Immer einen Schritt voraus
Die Bekämpfung der Cyberkriminalität ist seit ihren Anfängen in den 1970er-Jahren ein Wettrennen zwischen Angreifenden und Sicherheitsexpert:innen.
Siemens
Die Bekämpfung der Cyberkriminalität ist seit ihren Anfängen in den 1970er-Jahren ein Wettrennen zwischen Angreifenden und Sicherheitsexpert:innen. Die heutige Vielfalt der Angriffswerkzeuge ist erschreckend. Unternehmen wie Siemens und auch Forschungseinrichtungen setzen daher alles daran, Hackern mit ausgeklügelten Maßnahmen entgegenzutreten.
Hacker? Anfang der 1980er Jahre konnte noch kaum jemand etwas mit diesem Begriff anfangen. Das änderte sich, als 1983 der Film „Wargames“ in die Kinos kam. Er erzählte die Geschichte eines Jugendlichen, der sich über ein Telefonmodem in die Zentrale des Nord amerikanischen Luftverteidigungskommandos hineinhackt und damit beinahe den 3. Weltkrieg auslöst. Einen privaten Computer besaßen damals die wenigsten Leute. Computer waren eine professionelle Sache oder allenfalls ein Spielzeug von Nerds. Der Film aber machte mit einem Schlag klar, dass es da draußen bereits ein stark vernetztes technisches Universum gab – das noch dazu angreifbar war. In der Tat: Nur etwa zehn Jahre zuvor, 1971, war mit dem Schadprogramm Creeper der erste Computervirus der Welt entwickelt worden. Creeper hatte den Auftrag, das ARPANET der US Air-Force lahmzulegen – den Vorläufer des Internets.
Erschreckende Schäden
Das Verbrechen im virtuellen Raum, also Cybercrime, ist damit bereits mehr als ein halbes Jahrhundert alt. Ein Grund zum Jubeln ist das freilich nicht, weil die wirtschaftlichen Schäden erschreckende Ausmaße angenommen haben. Das IT Unternehmen Cybersecurity Ventures schätzt, dass die durch Cyberkriminalität verursachten weltweiten Schäden 2021 sechs Billionen US-Dollar erreicht haben. Laut den Expert:innen könnte diese Summe bis 2025 auf 10,5 Billionen US-Dollar steigen.
Im Laufe der Zeit haben sich aber nicht nur die Methoden der Angreifenden weiterentwickelt, sondern natürlich auch die der Verteidigenden. So ist der
Kampf im Internet im Grunde seit jeher ein Katz- und Mausspiel. Gegen den ersten Virus Creeper etwa wurde kurzerhand der Antivirus Reaper entwickelt, der Creeper aufspürte und vernichtete.
Lange Zeit standen einzelne Computer oder die Datenserver von Unternehmen im Fokus der Angreifenden. Im Jahr 1999 etwa verbreitete sich der Melissa Virus lawinenartig über E-Mails und legte so zahlreiche Systeme lahm. In den vergangenen Jahren hingegen haben Angriffe auf die Künstliche Intelligenz und der Datenmissbrauch enorm zugenommen. Eine große Rolle spielt auch das Hacken von Computersystemen über daran angeschlossene Kameras, Sensoren oder Maschinen, die miteinander zum sogenannten Internet der Dinge verknüpft sind. Viele solcher Maschinen und Komponenten sind heute mit sogenannten Embedded Systems ausgestattet. Also mit Prozessoren für die Vorverarbeitung von Daten am Einsatzort und über Schnittstellen für die Kommunikation nach draußen – und das macht sie angreifbar. Ein Fanal war der Computerwurm Stuxnet, der vor gut zehn Jahren Steuerungsanlagen von Siemens attackierte, die in Industriebetrieben verwendet werden. Stuxnet sollte die Anlagen sabotieren oder zumindest die Produktion erheblich stören. Damals wurde klar, dass künftig nicht mehr nur Computer oder die Datenserver von Firmen im Fokus von Hackern stehen würden, sondern die gesamte Industrie mit all ihren Produktionsstandorten. Hier hat Siemens mächtig aufgerüstet – insbesondere auch beim Schutz der Kunden, die Siemens-Technik einsetzen.
So wurde mit Product-CERT eine eigene Abteilung geschaffen, die permanent die eigenen Produkte mitsamt ihren Embedded Systems darauf kontrolliert, ob es Schwachstellen gibt, über die Hacker mit neuen Angriffstechnologien eindringen könnten. Die Kunden werden regelmäßig darüber informiert und mit Softwareupdates versorgt.
Vertrauen ist gut, Kontrolle ist besser
Ein Paradigmenwechsel im Bereich der Cybersicherheit ist seit einigen Jahren das Prinzip „Zero Trust“. Mit Zero Trust – „null Vertrauen“ – verabschiedet man sich von der klassischen Vorstellung, dass ein Unternehmen innerhalb seiner Grenzen vor Angriffen sicher ist und über Firewalls geschützt wird, sobald man mit der Außenwelt kommuniziert.
Dieses Modell funktioniert in einer Welt, in der Millionen von Embedded Systems miteinander vernetzt sind, nicht mehr. Hinzu kommen seit der Corona-Pandemie Millionen von Homeoffice-Arbeitsplätzen. „Bei Zero Trust geht es darum, jeden Computer und jede Maschine als potentiell angreifbar zu betrachten und zwischen allen Geräten sichere Verbindungen herzustellen“, erklärt Peter Stoll, der das Thema bei Siemens vorantreibt. „Dabei wird stets geprüft, ob ein Computer berechtigt ist, die Verbindung aufzubauen oder Daten abzufragen.“ Für Siemens ist Zero Trust derzeit eines der wichtigsten Themen im Bereich der Cybersicherheit. Das Mantra lautet: Traue niemanden. Verifiziere stets die Identität und die Zuverlässigkeit eines Computers, der sich anmeldet. Weltweit hat Siemens inzwischen Zero-Trust-Technologie umgesetzt. Diese sorgt zum Beispiel dafür, dass sich Nutzende, obwohl sie sich bereits eingeloggt haben, stets ausweisen müssen.
Lösungen wie Zero Trust sollen dafür sorgen, den Angreifenden stets einen Schritt voraus zu sein. Kryptografie-Experte Fabrizio De Santis von Siemens sagt: „Die Produkte von Siemens liegen in der Schnittstelle zwischen der Cyberwelt und der physikalischen Welt – das können Eisenbahnen sein, Anlagen für die Gebäudeautomatisierung oder Kraftwerke. All das wird mit Software gesteuert. Wenn die Software angreifbar ist, dann ist auch die physikalische Welt betroffen.“ Für Siemens hätten kryptografische Verfahren daher sowohl bei der Speicherung als auch beim Verschicken von Daten hohe Bedeutung. Eine Entwicklung müsse man künftig besonders im Auge behalten, meint De Santis – den Quantencomputer, der extrem schnell rechnen kann. „Wir wissen nicht genau, wann der erste Quantencomputer auf den Markt kommen wird, aber eines ist sicher: Sollte ein solcher Quantenrechner in die Hände Krimineller kommen, dann könnten sie alle gängigen kryptographischen Verfahren aushebeln.“ Daher sollten sich Sicherheitsexpert:innen schon heute darüber Gedanken machen, wie man den Quantencomputer-Hackern der Zukunft das Handwerk legt. Auch mehr als 50 Jahre nach Creeper geht der Wettlauf zwischen Cybergangstern und den Sicherheitsspezialist:innen also weiter – allerdings vielfach komplexer, als man es sich in den 1970ern hätte vorstellen können.
Infobox
1.300 Expert:innen
War es 1986 ein kleines IT-Security-Team mit einer Handvoll Mitarbeitenden für die Netzwerksicherheit, ist die Bandbreite heute wesentlich größer. Siemens überprüft Industrieanlagen weltweit auf mögliche Bedrohungen aus dem Internet, warnt Firmen bei Sicherheitsvorfällen und koordiniert proaktive Gegenmaßnahmen. Insgesamt beschäftigt das Unternehmen heute rund 1.300 Expert:innen für Cybersicherheit und ist somit breit aufgestellt, wenn es darum geht, Kunden, aber auch sich selbst mit sicheren Produkten und Systemen zu versorgen. Als eines der ersten Unternehmen überhaupt hat Siemens einen ganzheitlichen Ansatz im Bereich Cybersicherheit entwickelt, der die Infrastruktur des Unternehmens, dessen Produkte, Lösungen und Services so gut wie möglich schützt. Zudem gehört das Thema Cybersicherheit zu den sogenannten Company Core Technologies von Siemens. Das sind Technologie- und Innovationsfelder, die für das Unternehmen strategisch von größter Bedeutung sind und in denen Siemens eine technologische Führungsrolle anstrebt. Somit verfügt das Unternehmen über eine enorme Expertise auf dem Feld der Cybersicherheit und deren zunehmenden Herausforderungen.
Infobox
Cybersecurity bei Siemens Österreich
Die Siemens AG Österreich hat eine von der globalen Strategie abgeleitete explizite Cybersecurity Policy, hinter der der Vorstand und die Geschäftsbereichsleitungen stehen. Auf den verschiedenen Ebenen des Unternehmens wurden bereits zahlreiche Zertifizierungen erreicht wie ISO 27001, TISAX oder das „CyberRisk Rating by KSV 1870″ (Cyber Trust Austria Silber Label). Für viele Kundenbeziehungen und Ausschreibungen ist das Vorliegen solcher Zertifizierungen mittlerweile eine Voraussetzung. „Sowohl das Cybersecurity-Risk-Management als auch das Cybersecurity-Supplier-Risk-Management sind wesentliche Werkzeuge unserer Cybersecurity Policy. Ein Business-Continuity-Management inklusive Backup, auch offline, und die Datenwiederherstellung mit dazugehörigem Test sind wichtige Cybersecurity-Bausteine, nicht zuletzt, um auch für einen etwaigen Ransomware-Angriff gewappnet zu sein“, sagt Johann Schlaghuber, der als Chief Information Security Officer (CISO) der Siemens AG Österreich für Cybersecurity in Österreich und in den von Österreich betreuten Länder verantwortlich ist. Schlaghuber vertritt Siemens darüber hinaus in externen Gremien wie Kompetenzzentrum Sicheres Österreich (KSÖ), Cyber Sicherheit Plattform (CSP), EnergyCERT und Austrian Trust Circle (ATC) sowie auch gegenüber dem Innenministerium. CISO Schlaghuber muss in seiner Funktion auch die Erfüllung der Vorgaben aus der EU-Netz- und Informationssicherheits-Richtlinie 2 (NIS 2) gewährleisten. „Erste interne Bewertungen zeigen, dass wir punkto NIS2 gut vorbereitet sind, nichtsdestotrotz haben auch wir als Siemens noch etwas zu tun. Konkret können wir das jedoch erst mit dem Inkrafttreten des NIS-Gesetzes in Österreich bewerten. Auch das in diesem Prozess selbst gewonnene Know-how stellen wir natürlich unseren Kunden, die wir bei der Implementierung von NIS2 begleiten dürfen, zur Verfügung“, so Schlaghuber.
