SIEMENS

Verfolgungsjagd in Washington: Diesmal jagen die Verbrecher einen Zeugen, den der Cop John McClane alias Bruce Willis in Sicherheit bringen will. Doch er hat kaum eine Chance. Die Verbrecher haben sich in alle Systeme der Stadt gehackt. Sie kontrollieren Verkehrssysteme, Telefongesellschaften und IT-Leitungen. Auf riesigen Monitoren verfolgen sie in ihrer Kommandozentrale den Polizisten und seinen Zeugen, schalten Ampeln auf Rot, sperren Tunnel und produzieren gezielt Chaos. Der Hollywoodstreifen „Stirb langsam, Teil 4“ ist der verfilmte Albtraum eines jeden IT-Sicherheitsexperten.

Dr. Johann Fichtner, Leiter des Technologiefelds IT Security bei Siemens Corporate Technology (CT) in München, hat sich den Film angesehen. Er und sein Team beraten die Sektoren von Siemens zur IT-Sicherheit. „Der Film ist nicht völlig aus der Luft gegriffen: Hackerangriffe könnten theoretisch ganze Infrastruktursysteme lahm legen“, erklärt Fichtner. Und diese Gefahr steigt, je komplexer und vernetzter die Steuerungssysteme von Flughäfen, öffentlichen Verkehrsmitteln, der Wasser- und Stromversorgung, Krankenhäusern oder Datennetzen werden.

Vor allem Stromnetze müssen geschützt werden, denn ohne Strom sind viele Infrastrukturen lahmgelegt. Besonders gilt dies für die intelligenten Netze, die Smart Grid, da hier künftig eine Vielzahl von Energieerzeugern, -verbrauchern und Software-Systemen eng zusammenhängen. Es müssen internationale Standards für die Sicherheitsstrategien erarbeitet und umgesetzt werden. „Dabei muss das gesamte Smart Grid betrachtet werden, und nicht nur die Verbindungen zwischen einzelnen Komponenten“, erklärt Alexander Schenk. Er ist bei Siemens in Wien verantwortlich für die Technologie des „Automatisierten Verbrauchsdatenerfassungs- und Informationssystems“, kurz AMIS.

Ein mit AMIS ausgerüstetes Smart Grid misst über intelligente Stromzähler, die Smart Meter, den Stromverbrauch in den Haushalten, sammelt die Verbrauchsdaten in lokalen Trafostationen, überwacht und steuert das Netz, leitet die Daten in die Leitstelle weiter und speist sie in die Software zur Rechnungserstellung. All diese Funktionen und Verbindungen müssen gesichert werden. Bei den bereits mit AMIS ausgerüsteten Netzen, etwa in Oberösterreich oder in Baden-Württemberg, geschieht dies über eine Software-Verschlüsselung und mit Protokollen, die genau festlegen, welches Modul Daten wohin übermitteln darf. „Das hat den Vorteil, dass der Schlüssel, sollte er jemals von Hackern geknackt werden, erstens nur für Teilabschnitte gilt und zweitens einfach über ein Software-Download geändert werden kann“, erklärt Schenk. Auch künftige erweiterte Sicherheitsstandards können so aufgespielt werden.

Hinzu kommt, dass in immer mehr Netzen und Industrieanlagen Standardbetriebssysteme und webbasierte Dienste eingesetzt werden. Sie können von jedem PC aus genutzt werden und sind, da sie auf Windows oder Linux basieren, auch einfach zu warten. „Sie sind so aber auch angreifbarer als speziell entwickelte Systeme, weil Hacker die Struktur kennen“, erklärt der CT-Experte Steffen Fries. Künftig können vielleicht Nutzer über eine Webapplikation ihren Stromverbrauch präzise verfolgen. Dafür übermittelt der Smart Meter in ihrem Haus die Daten ins Internet. Hacken sich aber Unbefugte in den zentralen Server solcher Anbieter, könnten sie feststellen, wann kein Strom in einem Haus verbraucht wird, und es daher mit hoher Wahrscheinlichkeit gerade unbewacht ist.

Pannen simulieren. Doch nicht nur die Stromlandschaft wird zu einem hochkomplexen System, dies gilt auch für Hochgeschwindigkeitszüge oder neue Metros, in denen Software, Mechanik und Elektronik fein aufeinander abgestimmt sind. Der Ausfall eines Moduls kann sich auf den gesamten Zug auswirken: Schließen etwa die Türen nicht, reicht es nicht, sie per Hand mechanisch zu schließen. Zugleich müssen dies die anderen Systeme erfahren und ihre Funktionen darauf abstimmen: zum Beispiel den Befehl geben, dass der Zug abfahren kann, obwohl kein elektronisches Signal existiert, dass die Türen geschlossen sind. Die Experten müssen für jedes Szenario einen so genannten Fehlerbaum erstellen, der den genauen Verlauf der Störung zeigt. Erst wenn dies für alle vorhersehbaren Pannen geschehen ist, kann man festlegen, wie die Systeme reagieren sollen. „Diese Fehlerbäume mussten wir früher für jedes Zugkonzept neu entwickeln“, erklärt Martin Rothfelder, zuständig für Risk Management and Analysis bei CT in München. Dazu kommt, dass jedes Land eigene Sicherheitsstandards für Züge hat. Während etwa in Frankreich die Steuerung der Türen oft nur elektronisch überwacht wird, legt Großbritannien meist Wert auf eine zusätzliche Sicherung über Sensoren, die über ein Bussystem Signale weitergeben. Die Folge: Sicherheitsnachweise werden immer langwieriger. Rothfelders Team hat nun auf Basis von Software-Standardwerkzeugen ein Programm entwickelt, das die Fehlerbäume von Subsystemen wiederverwendbar macht. Hier müssen nur noch die Variablen des Zugs eingegeben werden. Die Fehleranalyse geschieht automatisch. „So stellen wir viel schneller als bisher fest, wenn eine vorgeschlagene Lösung zu unsicher ist und sich das Entwicklungsteam Alternativen überlegen muss“, erklärt Rothfelder.

Grundsätzlich sind die Strategien zum Schutz vor Angriffen gleich: Analyse der Systeme und ihrer Schutzziele, Definition der Sicherheitsanforderungen, Entwicklung einer angepassten Sicherheitsarchitektur und Implementierung. Der Trend geht laut Fichtner dahin, bestimmte sichere Programmiertechniken als Qualitätsmerkmal nachzuweisen und zertifizieren zu lassen. Auch führen das zur CT gehörende Development Center, das für Software-Entwicklung zuständig ist, in seinen Clustern Central & Eastern Europe und India ständig Sicherheitsschulungen nach dem neuesten Standard durch. Ein Prinzip ist dabei Gesetz, sagt Fichtner: Alle Systeme müssen ständig auf neue Schwachstellen überprüft werden: „Die Maxime ‚Never touch a running system’ reicht nicht mehr.“