Mangelndes Sicherheitsbewusstsein

Kontrollsysteme im Visier von Cyberattacken

15.10.2004
Von Detlef Scholz
Industrielle Systeme zur Prozesskontrolle und Produktionsdatenerfassung könnten bald mit denselben Sicherheitsproblemen konfrontiert sein wie Business-Applikationen. Darauf weist eine Gemeinschaftsstudie des British Columbia Institute of Technology und der PA Consulting Group hin.

Die industriellen Leit- und Regelsysteme waren bislang weitgehend immun gegen Hackerattacken. Das lag vor allem daran, dass es sich bei ihnen um proprietäre Systeme handelte. Mit der Einführung von Ethernet, TCP/IP-Netzwerken und häufigeren Migrationen nach Windows begann sich das um das Jahr 2000 zu ändern.

"Es soll sich nicht so anhören, als falle uns der Himmel auf den Kopf", sagt Eric Byres, einer der Studienautoren vom British Columbia Institute of Technology, "doch meine Sorge ist, dass das passieren wird, wenn wir nichts tun. Die Hacker sind auf die Anfälligkeit dieser Systeme aufmerksam geworden."

Die Studienmacher fanden heraus, dass zwischen 1982 und 2000 gut 30 Prozent der sicherheitsrelevanten Vorfälle in Kontrollsystemen amerikanischer Firmen ihren Ursprung außerhalb des Unternehmens hatten. In den Jahren 2001 bis 2003 betrug dieser Anteil bereits 70 Prozent. Für Byres ist das ein Zeichen dafür, dass die Kontrollsysteme so löchrig wie ein Schweizer Käse sind.

Das Aufkommen von Würmern, die nicht auf E-Mail basieren, hat das Problem verschärft. Die meisten Attacken seit 2001 seien per E-Mail erfolgt, so Byres weiter, und das tangiere nicht die Steuerungssysteme. Doch plötzlich tauchen Würmer wie "Code Red" auf, die zur Verbreitung nicht auf E-Mail angewiesen sind. Daher werden sie nicht so leicht aufgespürt und können Ärger in den Kontrollsystemen verursachen.

Einer der Gründe dafür, warum die Sicherheitsrisiken und Vorfälle nicht in der amerikanischen Öffentlichkeit bekannt gemacht wurden, liegt darin, dass es bei kritischen Infrastruktur-Anwendungen Abhängigkeiten gibt. Die meisten Branchen, wo diese Technologien eingesetzt werden, sind reguliert. Es geziemt sich dort nicht, über fundamentale Sicherheitsrisiken zu reden, die mit der Nutzung dieser Kontrollsysteme einhergehen.

Zur Startseite