wenig. Wie die Computerzeitschrift „c’t“ jetzt aufgedeckt hat, bedarf es nicht einmal ausgeklügelter Hightechviren, um sich Zugang zu den virtuellen Schaltzentralen von Industrieanlagen, Kraftwerken und sogar Gefängnissen zu verschaffen. Hunderte Anlagen standen demnach in Deutschland für Hackerangriffe sperrangelweit offen, weil sie ohne größere Schutzvorkehrungen mit dem Internet verbunden waren. Nicht einmal eine grundlegende Authentifizierung war nötig, um zum Beispiel die Schließanlage eines Fußballstadions mit 40 000 Sitzplätzen und die dazugehörige Alarmanlage zu manipulieren. Dem Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind von dieser kritischen Lücke 500 Anlagen in Deutschland betroffen. In einer hessischen Justizvollzugsanstalt hätten die „c’t“-Experten ohne Weiteres für angenehmere Temperaturen sorgen können, weil sich die Heizungsanlage des Gefängnisses ebenfalls aus dem Internet fernsteuern ließ.

Gefährdet sind indes nicht nur die ungeschützten Steuerungsanlagen. Eine mindestens genauso große Gefahr geht von eingebetteten Steuerungssystemen aus. „Tickende Zeitbomben“ nennt sie die „c’t“. Oft sind die Anlagen über Jahrzehnte in Betrieb, ohne regelmäßige Updates werden sie für Angriffe aus dem Internet zunehmend anfälliger.

Es muss ja nicht gleich ein Tüv eingeführt werden, aber einige grundlegende Sicherheitsstandards sollten für IT-Anlagen genauso selbstverständlich sein wie Sicherheitsnormen für Elektrogeräte. Zumal es um die Sicherheit von Heizanlagen für Einfamilienhäuser kaum besser bestellt ist. Die Zeitschrift zeigte, wie sie sich per iPad-App über das Internet steuern ließen. Sogar auf Passwörter der Kunden und das Servicepasswort, mit dem man sich als Entwickler am System anmelden und die Anlage manipulieren kann, konnten die „c’t“-Redakteure zugreifen. So bequem es in der Werbung aussehen mag, seine Haustechnik per Smartphone-App selbst aus dem Urlaub zu steuern, die Sicherheit sollte man dabei nie aus dem Blick verlieren.

Dem ist eigentlich fast nichts mehr hinzuzufügen. Vernetzung schafft zahlreiche Vorteile, die Risiken und Nebenwirkungen wurden bisher weitgehend bei Seite geschoben. 

Wie schon der Organisationspsychologe Peter Kruse treffend zum Ausdruck gebracht hat: 

Es ist relativ einfach eine vernetzte Welt zu schaffen, aber es ist bei Weitem nicht so einfach, mit den Wirkungen dieser vernetzten Welt angemessen umzugehen.

 

Was generell für Haushalte gilt, gilt noch viel mehr für unsere Kritische Infrastruktur! Aber leider wird auch hier immer mehr auf Vernetzung (etwa Stichwort "Smart") gesetzt. Damit wird die Basis unseres Gemeinwohls immer stärker verwundbar. Und man stelle sich vor, in diesem Bereich beginnen einzelne Komponenten verrückt zu spielen ... kaum auszumalen, was damit alles schief gehen könnte. Es muss nicht immer der Angriff von dritter Seite sein. Statt auf Sicherheit müssen wir verstärkt auf Robustheit unserer Systeme achten - wovon wir derzeit weit entfernt sind. Alles muss schnell gehen und funktionieren, ob das dann gegen Störungen jeglicher Art robust ist, interessiert kaum jemand.

Was die Praxis auch immer wieder zeigt ist, dass Dinge die man für nicht (mehr) möglich hält, doch tagtäglich passieren, etwa das ein Netzwerk durch ein falsch angestecktes Kabel lahm gelegt wird und noch vieles mehr.