BLACKOUT - Morgen ist es zu spät - Elsberg, M: BLACKOUT - Morgen ist es zu spät

zweiten und dritten Generation betroffen sind, nicht die der ersten. Diese Produkte basieren auf Grundmodulen, die wir zum Teil selbst entwickelt haben, aber auch auf Standardmodulen, Protokolle etwa, die heute zum Beispiel häufig im Internet eingesetzt werden.« Seine Ausführungen begleitete Dienhof mit Hinweisen auf die Zeichnungen am Flipchart. »Auf dieser Basis entwickeln wir jedoch für jeden Kunden maßgeschneiderte Lösungen. Das heißt, einen Fehler oder eine bewusste Manipulation, die so viele Kraftwerke betreffen, müssen wir sinnvollerweise zuerst in einem der Grundmodule suchen.«
    »Könnte aber auch woanders sein«, unterbrach einer von Hartlandts Männern.
    »Theoretisch ja, praktisch eher nicht. Denn dann müsste eine mögliche Schadsoftware ebenfalls jeweils maßgeschneidert werden. Und dieser Aufwand ist ganz sicher zu groß. Das wäre fast wie bei Stuxnet. Und da geht man davon aus, dass mehrere Dutzend Programmierer ziemlich lange drangesessen sind und außerdem die Anlage sehr genau kannten. Diesen Aufwand gleich für Dutzende Kraftwerke treibt niemand, wenn er es einfacher haben kann.«
    Als Hartlandts Mitarbeiter zustimmend nickte, fuhr Dienhof fort: »Wir müssen uns also fragen, wer sie entwickelt, beziehungsweise, wer bei uns schreibenden Zugriff auf die Grundmodule hat. Das war die erste Gruppe, die in unseren Fokus rückte.«
    An eine freie Stelle des Charts zeichnete er einen Kreis und betitelte ihn mit »Grundmodule schreibender Zugriff«.
    »Schreibender Zugriff«, unterbrach ihn Hartlandt, »bedeutet das, dass nur diese die Grundmodule ändern können?«
    »Genau«, bestätigte Dienhof. »Nun ist es ja nicht so, dass die Kraftwerke einmal das System von uns bekommen und dann nichts mehr von uns hören. Diese Produkte sind ungemein komplex und werden natürlich laufend verbessert. Das heißt, die Unternehmen erhalten immer wieder Updates ihrer Software oder von einzelnen Bestandteilen ebendieser. Hier haben wir natürlich auch eine besonders interessante Gruppe von Mitarbeitern, nämlich jene, die direkten Zugang zu den laufenden Systemen der Produzenten haben. Selbstverständlich unterliegen sowohl diese Mitarbeiter als auch die Update-Verfahren strengsten Sicherheitsregeln. Eine generelle Sicherheitsregel innerhalb unseres Unternehmens ist die strikte personelle Trennung verschiedener Einheiten wie Entwicklung, Prüfung und Kundenbetreuung.«
    Er zeichnete zwei weitere Kreise neben dem ersten. In den zweiten schrieb er »Prüfung«, in den dritten »Implementierung/Kundenbetreuung«.
    »Wer Software entwickelt, darf nicht zu den Prüfern gehören oder zu jenen, die sie schließlich beim Kunden implementieren. Ebenso wenig darf ein Prüfer entwickeln oder implementieren. Und natürlich hat ein Implementierer keinen schreibenden Zugriff zur Entwicklung oder Prüfung, das heißt, auch sie können deren Programmteile lesen und analysieren, aber nicht verändern. Um einen Bug bis zum Kunden zu bringen, muss man ihn also so genial schreiben, dass ihn die Prüfer und deren Instrumente nicht entdecken. Oder wir haben einen Fehler im Berechtigungssystem für das Quellcode-Archiv.«
    »Soll was heißen?«, fragte Hartlandt.
    »Den Quellcode dürfen nur bestimmte Leute verändern. Jede diese Veränderungen muss von anderen kontrolliert und freigegeben werden.«
    »Wenn Sie in diesem System einen Fehler hätten …«
    »… könnte ein Entwickler einen Programmcode an den Prüfern vorbeischleusen. Halte ich aber für ausgeschlossen. Wir haben die Logs des Quellcode-Archivs geprüft und keine Hinweise darauf gefunden, dass ein Programmcode an den Prüfern vorbeigeschmuggelt wurde.«
    Viele Konjunktive, fand Hartlandt. Der gute Dienhof konnte sich nicht mit dem Gedanken anfreunden, dass bei ihnen womöglich ein Teil der Verantwortung für den Schlamassel lag.
    »Guter Ansatz«, lobte er trotzdem. »Aber was ist, wenn es nicht einer allein war?«
    »Auch darüber haben wir uns Gedanken gemacht. Wir halten es allerdings für höchst unwahrscheinlich, und zwar aus folgendem Grund: In den einzelnen Teilbereichen arbeiten fast alle Leute immer an relativ spezialisierten Projekten und haben auch keinen schreibenden Zugriff auf die Daten der anderen, wenigstens nicht auf die kompletten. Das bedeutet, um einen Angriff bei so vielen unserer Kunden durchzuführen, müsste man mehr als nur einen oder zwei Komplizen haben. Sonst könnten sie ihre Sauerei nur an kleinen Teilen der Prüfung vorbeischmuggeln