- IT&Production - https://www.it-production.com -

Unternehmen müssen umdenken

Sicherheitsbedrohungen für die Industrie

Unternehmen müssen umdenken

Die Prognosen im Hinblick auf die Gefährdung deutscher Unternehmen durch Wirtschaftskriminalität und -spionage waren bereits in den letzten Jahren besorgniserregend. Doch trotz öffentlicher Diskussion und Entwicklung neuer Technologie zum Schutz hat sich die Situation seitdem nicht zum Positiven gewendet. Erfolgreiche Angriffe wie jüngst auf Autocad-Systeme zeigen: Angreifer agieren professioneller denn je und sind Unternehmen häufig mehr als einen Schritt voraus.

Bild: Fotolia / Peter Eggermann

Im Hinblick auf die Frage, wie gefährdert Industrieunternehmen durch Spionage-Angriffe sind, stimmen die Ergebnisse der jüngsten Studie ‚Industriespionage 2012‘ des Beratungsunternehmen Corporate Trust bedenklich: Immerhin bekannten sich in diesem Jahr insgesamt 21,4 Prozent der befragten Unternehmen dazu, dass sie mindestens in einem konkreten Fall durch Spionage geschädigt wurden. Zusammen mit den Verdachtsfällen, die nicht hinreichend konkretisiert werden konnten, ergab sich, dass sich insgesamt 54,6 Prozent der deutschen Wirtschaft mit dem Thema Spionage konfrontiert sah. Beim Vergleich der Zahlen mit jenen vergangener Jahre drängt sich die Frage auf, ob die Angriffe aktuell massiv zugenommen haben oder ob die Unternehmen erst jetzt das Gefährdungspotential richtig wahrnehmen beziehungsweise sich öffentlich dazu bekennen.

Einstellung im Hinblick auf Sicherheit im Wandel

Dr. Berthold Stoppelkamp, Leiter des Hauptstadtbüros des Bundesverband der Sicherheitswirtschaft (BDSW), hält es eher für wahrscheinlich, dass „sich die bis dato indifferente bis negative Einstellung in Puncto IT-Sicherheit langsam ändert, nicht zuletzt aus dem Grund, weil hier jetzt eine höhere Anerkennung von staatlicher Seite erfolgt“. Etwa durch die Etablierung des Nationalen Cyber-Abwehrzentrum (NCAZ) im vergangenen Jahr, gedacht als Plattform zum schnellen Informationsaustausch und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle. Doch gibt Stoppelkamp auch zu bedenken, dass „dem Mittelstand hierdurch keine allzu große Hilfestellung zuteil werden kann, weil dafür die organisatorischen Strukturen nicht ausgelegt sind“ – im Gegensatz zu der Initiative Task Force IT-Sicherheit in der Wirtschaft des Bundesministeriums für Wirtschaft und Technologie, die nach Einschätzung Stoppelkamps „mit ihren diversen Fachverbänden viel dedizierter auf den Schutz der IT-Sicherheit im Mittelstand“ ausgerichtet sei.

Insgesamt beurteilt er jedoch die Situation in Hinblick auf IT-Sicherheit in deutschen Unternehmen für 2012 noch nicht sehr positiv. Bislang habe sich nichts grundlegend geändert: Staaten, die bereits seit Jahren Spionagetätigkeiten gegenüber Deutschland ausüben, tun dies immer noch mit gleichbleibender Intensität. Diese Beobachtung teilt auch der niedersächsische Verfassungsschutz. Laut dessen Aussage wurden allein in 2010 circa 2.000 mit Viren-Anhängen verseuchte E-Mails an öffentliche Behörden versendet – ein Großteil davon ließ sich zu chinesischen Ursprüngen zurückverfolgen.

Sicherheitslücken bedrohen Know-how-Vorsprung

Nicht alle Sicherheitsprobleme resultieren aus der IT – doch einige der gravierenden schon. Denn im Zusammenhang mit dem gefürchteten Know-how-Abfluss in deutschen Unternehmen spielen die vorhandenen Technologien eine bedeutende Rolle. Damit können inzwischen beispielsweise innerhalb kürzester Zeit und ohne viel Aufwand, riesige Datenmengen gesammelt, kopiert, transportiert und analysiert werden. Ein Beispiel dazu: Die Daten von 80 Millionen Bundesbürgern passen auf ein Speichermedium, das so groß ist wie ein Fingernagel – folglich lässt sich diese Menge an Informationen mittels handelsüblichem USB-Stick leicht entwenden. Dass auch der Diebstahl umfangreicher Datenmengen auch per E-Mail kein größeres logistisches Problem darstellt, zeigten unlängst erfolgreiche Angriffe auf Autocad-Systeme in Südamerika.

Insgesamt verfolgen Verfassungsschützer wie Uwe Claaßen aus Niedersachsen diese Entwicklung mit großer Sorge. In letzter Zeit sind ihm und seinen Kollegen im Kontext von Wirtschaftsspionage neben USB-Medien insbesondere Smartphones „ein erheblicher Dorn im Auge“. Claaßen führt aus: „Obwohl die Mitarbeiter es mittlerweile wirklich besser wissen müssten werden immer noch neun von zehn Sticks am Firmenrechner ausprobiert – egal, ob dieses Teil irgendwo gefunden wurde oder ob man ihn etwa von einem chinesischen Mitarbeiter auf der Messe erhalten hat“. Hinzu kommt, dass sowohl die Infrastrukturen als auch die einzelnen Endgeräte zunehmend komplex werden, nicht zuletzt weil Endanwender stetig eine höhere Leistungsfähigkeit verlangen. So ergeben sich ständig neue Schwachstellen, die oftmals trivial und meistens auf den ersten Blick nicht offensichtlich sind, wie zwei Beispiele zeigen.

1. Angriffe über den Drucker

Allgemein besteht die Gefahr, dass in Unternehmen Komponenten wie Telefonanlagen, Gebäudesteuerungen oder nicht zuletzt Drucker für kriminelle Zwecke missbraucht werden können. Multifunktions-Drucker beispielsweise stellen als integrale Bestandteile des Netzwerks ein prädestiniertes Angriffsziel dar, etwa über die ungesicherte bidirektionale Schnittstelle zur Netzwerk-Kommunikation. Im Prinzip erfolgt die Attacke über den gleichen Mechanismus, über den auch Druckbefehle gesendet werden. Über den Befehl zum Druck eines im Voraus entsprechend präparierten Dokuments kann der Drucker als ‚Backdoor‘ oder Angriffsweg für den Zugriff auf das Netzwerk missbraucht werden.

2. Angriffe auf PHP-Systeme

Abgeleitet vom englischen Mathematiker Alan Turing beschreibt die Turing-Vollständigkeit einer Programmiersprache ihre universelle Einsetzbarkeit. Dies hat zur Folge, dass universelle Programme nicht mit letzter Sicherheit darauf überprüfbar sind, ob sie tatsächlich nur für den eigentlichen Bestimmungszweck genutzt werden. So ergibt sich zum Beispiel die Situation, dass die im Prinzip nur zum Zweck der Darstellung von Webseiten entwickelte Skriptsprache PHP es mittlerweile fast genauso gut gestattet, Systemzustände zu verändern, wie die eigentlichen Hochsprachen. Mit dem Unterschied, dass bei der auch im industriellen Umfeld eingesetzten Sprache PHP sowohl Sicherheit als auch Definierbarkeit von Zuständen schon immer hinter der Anforderung ‚Benutzerfreundlichkeit‘ zurückstehen mussten.

Unternehmen müssen jetzt handeln

Claaßen, der aufgrund seiner Tätigkeit beim Verfassungsschutz, Abteilung Wirtschaftsschutz, häufiger mit Vorfällen aus dem Bereich Wirtschaftsspionage konfrontiert wird, fordert daher, dass „Unternehmen jetzt wirklich umdenken“. Noch zu oft würde es im Geschäftsalltag vorkommen, dass „Vorstände allein auf die Quartalsergebnisse fokussiert sind oder Geschäftsführer sich fast ausschließlich auf das Tagesgeschäft konzentrieren“. Dies könne seines Erachtens nur als grob fahrlässig bezeichnet werden – vor allem, wenn deren Geschäftstätigkeit etwa zum Großteil auf China oder andere in diesem Kontext oft genannte Länder ausgerichtet sei.

Dabei gibt es Schutzmaßnahmen die problemlos zum Einsatz kommen könnten und definitiv auch müssen. „Wenn ein Unternehmen Straftätern den Diebstahl zu leicht macht, kommen diese mit einem sehr geringen Strafmaß davon und dies könne nicht im Interesse der Unternehmen sein“, betont Claaßen. Dabei sei eine grundsätzliche Absicherung beispielsweise bereits über die Verschlüsselung von E-Mails zu erreichen oder über den selbstverständlichen Einsatz von VPN-Verbindungen. Doch eines dürfe man nicht müde werden zu betonen, verlangt Stoppelkamp: „Die Unternehmensleitung muss die fünf bis zehn Prozent ihres unternehmenskritischen Know-hows kennen und da herum einen besonderen Schutz etablieren.“ Demgemäß empfiehlt er beispielsweise, dass die Forschungs- und Entwicklungsabteilung in einem getrennten Netzwerk arbeitet.

Auch eine sorgfältige Abwägung bezüglich der Strategie zum Einsatz mobiler Endgeräte, vor allem wenn es sich um die privaten handelt, hält Stoppelkamp für unerlässlich. Denn wenn Unternehmen und vor allem die Geschäftsführung, bereit sind etwas zu tun, lässt sich auch im Hinblick auf IT-Sicherheit einiges bewegen.

 

Angriffen auf und über den Drucker begegnen

Auch für den Betrieb der netzwerkfähigen Drucker im Unternehmen gilt es, ein mehrstufiges Sicherheitskonzept zu erstellen. Hierbei muss auch die Absicherung der eigentlichen Hardware – zum Beispiel die Aktivierung der vorhandenen Authentifizierungsmöglichkeiten – berücksichtigt werden. Denn dies ist im Auslieferungszustand der Geräte nicht immer der Fall. Zudem empfiehlt sich der Einsatz von Software-Produkten zur Kontrolle der Nutzungs- und Zugriffsrechte. Letzteres dient nicht nur der Sicherstellung, dass tatsächlich nur berechtigte Personen den Drucker benutzen können, sondern gleichzeitig auch zur Überwachung der Druckprozesse.

Angriffen auf Steuereinheiten über allgemeine Programmiersprachen entgegen wirken

Möglichkeiten, um sich gegen Angriffe auf die Produktionsumgebung zu schützen, sind durchaus gegeben. Gerade für die Programmierung der Systeme in der Produktion würde es Sinn machen, rudimentäre Programmiersprachen einzusetzen, die explizit für einen dezidierten Einsatz konzipiert wurden. Nur so wäre sicherzustellen, dass diese auch lediglich für den definierten Zweck und nicht missbräuchlich verwendet werden können. Unter den gegebenen Umständen ist dies jedoch genau entgegengesetzt zu dem heutigen Trend, der darauf abzielt, die eigentlich sehr dedizierten Programmiersprachen zu universalisieren.