IT-Security: Wie sich EADS schützt
Stuxnet war nur der Anfang
Spionage gehört zum Auftrag
Offizielle Kriegserklärungen wird es dabei nicht geben. Die Attacken kommen plötzlich, und ihre Urheber legen in den digitalen Netzen falsche Fährten, um ihre Spuren zu verwischen. Maßgeschneiderte Angriffe auf Unternehmenssysteme gehören in dieser Zukunft zum Alltag. Mit ihnen verdienen Profi-Hacker ihr Geld, ebenso wie Männer in dunklen Anzügen, so wie sie 2021 in den Kleinbus nach Langfang steigen. "Informationen aus anderen Ländern (also fremden Firmen, Anm. d. Red.) zu beschaffen ist in den Landesverfassungen von China und Russland legitimiert", warnt Herbert Kurek, Referatsleiter beim Bundesamt für den Verfassungsschutz, gebetsmühlenartig.
Vor diesem Hintergrund muss in IT-Sicherheit investiert werden. Nach Berechnungen der Unternehmensberatung Booz & Company könnten die Ausgaben für IT-Sicherheit in Deutschland im Jahr 2021 die Summen für die Innere Sicherheit in Deutschland um das Doppelte übertreffen. Bei Booz geht man für dieses Gedankenspiel davon aus, dass der Markt für IT-Sicherheitsprodukte in Deutschland in den nächsten Jahren jeweils um zehn Prozent steigen wird. Dann würden 2021 in diesem Bereich etwa 8,6 Milliarden Euro ausgegeben (siehe Tabelle oben). "Natürlich muss es nicht so kommen, aber ein jährlich zweistellig wachsender Markt für IT-Security über die nächsten zehn Jahre ist ein realistisches Szenario", sagt Wolfgang Zink, Mitglied der Geschäftsleitung von Booz & Company in München.
Beispiel Stuxnet
Ein wichtiges Argument für diesen Anstieg sind 15.000 Zeilen Code, die seit dem Sommer 2010 Schlagzeilen machen. Der damals entdeckte Computerwurm Stuxnet zielt auf Industriesteuerungsanlagen, die mit einer Siemens-Software betrieben werden. Wer Urheber und Ziel dieses Computerangriffs waren, blieb zunächst unklar. Sicher ist aber, dass Stuxnet Maßarbeit war. Das Schadensprogramm wurde nur aktiv, wenn es eine ganz bestimmte Anlage mit einer Siemens-Steuerung befiel. Diese Anlage war das Steuerpult für die Zentrifugen der iranischen Urananreicherungsanlage in Natanz, wie Sicherheitsfachleute im Laufe der nächsten Monate herausfanden.
Mitarbeiter von Wartungsfirmen hatten den Wurm dann offenbar über infizierte Laptops oder USB-Sticks dort eingeschleppt. Dort befiel Stuxnet die Siemens-Steuerungssysteme und manipulierte die Geschwindigkeit der Zentrifugen so, dass die Motoren von fast 1000 dieser Trennschleudern beschädigt wurden. Durch die Probleme musste die Anlage monatelang heruntergefahren werden. Experten gehen davon aus, dass die Versuche des Iran, waffenfähiges Material für den Bau von Atombomben herzustellen, um zwei Jahre zurückgeworfen wurden.
Wer sich Gedanken darüber macht, wie es um die IT-Sicherheit 2021 bestellt ist, muss dieses kleine Stück Nahost-Geschichte im Blick haben. Dekkers hat alle Informationen, die über das Angriffsprogramm bekannt wurden, natürlich genau verfolgt. "Dass es technisch möglich ist, einen Virus wie Stuxnet zu programmieren, ist für uns keine Überraschung", sagt er. "Überraschend ist eher, dass es der Sicherheits-Community gelang, seine Existenz nachzuweisen und dabei so viele Informationen über den Sinn und die Funktionsweise von Stuxnet zusammenzutragen. Daraus lässt sich ableiten, worauf wir uns alle in Zukunft einstellen müssen."