Der PRISM-Skandal hat die Gemüter erschüttert. Und das vor allem auch, weil auf grundlegender Ebene Vertrauen verloren gegangen ist: in den Staat, der als Spion gegen Bürger agierte, zu deren Schutz er ja überhaupt erst besteht. Paradoxerweise ist das in der Annahme geschehen, durch das Ausspähen von Daten Erkenntnisse für das Erfüllen dieser Sicherheitsaufgabe zu sammeln. Der dahinter stehende Konflikt zwischen bürgerlichen Freiheitsrechten und Sicherheitsinteressen offenbart sich nicht zum ersten Mal, hinterlässt aber weithin erst einmal Ratlosigkeit.
Hinzu kommt ein Gefühl von Ohnmacht, dass Computerdaten Angriffen von böswilligen Angreifern ebenso ausgesetzt sind wie vom vermeintlichen wohlmeinenden Vater Staat. In dieser Gemengelage liefern zwei aktuellen Studien Unternehmen Antworten auf die vordringlichste Frage: Was kann getan werden, um seine Daten besser zu schützen als bisher?
Während die Security-Berater von Kroll Advisory Solutions dieses Problem aus der allgemeinen Warte beleuchten, widmet sich die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) einem Feld mit besonderer Brisanz: Cyber-Angriffen auf die Energieversorgung. Nicht-nukleare Kraftwerke sind demnach oft mangelhaft gegen Attacken geschützt und eine mögliche Zielscheibe von Terroristen.
Die OSZE mahnt eine bessere Zusammenarbeit von betroffenen Firmen und Politik an, um die Energieversorgung zu schützen. Angesichts der besonderen Bedeutung der Energie für die gesamte Wirtschaft besitzt der von der Organisation veröffentlichte Maßnahmenkatalog eine enorme Relevanz über die Branche hinaus.
Angriff aus China
Die OSZE stellt fest, dass es in der jüngeren Vergangenheit immer wieder Angriffe auf diesem sensiblen Feld gegeben hat – zum Beispiel im Februar 2011, als von China aus vertrauliche Daten westlicher Öl- und Gasunternehmen gestohlen wurden. „In den vergangenen Jahren ist die Energie-Lieferkette immer stärker automatisiert worden", heißt es im Bericht. „Damit ist auch die Abhängigkeit von computer-gesteuerten Kontrollsystemen gewachsen, die einen reibungsloseren und effizienteren Betrieb moderner Energie-Infrastruktur ermöglichen."
Aufgrund von Fernsteuerung und gestiegener Interoperabilität in diesen Netzwerken sei aber auch die Verwundbarkeit der Anlagen gestiegen. In diesem Zusammenhang warnt die Organisation vor dem Einsatz quelloffener Software-Standards. Wenngleich es hier Kosteneffizienz-Vorteile gebe, seien die offenen Codes von Hackern manipulierbar und erhöhten so die Anfälligkeit.
Zur Eindämmung der Bedrohung empfiehlt der Bericht, verschiedene IT-Systeme möglichst klar zu trennen, um den Schaden bei Ausfällen einzugrenzen. Die Energieversorger sollten zudem Haftbarkeitsklauseln in ihren Verträgen mit IT-Providern einbauen, um entstandene Schäden auch ersetzt zu bekommen. Wichtig seien außerdem ein fortlaufender Informationsaustausch mit den IT-Partnern und eine ganzheitliche, klare und permanente Schulung und Sensibilisierung der Mitarbeiter für bestehende Bedrohungen. Im Bereich von Smart Grids sei es wichtig, internationale Security-Standards zu erarbeiten.
SCADA-Systeme empfohlen
Konkret rät die OSZE den Versorgern außerdem, auf Safeguarding Supervisory Control and Data Acquisition-Systeme (SCADA-Systeme) zu setzen. Weil die Aufgabe, in diesem Segment zum volkswirtschaftlichen Gemeinwohl für Sicherheit zu sorgen, letztlich zumeist an privaten Firmen hänge, seien Kooperationen von Unternehmen und Staat essenziell. Gerade in Zeiten von PRISM ist es also unabdingbar, dass das grundlegende Vertrauen in die politischen Institutionen nicht verloren geht.
Michael DuBose, Managing Director bei Kroll, warnt alle Anwender davor, Probleme bei der Datensicherheit unter den Tisch zu kehren. Aus Angst vor einem schlechten Leumund und haftungsrechtlichen Konsequenzen werde häufig versucht, bei der Aufklärung von Datenverlusten zu bremsen. DuBose berichtet aus der Praxis, dass ergebnisoffene und großflächige Untersuchungen auch lohnend sein können.
So habe ein Kroll-Kunde nach einem Hacker-Angriff angenommen, dass über drei Monate 250.000 Kreditkartennummern samt PINs von Cyber-Kriminellen hätten gelesen werden können. Eine genauere Untersuchung habe gezeigt, dass nur ein Kreditkarten-Typs bloß gelegen habe, und das nur 21 Tage lang. Betroffen waren laut DuBose tatsächlich weniger als 30.000 Kreditkartennummern. Der Schaden sei somit um 1,3 Millionen US-Dollar geringer ausgefallen als ursprünglich angenommen.
Zentraler Ansatzpunkt zur Verbesserung der Cyber-Sicherheit sei eine umfassende Risiko-Überprüfung, die Penetration Testing und eine gründliche Kontrolle der Sicherheitsprotokolle beinhalten sollte, so DuBose. Mit Hilfe von Network Mapping lasse sich feststellen, wie es um die Netzwerk-Konnektivität bestellt sei und wo die wertvollen digitalen Daten im Unternehmen lagern. Überraschend häufig fehle zu derartigen Fragen das institutionelle Wissen in den Firmen.
Cyber-Sicherheit müsse in jedem Unternehmen als Priorität behandelt werden – mit Verantwortlichkeit und Kontrolle auf Vorstandsebene und einer wohlüberlegten Ressourcen-Allokation. „Darüber hinaus müssen die Firmen begreifen, dass Compliance mit branchenspezifischen Vorgaben alleine nicht ausreicht, um adäquate Sicherheit für Daten und Netzwerk zu gewährleisten", so DuBose.