Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

«Safety» die Betriebssicherheit von Maschinen und Geräten beschreibt, spricht man von «Security», wenn es um die Integrität eines Systems geht.
    In puncto Safety waren wir Deutschen schon immer führend. Das heißt: nicht ganz. «Made in Germany» wurde ursprünglich als eine Art Brandmarkung eingeführt, um den britischen Markt vor minderwertigen Produkten aus Deutschland zu schützen. Es war anfangs also alles andere als ein Qualitätssiegel. Dies geschah vor mehr als 120  Jahren, inmitten der industriellen Revolution, die mit der Entwicklung der Dampfmaschine einherging. Es waren unruhige Zeiten damals. Die Bewohner von Städten wurden immer wieder geweckt, wenn irgendwo in einer Fabrik ein dumpfer Knall von einem explodierenden Dampfkessel die Straßen zittern und Fenster zerbersten ließ. Doch nicht genug, es gab auch Verletzte und Tote. Die Städter wurden im wahrsten Sinn des Wortes wachgerüttelt. Nicht nur aus ihren nächtlichen Träumen, sondern auch gegenüber der Gefahr, die von den neuen technischen Errungenschaften ausging. Das war die Stunde der Technischen Überwachungsvereine ( TÜV s), die fortan, mit amtlicher Beglaubigung, regelmäßig Maschinen hinsichtlich ihrer Sicherheit überprüfen sollten. Heute haben Dampfmaschinen – seit der Einführung von Stromnetzen und der Erfindung von Computern – ausgedient und können höchstens noch in Museen oder bei historischen Eisenbahnfahrten bewundert werden. Geblieben sind seit damals die Kontrollen der TÜV s sowie gesetzlich vorgeschriebene Standards im Bereich der Betriebssicherheit.
    Doch neben dieser «Safety-Sicherheit» besteht das Problem der «Security-Sicherheit», und durch die Gefahr von entsprechenden Lecks fliegen uns heute Datenskandale um die Ohren. Leider sind Security-Lecks wenig konkret und erfordern aus diesem Grund kein unmittelbares Handeln. Sie haben keine direkten Auswirkungen auf die Gesundheit, die Natur oder das Eigentum. Kein Computerwurm steckt ein Haus in Brand oder lässt den Computer explodieren. Warum also etwas tun? Was dazu führt, dass die Security notorisch unterbewertet wird. Allerdings lagern heutzutage viele Unternehmenswerte sowie persönliche Wertgegenstände auf digitalen Datenträgern. Bleiben dann digitale Türen unverschlossen, kann es durchaus zu realen Konsequenzen kommen. Ohnehin wird aus der Security- schnell eine Safety-Problematik, sobald Computerchips für die Steuerung von Maschinen, Anlagen und Fahrzeugen zuständig sind.
    In der Automobilbranche zwinkert man sich schon seit längerem zu, wenn es um Innovationszyklen geht – und gesteht gleichzeitig, dass die letzten Schritte bis zur Serienreife auf der Straße (also beim Kunden) stattfinden. Schnelligkeit ist ein entscheidender Marktvorteil, besonders wenn es um neue Technologien geht. Erster zu sein ist für Entwickler und Projektleiter von Unternehmen entscheidend geworden. Security-Anforderungen hemmen diesen Prozess naturgemäß und werden, wenn sie nicht in Richtlinien vorgegeben sind, in der Prioritätenliste nach unten verschoben. Betroffen sind davon nicht nur Automobilbauer, sondern alle Betriebe, die Produkte entwickeln. Es wundert deshalb nicht, wenn Sicherheit häufig auf der Strecke bleibt.
    Ein weiteres Sicherheitsdilemma sind die Konstrukteure selbst. Ingenieure möchten zuallererst technische Aufgaben lösen und achten bei ihren Entwürfen nicht auf deren Angreifbarkeit. Ein Programmierer, der beispielsweise eine bestimmte Aufzugssteuerung im Kopf hat, möchte in erster Linie, dass der Aufzug zuverlässig von unten nach oben fährt und umgekehrt, zudem in jedem Stockwerk hält, das mittels eines Knopfs gedrückt wird. Darüber hinaus wird noch ein Fernwartungszugang eingerichtet, um schneller auf Fehler in der Steuerung reagieren zu können. Um die Sicherheit des für den Fernwartungszugang verwendeten Protokolls oder der Zugangsberechtigungen usw. kümmert sich – ja, wer eigentlich?
    So ist es nicht weiter erstaunlich, dass Entwicklungen oft kurz vor ihrem Abschluss stehen, bevor jemand bemerkt, ob man nicht alles noch sicherer machen müsste. Mit dem eigentlich fast fertigen Produkt sucht man dann den Security-Experten auf, der sich noch mal alles ansehen soll. Vom «magischen Securitystaub», der über die fast fertigen Produkte verteilt wird, sprach der IT -Security-Experte Stephan Gerhager 2012 auf einer Veranstaltung von Symantec. Ein sehr passender Vergleich.
    Automatisch entstehen dadurch unsichere Prozesse,