Cyber-News: Atomkraftwerke mit Sicherheitslücken und Cyber-Säbel… Kontrolle?

Hier ein kurzer Blick und Kommentar auf ein paar „News“ – eher Updates – zu Themen, von denen ich schon seit Jahren spreche! Ich mag es nicht, das zu sagen, aber: ICH HAB’S JA GESAGT!

(Zufälliges Fotos) des Cattenom-Atomkraftwerks in Frankreich, wo – wie ich hoffe – in Bezug auf die Cyber-Sicherheit alles tip-top ist.(Zufälliges Fotos) des Cattenom-Atomkraftwerks in Frankreich, wo – wie ich hoffe – in Bezug auf die Cyber-Sicherheit alles tip-top ist.

Erstens.

Ich plädiere schon lange für ein besseres Bewusstsein der Probleme bei der Cyber-Sicherheit von Industrie und Infrastruktur – seit über 15 Jahren sogar. Und in letzter Zeit gibt es weltweit von staatlichen Seiten, Forschungsinstituten, Medien und der Öffentlichkeit mehr Diskussionen zu diesem Thema. Zu meinem Bedauern allerdings keinen wirklichen Fortschritt, wenn es darum geht, dass wirklich etwas physikalisch, gesetzlich, diplomatisch und in anderen Bereichen getan wird. Hier ein krasses Beispiel:

Anfang der Woche hat der einflussreiche, britische Think-Tank Chatham House einen Bericht mit dem Titel „Cyber Security at Civil Nuclear Facilities: Understanding the Risks“ veröffentlicht. Ja, der Titel allein macht einem schon Gänsehaut; aber manche Details des Berichts… du lieber Himmel.

Ich will gar nicht in die Tiefe gehen, Sie können den Bericht ja selbst lesen – wenn Sie genug Zeit haben. Ich sage hier nur, dass die wichtigste Aussage des Berichts ist, dass das Risiko eines Cyber-Angriffs auf ein Atomkraftwerk weltweit steigt. Oh je.

Der Bericht basiert ausschließlich auf Experteninterviews. Es wurden also keine primären, referenzierbaren Beweise verwendet. Hmmm. Das ist ein bisschen, wie wenn man jemanden den Inhalt eines Erotikfilms erklärt – kein Vergleich dazu, den Film selbst anzusehen. Aber ich denke, das war zu erwarten: Dieser Bereich ist immerhin auf der ganzen Welt recht geheim.

Dennoch möchte ich diesen Erotikfilm für Sie beschreiben, so wie er mir (beim Lesen des Berichts) beschrieben wurde! Zumindest möchte ich die wichtigsten Schlussfolgerungen vorstellen, die alle – wenn Sie genau darüber nachdenken – recht alarmierend sind:

  1. Physikalische Isolation von Computernetzwerken gibt es in Atomkraftwerken nicht: Das ist ein Mythos (bitte beachten: das basiert auf den Kraftwerken, die begutachtet wurden, welche auch immer das waren; nichts Konkretes). Die Briten merken an, dass oft VPN-Verbindungen in Atomkraftwerken genutzt werden – von den Auftragnehmern; sie sind oft undokumentiert (nicht offiziell angemeldet) und werden manchmal einfach vergessen, während sie aber offen bleiben und genutzt [sprich: ausgenutzt] werden können.
  2. Im Internet kann über Suchmaschinen wie Shodan eine lange Liste industrieller Systeme gefunden werden, die mit dem Internet verbunden sind.
  3. Wo eine physikalische Isolation existiert, kann man diese ganz einfach mit USB-Sticks umgehen (so wie bei Stuxnet).
  4. Die Atomenergiebranche ist in der ganzen Welt weit davon entfernt, Informationen zu Cyber-Vorfällen zu veröffentlichen, was es schwer macht, die Sicherheitssituation genau zu verstehen. Und die Branche will auch nicht mit anderen Branchen kooperieren, was bedeutet, dass sie auch nicht von der Erfahrung und dem Know-How anderer Branchen lernt.
  5. Um Kosten zu sparen, wird in der Branche immer häufiger normale, kommerzielle Software (mit Sicherheitslücken) eingesetzt.
  6. Viele industrielle Kontrollsysteme sind „standardmäßig unsicher“. Zudem ist es sehr schwer, sie zu patchen, ohne die von ihnen kontrollierten Prozesse zu unterbrechen.
  7. Und noch viel mehr Erschreckendes, das in dem 53 Seiten langen Bericht zu finden ist.

Diese besorgniserregenden Fakten und Details sind für IT-Sicherheitsspezialisten kaum neu. Hoffen wir dennoch, dass einflussreiche Publikationen wie diese hier langsam ein Umdenken bringen. Das Wichtigste ist derzeit, dass die ganze entsprechende Software so schnell wie möglich gepatcht wird, und die industrielle IT-Sicherheit generell auf eine sichere Ebene gehoben wird, bevor eine Katastrophe passiert – nicht nachher.

Unter anderem empfiehlt der Bericht die Förderung industrieller Kontrollsysteme, die „standardmäßig sicher“ sind. Hört, hört! Das unterstützen wir total! Unser Sicheres Betriebssystem ist so eine Initiative. Um industrielle Kontrollsysteme, inklusive SCADA, undurchdringlich zu machen, muss man die Prinzipien der Cyber-Sicherheit insgesamt überarbeiten. Leider ist das ein langer Weg – und wir stehen erst am Anfang. Dennoch ist uns allen klar, wohin es gehen muss. Babyschritte…

Zweitens.

Schon seit einigen Jahren fordere ich auch die Erstellung eines globalen Abkommens gegen Cyberkrieg. Und auch wenn wir bei allen Beteiligten – Akademikern, Diplomaten, Regierungen, internationalen Organisationen usw. – ein besseres Verständnis der Prinzipien so eines Abkommens sehen, bemerkt man doch recht wenige Fortschritte in Richtung so eines Abkommens, genau wie bei der Sicherheit industrieller Systeme. Aber zumindest steht die Drosselung von Cyberspionage und Cyberkrieg auf der Agenda.

Photo : Michael Reynolds/EPA. SourceFoto : Michael Reynolds/EPA. Quelle

So kamen Barack Obama und Xi Jinping Ende September überein, dass ihre Länder – die zwei größten Wirtschaftsnationen der Welt – keine gegenseitige kommerzielle Cyberspionage mehr ausüben wollen. Zudem dominierte das Thema der Cybersicherheit ihre gemeinsame Pressekonferenz (neben Maßnahmen zur Eindämmung des Klimawandels). Interessanterweise wurden die heiklen Themen der politischen und militärischen Cyberspionage gar nicht angesprochen!

Also. Ist das ein Durchbruch? Natürlich nicht.

Aber auch hier sind es zumindest kleine Schritte in die richtige Richtung. Es gab auch Gerüchte, dass Peking und Washington ein Abkommen zum Verbot von Angriffen im Cyberspace verhandeln. Beim September-Treffen der beiden Politiker wurde das Thema aber nicht angesprochen, aber hoffen wir, dass das bald der Fall sein wird. Es wäre ein wichtiger, wenn auch nur symbolischer, Schritt.

Idealerweise werden solche Abkommen in der Zukunft natürlich von allen Ländern unterzeichnet, was uns ein demilitarisiertes Internet ein bisschen näher bringt. Ja, das wäre das beste Szenario; derzeit ist es aber nicht das realistischste. Arbeiten wir also weiter daran.

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.