Kritische Strukturen

November 2017 | Wirtschaftswoche | Economy 4.0

Kritische Strukturen

Mit der zunehmenden Vernetzung unserer Umwelt vervielfältigen sich die Angriffspunkte für Cyberkriminelle. Dadurch steigt auch der Bedarf an IT-Sicherheitslösungen.

Illustration: Mario Parra
Juliane Moghimi / Redaktion

Zugegeben, bei der kürzlich bekannt gewordenen und viel diskutierten Sicherheitslücke im WLAN-Verschlüsselungsprotokoll WPA2 handelte es sich eher um ein theoretisches Problem. Denn für die Ausführung eines „Krack“-Angriffs müsste der Angreifer erstens in der Nähe des betreffenden Routers und zweitens technisch sehr versiert sein. Flächendeckende Manipulationen sind damit nicht möglich. Allerdings hat die von dem belgischen IT-Sicherheitsexperten Mathy Vanhoef entdeckte Lücke auch eine praktische Seite: Für viele potenziell betroffenen Geräte wird es auch nach Bekanntwerden kein passendes Software-Update vom Hersteller geben, unter anderem für Smartphones mit dem Google-Betriebssystem Android. Was aber bedeutet das für die – möglicherweise vielen und möglicherweise gefährlichen – Sicherheitslücken, von denen wir heute noch nichts ahnen?

Probleme mit der IT-Sicherheit sind in vielen Fällen buchstäblich hausgemacht. Auch in Deutschland gibt es zahlreiche Hersteller, die aus Kostengründen oder mangelndem Sachverstand schlecht ausgestattete Produkte verkaufen. „Viele Software- und Hardware-Produkte werden mit teils erheblichen Qualitätsmängeln in Form von Schwachstellen auf den Markt gebracht“, konstatiert Arne Schönbohm, Präsident des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). „Wenn wir erfolgreich in der Digitalisierung sein wollen, können wir uns Qualitätsmängel dieser Art aber nicht leisten.“ Entsprechend lautet die Forderung des BSI an die Hersteller, die Sicherheit der Produkte auch dadurch zu gewährleisten, dass es nach dem Verkauf zumindest eine Zeitlang regelmäßige Updates gibt. Ein IT-Gütesiegel, das den Käufern die Beurteilung möglicher Risiken erleichtert, befindet sich bereits in der Entwicklung.

Eine deutlich wichtigere Rolle spielt die Frage nach der IT-Sicherheit bei den sogenannten Kritischen Infrastrukturen. Hierzu zählen die Energie- und Wasserversorgung, das Gesundheits-, Verkehrs- und Finanzwesen, die gesamte staatliche Verwaltung, die Telekommunikation und die Medien. Einen ersten Eindruck davon, wie empfindlich Angriffe auf diese Strukturen uns treffen, vermittelte die WannaCry-Attacke vor sechs Monaten.

Das Bundesministerium für Bildung und Forschung (BMBF) hat hierzu den Forschungsverbund Vernetzte IT-Sicherheit Kritischer Infrastrukturen ins Leben gerufen. Dessen Projektleiterin, Prof. Dr. Ulrike Lechner von der Universität der Bundeswehr München, weist darauf hin, dass die Kritischen Infrastrukturen in Deutschland zwar zu den zuverlässigsten und sichersten der Welt gehören, jedoch analog zur allgemeinen Wirtschaft auch in diesem Sektor viele Unternehmer ihr eigenes Risiko zu optimistisch einschätzen. Eines der Hauptanliegen des Projektes ist deshalb, die Infrastrukturbetreiber mit sicheren Technologien auszustatten. Auch hier werden künftig Standards implementiert: Als erster wurde im Mai dieses Jahres der Branchenstandard IT-Sicherheit Wasser/Abwasser vom BSI anerkannt.