Industrie- und Versorgungsunternehmen: IT ein leichtes Angriffsziel für böswillige Hacker

Veranstalter der „it-sa 2012“ in Nürnberg identifizieren deutlichen Nachholbedarf bei der Absicherung

[datensicherheit.de, 02.10.2012] Mit dem Erscheinen von ausgeklügelten Schadprogrammen wie z.B. „Stuxnet“, „Flame“ oder „Duqu“ ist eine Bedrohung unterstrichen worden, die im 21. Jahrhundert zunehmende Brisanz besitzt und sogar Volkswirtschaften in existenzielle Gefahr bringen kann – die IT im weitesten Sinne, also die Informations- und Kommunikationstechnologie („IuK“), in Versorgungs- und Industrieanlagen gehört zunehmend auch zu den Angriffszielen von Datendieben und böswilligen Hackern („Cracker“).
Die Veranstalter der „it-sa 2012“ in Nürnberg betonen, dass es bei der Absicherung der industriellen IT deutlichen Nachholbedarf gibt und damit „schwerwiegende Folgen für die Wirtschaft“ verbunden sein können.

Abbildung: NürnbergMesse GmbH

Ein Schwerpunkt der „it-sa 2012“: IT-Sicherheit in Versorgungs- und Industrieanlagen

Als Beispiel wird der bisher größte Stromausfall in der Geschichte Nordamerikas im August 2003 angeführt, der einen wirtschaftlichen Schaden von mehr als sechs Milliarden US-Dollar verursacht haben soll. Innerhalb von drei Minuten hatten sich 21 Kraftwerke abgeschaltet – 50 Millionen Menschen in den USA und Kanada hatten keinen Strom mehr. Die Stadt New York rief gar den Notstand aus… Aber auch regional begrenzte Stromausfälle hätten spürbare Auswirkungen, wenn zum Beispiel Verkehrsmittel betroffen sind. Für den Stromausfall im Mai 2011 am Berliner Bahnhof Ostkreuz etwa habe die TU Berlin einen gesamtwirtschaftlichen Schaden von mehr als neun Millionen Euro errechnet.
Solche Ereignisse zeigen deutlich, wie kritisch eine Störung in unseren Versorgungseinrichtungen sein kann. Trotzdem sind viele Versorgungs- und Industrieanlagen nach Meinung von Sicherheitsexperten unzureichend geschützt, auch gegen „Hacker-Angriffe“. IT-Systeme, die zum Beispiel für die Steuerung in Industrieanlagen, in Kraftwerken, für die Verkehrskontrolle und in militärischen Anlagen eingesetzt werden, weisen zum Teil Sicherheitslücken auf, die selbst weniger geübte Angreifer leicht aufspüren könnten. Dazu gehören zum Beispiel fest definierte Standardpasswörter, die dem Anwender helfen sollen, wenn dieser sein eigenes Passwort vergessen hat – da sich diese Standardpasswörter jedoch oftmals auch in den Nutzerforen im Internet finden lassen, können sich Unbefugte so Zugang zu Kontrollsystemen verschaffen, die in kritischen Bereichen laufen.
Die Sicherheitslücken in „Industrial Control Systems“ (ICS) und „SCADA“-Systemen (Supervisory Control and Data Acquisition) bestehen meist schon seit Jahren. Durch die zunehmende Verknüpfung von industriellen Kontroll- und Steuerungssystemen mit Online-Diensten aus dem Internet werden diese Schwachstellen jedoch zugänglich, ohne sich den Weg in die physisch gut gesicherten Anlagen zu bahnen. Eine E-Mail mit Trojaner-verseuchtem Dateianhang reicht, wenn das Bedienpersonal in den Anlagen unvorsichtig ist und kein Anti-Viren-Schutz aktiv ist. Der Entwicklungsstand der IT-Sicherheit in industriellen Anlagen liegt nach Meinung verschiedener Experten sogar mehrere Jahre hinter der IT im Office-Bereich. Mit dem Wunsch nach Echtzeitinformationen aus dem Internet sind eben Risiken in die industrielle IT eingezogen, für die oftmals noch keine umfassende Abwehr vorgesehen ist. Die industriellen Kontrollsysteme wurden bislang vielfach nicht als Teil der IT gesehen und auch nicht so behandelt. Dazu gehört, dass Komponenten der industriellen IT oft viele Jahre im Einsatz sind, ohne eine für die Sicherheit relevante Fehlerbehebung zu erhalten. Selbst Standardsoftware, die im Büro regelmäßig aktualisiert wird, läuft auf Computern zur Anlagensteuerung ohne Updates.
IT-Lösungen für Industrie, Kraftwerke und Verkehrssysteme sind deshalb besonders interessant für Cyber-Kriminelle, erscheinen sie doch als leichte und lohnende Beute. Darum ist es wichtig, solche Systeme umgehend und umfassend abzusichern. Entsprechende IT-Sicherheitslösungen sind auf dem Markt verfügbar, wie sie zum Beispiel die „it-sa“ als größte Spezialmesse zur IT-Security in Europa zeigt. Die „it-sa 2012“ findet vom 16. bis 18. Oktober 2012 im Messezentrum Nürnberg statt.
Die Industrie- und Versorgungsunternehmen müssen sich diesen neuen Risiken aus dem Internet stellen, um gefährliche Attacken und folgenreiche Systemstörungen zu verhindern. Dabei besteht noch ein großer Informations- und Aufklärungsbedarf. Weitere Informationen bieten zum Beispiel die regelmäßigen Sicherheitswarnungen des ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) und die Vorträge auf dem Kongress „Congress@it-sa“, der parallel zur Fachmesse stattfindet, im Track 4 „Industrielle IT-Sicherheit – Neue Angriffsziele, alte Konzepte?“.

Weitere Informationen zum Thema:

it-sa 2012
Congress@it-sa