Startseite > Embedded > Ein Schloss für das Internet

Kommentar

Ein Schloss für das Internet

25. November 2013, 11:32 Uhr | Manne Kreuzer

Manne Kreuzer

Cyberangriffe auf Steuerungen sind leider keine Einzelfälle mehr. Wie sicher man sich daher ab, um nicht als grob fahrlässig zu gelten?

▶ Diesen Artikel anhören

Unlängst haben Wissenschaftler ein virtuelles Wasserwerk eingerichtet, um die dubiosen Machenschaften im Cyberspace zu erforschen - voran gegangen war ein echter Zwischenfall in einem amerikanischen Wasserwerk. Binnen einiger Monate kam es zu 74 Angriffe, deren Ablauf auf SCADA- und Modbus-Fachkenntnisse der Angreifer schließen lässt. Zusätzlich wurde auf unterschiedlichen Wegen versucht, Schadsoftware in das System einzuschleusen. Die Bedrohung ist also real und eine Schädigung nicht auszuschließen. Wer aber zahlt für die Beseitigung der Folgen?

Wer auf die üblichen Versicherungen hofft, kann ein blaues Wunder erleben, denn es liegt in der Natur dieser Unternehmen, möglichst selten zu zahlen und die Versicherungsbedingungen geschickt zu nutzen. So wäre beispielsweise der Diebstahl einer Pumpe abgedeckt, aber nicht deren Zerstörung über das Internet - dafür müsste man schon eine Spezialpolice abschließen.

Es bleibt aber das Problem mit der Beweisbarkeit: Ein aufgebrochenes Schloss ist einfach zu erkennen, selbst für einen Laien - dass man Opfer einer Cyberattacke wurde, fällt oft nicht auf und ist schwer zu beweisen.

Hat man kein Schloss an seiner Tür und wird beklaut, dann erklärt jeder, dass man grob fahrlässig war. Wie sieht aber das Äquivalent eines Schlosses für das Internet aus, welche Maßnahmen müssen ergriffen werden um nicht fahrlässig zu sein?

Hier sollten eigentlich die Politiker viel aktiver werden, aber leider beschränken sie sich meist auf das reflexartige wiederholen der Begriffe wie »Neuland« und »Vorratsdatenspeicherung« als Beleg für ihre Kompetenz und Tatkraft. Auf eine »Amtshilfe« durch die Geheimdienste braucht man auch nicht zu hoffen: die haben zwar die Daten, aber wenn der Angriff aus dem Inland und von Einheimischen kommt, dann sind sie nicht zuständig und haben offiziell und per Definition auch keine Daten und eine Beteilung hat es auch nie gegeben und genauere Einblicke gefährden die nationale Sicherheit.

Einen Lichtblick von staatlicher Seite her gibt es jetzt aber doch, so hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der SPS IPC Drives sein ICS (Industrial Control Systems) Security-Kompendium erstmalig vorgestellt. Das Dokument soll eine gemeinsame Basis für IT-Sicherheits- und ICS-Experten schaffen und ihnen den Zugang zum Thema IT-Sicherheit in der Produktion ermöglichen. Es ist immerhin ein erster Schritt - und mit dem beginnt bekanntlich auch die längste Reise.