Raus aus dem Netz!

Die bit­te­re Wahr­heit lau­tet: Es spielt kei­ne Rol­le, wie viel Ihr Un­ter­neh­men in die neues­te Hard­wa­re und Soft­wa­re, in Wei­ter­bil­dun­gen oder in Spe­zi­al­kräf­te für Netz­si­cher­heit in­ves­tiert, ob es sei­ne wich­tigs­ten IT-Sys­te­me von den an­de­ren ab­ge­kop­pelt hat oder nicht. Wenn Ihre ge­schäfts­kri­ti­schen Sys­te­me di­gi­tal und in ir­gend­ei­ner Wei­se mit dem In­ter­net ver­bun­den sind (was sie wahr­schein­lich sind, selbst wenn Sie vom Ge­gen­teil aus­ge­hen), wer­den sie nie­mals voll­kom­men si­cher sein, Punkt.
Die­se Tat­sa­che ist des­halb wich­tig, weil di­gi­ta­le, ver­netz­te Sys­te­me in­zwi­schen so gut wie alle Be­rei­che der Wirt­schaft durch­drin­gen und die Fä­hig­kei­ten und Um­trie­big­keit der Geg­ner – häu­fig sind es Na­tio­nal­staa­ten, kri­mi­nel­le Ver­ei­ni­gun­gen und ter­ro­ris­ti­sche Grup­pen – in den ver­gan­ge­nen Jah­ren ge­wal­tig zu­ge­nom­men ha­ben. Be­trach­ten Sie nur die An­grif­fe in den Ver­ei­nig­ten Staa­ten auf die Stadt­ver­wal­tung in At­lan­ta und auf ein Da­ten­netz­werk, das vier Be­trei­ber von Erd­ga­spi­pe­li­nes ge­mein­sam nut­zen, den Da­ten­die­b­stahl bei Equi­fax und die glo­ba­len Schad­soft­wa­re­an­grif­fe Wan­naCry und Not­Pe­t­ya. Bei vie­len spek­ta­ku­lä­ren Vor­fäl­len in den letz­ten Jah­ren wa­ren die ge­schä­dig­ten Un­ter­neh­men der Mei­nung, sie sei­en durch star­ke Si­cher­heits­sys­te­me ge­schützt.
Ich ge­hö­re zu ei­nem Team des Ida­ho Na­tio­nal La­bo­ra­to­ry (INL), das un­ter­sucht hat, wie sich die für die US-Wirt­schaft und die na­tio­na­le Si­cher­heit wich­tigs­ten Ein­rich­tun­gen am bes­ten vor Cy­be­r­at­ta­cken schüt­zen kön­nen (sie­he auch den Kas­ten „Boll­werk ge­gen Cy­ber­gangs­ter“). Da­bei ha­ben wir uns auf die­je­ni­gen kon­zen­triert, die von in­dus­tri­el­len Steue­rungs­sys­te­men ab­hän­gen – zum Bei­spiel für das Re­gu­lie­ren von Tem­pe­ra­tur und Druck in Strom­kraft­wer­ken und Öl­raf­fi­ne­ri­en. Wir sind zu ei­ner Lö­sung ge­kom­men, die kon­trär zu sämt­li­chen kon­ven­tio­nel­len Maß­nah­men ist: Ma­chen Sie die Funk­tio­nen aus­fin­dig, de­ren Aus­fall die Exis­tenz Ih­res Be­trie­bs be­dro­hen wür­de, tren­nen Sie sie so weit wie mög­lich vom In­ter­net, re­du­zie­ren Sie ihre Ab­hän­gig­keit von di­gi­ta­len Tech­no­lo­gi­en auf ein ab­so­lu­tes Mi­ni­mum, und si­chern Sie die Über­wa­chung und Steue­rung die­ser Funk­tio­nen zu­sätz­lich durch ana­lo­ge Ge­rä­te und ver­trau­ens­wür­di­ge Per­so­nen. Auch wenn un­se­re Me­tho­de sich noch im Er­pro­bungs­sta­di­um be­fin­det, kön­nen Un­ter­neh­men be­reits jetzt vie­le Ele­men­te dar­aus an­wen­den.
Zu­ge­ge­ben, die­se Stra­te­gie – die für rein wis­sens­ba­sier­te Un­ter­neh­men nicht ge­eig­net ist – er­höht mög­li­cher­wei­se die Be­trie­bs­kos­ten und ver­rin­gert viel­leicht in ei­ni­gen Fäl­len die Ef­fi­zi­enz. Aber dies ist der ein­zi­ge Weg, um si­cher­zu­stel­len, dass die ge­schäfts­kri­ti­schen Sys­te­me kei­nem di­gi­ta­len An­griff zum Op­fer fal­len kön­nen. In die­sem Ar­ti­kel wer­de ich die Me­tho­de des Labs zum Iden­ti­fi­zie­ren sol­cher Sys­te­me vor­stel­len. Sie för­dert im­mer wie­der sen­si­ble Funk­tio­nen oder Ab­läu­fe zu­ta­ge, von de­nen die Füh­rungs­kräf­te gar nicht wuss­ten, dass ihre Be­ein­träch­ti­gung das Un­ter­neh­men lahm­le­gen könn­te. Wir ha­ben in den letz­ten Jah­ren be­reits ei­ni­ge Ele­men­te der Me­tho­de in Kon­zer­nen und beim US-Mi­li­tär ein­ge­setzt und ein sehr er­folg­rei­ches ein­jäh­ri­ges Pi­lot­pro­jekt mit dem kom­plet­ten Pro­gramm bei Flo­ri­da Power & Light durch­ge­führt, ei­nem der größ­ten Ener­gie­un­ter­neh­men der Ver­ei­nig­ten Staa­ten. Ein zwei­tes Pro­jekt in ei­nem US-Mi­li­tär­dienst wird ge­ra­de vor­be­rei­tet. Au­ßer­dem er­kun­det das INL der­zeit Wege, wie man die Me­tho­de flä­chen­de­ckend an­wen­den kann. Da­bei wer­den wir wahr­schein­lich mit aus­ge­wähl­ten tech­ni­schen Dienst­leis­tern zu­sam­men­ar­bei­ten, an die wir Li­zen­zen ver­ge­ben und die wir ent­spre­chend aus­bil­den.