Denkt man an IT-Sicherheit, dann kommen einem unweigerlich anfällige Anwendungen und Betriebssysteme, Endgeräte und Firmen-Netzwerke in den Sinn. Doch in Zeiten der intelligenten Stromversorgung gilt es auch, kritische Versorgungsinfrastrukturen zu schützen. Stuxnet hat gezeigt, dass ein Angriff zumindest im Bereich des möglichen liegt.
Mit Sicherheit smarter: IBM schützt mobile und vernetzte Endgeräte“. Unter diesem Titel habe ich diese Woche eine Pressemitteilung erhalten. Sie wirbt dafür, dass mit neuen Softwareprodukten, Dienstleistungen, Forschungsprojekten und Technologiepartnerschaften die Sicherheit des „Smarter Planet“ gestärkt würde.
Dabei dreht sich nicht nur alles um Endpoint Security-Lösungen für klassische Desktop- und Notebook-Systeme sowie mobile Endgeräte, Kassen oder Geldautomaten. Es geht gleichzeitig um Sicherheitsdienste für mobile Systeme aus dem Netzwerk heraus – und darüber hinaus wird ein Forschungsprojekt für die Sicherheit so genannter „Smart Meters“ erwähnt.
Von diesen „intelligenten Stromzählern“ sollen laut der Pressemitteilung und einer dort zitierten Studie bis 2015 weltweit 300 Millionen im Einsatz sein. In manchen Ländern, wie zum Beispiel in Italien, sind sie bereits flächendeckend im Einsatz, weil damit das Abzapfen von Energie am Stromzähler vorbei erkannt und unterbunden werden kann.
Wenn IBM nun zeigt, wie Kunden ein Messgerät mittels Software verwalten und schützen können, zeigt dies einmal mehr, dass Technologie ohne ausreichende Sicherheit schon zum Einsatz kommt. Mehr noch stellt sich aber die Frage, ob es ausreicht, „Global Risks“ – der Begriff entstammt einer aktuellen Studie des World Economic Forum – wie das Stuxnet-Virus mit Endpoint-Security-Lösungen zu bekämpfen?
Sicher nicht. Die überwiegende Mehrzahl von Industrie- und Versorgungseinrichtungen hätte einem Stuxnet-Befall nichts entgegensetzen können, weil das Problem vielschichtiger ist. Nur waren sie eben (diesmal) nicht das Ziel des Angriffs.
So raffiniert wie Stuxnet muß ein Angriff aber übrigens gar nicht sein. McAfee meldete kürzlich mit „Night Dragon“ einen weltweiten Angriff auf Energieunternehmen. Mit einfachen, zum Teil schon seit 1999 bekannten Methoden wurden hoch sensible Informationen über die Explorationskosten bestimmter Öl- und Gasfelder und über Auktionsstrategien für neue Ölfelder etc. geklaut.
Aus den täglich etwa 55.000 bei McAfee untersuchten Malware-Angriffen würde Night Dragon dann doch auffallen, sagt zumindest McAfees CTO George Kurtz in seinem Blog. Denn hier werden immerhin Informationen über schwere Milliardendeals entwendet – die, so wird vermutet, nach China abgeflossen sind. Die Pressemitteilung zeigt für mich drei Dinge auf:
- IBM hat verstanden, dass das Thema der Sicherheit für den Erfolg des „smart was-auch-immer“ ein entscheidender Faktor ist – das ist positiv
- Selbst IBM hat hier derzeit aber eher Punktlösungen als ein Gesamtkonzept zu bieten (aber immerhin)
- Die smarten Netze entstehen heute schon, mit mangelndem Schutz – unzureichend gesicherte Smart Meter sind ein Beispiel. Stuxnet hat eine andere Schwachstelle aufgezeigt und weitere werden folgen, da bin ich mir sicher.
Wie in den Unternehmen gilt auch hier leider zu oft das Argument, dass man die Entwicklung nicht durch Sicherheitsbedenken behindern sollte. Gerade bei den Smart-Technologien ist das aber falsch. Ohne „Security by Design“ wird Stuxnet ein harmloser Anfang von schwerwiegenden Attacken sein, die ganze Volkswirtschaften empfindlich treffen können.
Nur ein „Secure Smart Planet“ ist wirklich smart. Technologien, bei denen das Thema Sicherheit nicht ausreichend adressiert wurde, mögen alles Mögliche sein – smart sind sie nicht. Das gilt eben auch für die heutigen Not-so-Smart Meter und viele andere Dinge.
Entsprechend muss man auf allen Ebenen – bei Technologie-Anbietern, bei den nutzenden Unternehmen wie Stromversorgern, bei der staatlichen Förderung – heute in die Forschung, Entwicklung und Umsetzung der Sicherheit investieren. Nur auf diesem Weg erreicht man das ebenso hehre wie löbliche Ziel eines „Smarter Planet“ zu erreichen.
Dabei sollte man smart aber nicht nur als Schlagwort für das Marketing sehen, sondern daran arbeiten, durchgängige Sicherheitskonzepte zu realisieren, um die unvermeidlichen Risiken einer noch viel enger vernetzten Welt zu minimieren. Hier stoßen heutige Konzepte an ihre Grenzen, hier steht noch viel Arbeit an.
Ohne Forschung, ohne Standardisierungsinitiativen und ohne massive Investitionen in die Sicherheit ist „Smart“ aber eher eine Drohung als ein Versprechen. Und ohne eine konsequente Investition in sichere Softwareentwicklung, um Lücken erst gar nicht entstehen zu lassen, geht es ebenfalls nicht.
Selbst wenn große IT-Unternehmen die Prozesse heute verstärkt umsetzen, entstehen durch Akquisitionen doch immer wieder neue Schwachstellen, die dann adressiert werden müssen. Aber das ist ein Thema für die nächste Kolumne.