Security- and Data-Privacy-Experte Thomas Haase weiß, warum Unternehmen jetzt mehr für die Qualitätssicherung von Applikationen und Infrastrukturen tun müssen. Denn mit zielgerichteten Attacken nutzt eine regelrechte Hacker-Industrie die Schwachstellen von Industrie 4.0 und Internet der Dinge gnadenlos aus.
Herr Haase, warum kocht dieser Tage das Thema Sicherheit in der Industrie 4.0 so hoch? Wie kommt es zu dieser Dringlichkeit?
Egal ob man das jetzt Industrie 4.0 oder Internet der Dinge nennt: Bis 2020 sollen ja bis zu 50 Milliarden Geräte miteinander verbunden sein. Auf der einen Seite einfachere Haushaltsgeräte und automechanische Maschinen, auf der anderen Seite hochkomplexe Fertigungsparks, fein justierte Fahrzeugelektronik oder hochsensible Anlagen zur Energieerzeugung. Ein Mix aus Milliarden technischer Dinge.
Eine weitere Entwicklung daraus ist, dass auch mittlerweile Netze und Geräte erreichbar gemacht werden, welche vorher strikt von öffentlichen Netzen getrennt und von außen nicht zugänglich waren. So geraten natürlich immer mehr und auch kritische Infrastrukturen in das Visier von kriminellen Hackern. Es wird viel über das mögliche Bedrohungspotential spekuliert. Man kann dies an dem folgenden Beispiel darstellen. Kollegen eines Softwareherstellers hatten im letzten Jahr ein öffentliches U-Bahn-Steuerungssystem nachgeahmt und für Externe erreichbar gemacht. Ergebnis: in sechs Wochen erfolgten knapp 2,7 Millionen Angriffe, davon hätten zwei das Potenzial gehabt, auch größeren Schaden anzurichten. Ich denke, das erklärt die Dringlichkeit.
Was sind aus Ihrer Sicht die Konsequenzen dieser neuen Bedrohungslage?
Normalerweise sollte man erwarten, dass Unternehmen oder öffentliche Einrichtungen wissen, wie ihre eingesetzten Maschinen und Geräte vernetzt und damit von außen erreichbar sind. Natürlich muss man sich auch dann darauf verlassen, dass der Lieferant beziehungsweise Dienstleister gerade an dieser Außengrenze ein angemessenes Sicherheitsniveau geschaffen hat. In der Praxis bemerken wir aber, dass allein die Quantität der vernetzten Geräte und der damit verbundenen möglichen Schnittstellen die Unternehmen vor eine Herausforderung stellen.
Hinzu kommt, dass wir seit Jahren erkennen, dass das benötigte Wissen zum Ausnutzen von Schwachstellen immer weiter sinkt. Dies liegt einerseits an den zur Verfügung gestellten Tools zum Ausnutzen von Schwachstellen, anderseits an den über das Internet zur Verfügung gestellten Informationen hinsichtlich Schwachstellen oder möglicher Angriffspunkte.
… in der Theorie?
… nein, bereits in der Praxis. Es gibt mittlerweile einige Suchmaschinen, welche das Internet nicht nur nach Webseiten oder Dokumenten scannen, sondern sich auf mit dem Internet verbundene Geräte spezialisiert haben. Hinzu kommen Blogs oder Foren, wo Informationen über bekannt gewordene Schwachstellen in Geräten ausgetauscht werden. Dies ist in vielen Fällen auch sinnvoll, da es die Hersteller zwingt, die Schwachstellen zu schließen. Leider halten sich nicht alle Hersteller daran. Auch ist das Installieren der zur Verfügung gestellten Sicherheitspatches teilweise ein Problem. Oder können Sie sich bereits daran gewöhnen, dass ihr Auto regelmäßig Updates braucht?
Die Kombination von der Erreichbarkeit der Geräte und den zur Verfügung stehenden Informationen macht es, wie schon beschrieben, teilweise dem Angreifer aber auch besonders leicht.
Die nackten Zahlen sind eine Realität, aber wie verhält es sich mit Organisationen, die diesen Umstand ausnutzen?
Waren es am Anfang noch vorwiegend Baukastensysteme für Viren und Trojaner, so sind es mittlerweile professionell zur Verfügung gestellte Services, bei denen man zielgerichtete Attacken mieten oder kaufen kann. Es hat sich eine regelrecht kriminelle Industrie gebildet, die, ähnlich der legalen Wirtschaft, mit erstklassigem Kundenservice und zielgerichtetem Marketing immer professioneller agiert.
Können Sie ein Beispiel geben?
Neben dem bereits beschriebenen Trend, dass das benötigte Wissen zum Ausnutzen von Schwachstellen tendenziell abnimmt, lässt sich ein weiterer Trend beobachten. Die Anzahl der automatisierten Angriffe steigt zwar durch die zur Verfügung stehenden Tools, aber es wird auch eine zunehmende Professionalität und Qualität einzelner Attacken klar erkennbar. Bei automatisierten Angriffen geht es darum, mehr oder weniger zufällig, Opfer zu finden. Mittlerweise steigt aber auch die Anzahl sogenannter APT (Advanced Persistent Threat)–Angriffe. Also Attacken, die sehr zielgerichtet und sehr gut vorbereitet getätigt werden.
Deutschland, und hier vor allem die verarbeitende Industrie und Behörden, zählt nach Untersuchungen des IT-Sicherheitsanbieters Fireeye bei APTs zu den häufigsten Zielen.
Wenn dem so ist: Was können Unternehmen dagegen tun?
Infolge der zunehmenden Komplexität und Heterogenität kann ein Unternehmen mit Einzelmaßnahmen längst keine Qualitätssicherung mehr gewährleisten. Da sich ein potentieller Angreifer immer das schwächste Glied innerhalb einer Kette sucht und dieses ausnutzt, kann bereits die Vernachlässigung eines Qualitätsmerkmals zu Konsequenzen führen.
Unternehmen müssen deshalb ganzheitlich ihre Applikationen und ihre Infrastrukturen betrachten. So wird für die Täter beispielsweise eine mangelhafte Performance für das Ausnutzen durch einen TSI-Angriff interessant, während der vernachlässigte Test einer Smartphone App mittlerweile das fremde Öffnen von Autos oder Türanlagen ermöglicht.
Im Idealfall sollten Qualitätssicherungsmaßnahmen von Beginn an in den Lebenszyklus einer Applikation, beziehungsweise einer Infrastruktur, einfließen und diesen anschließend lückenlos begleiten.
Thomas Haase im Interview zum Thema "Sicherheit ist ein Prozess" auf der Euro Shop 2017
Thomas Haase ist Projektfeldmanager für IoT Test- & Integration bei der Telekom MMS. Seine Schwerpunkte sind Infrastructure and Application Security, Penetration Tests und Security Source Code Analysen. Außerdem engagiert er sich als Dozent für verschiedene Bildungseinrichtungen im Bereich Security Awareness und Hacking. Er ist zertifiziert als ISO 27001 Lead Auditor, Certified Ethical Hacker und TeleTrusT Information Security Professional (TISP).