Im April 2014 stahlen Hacker 18 Millionen digitale Identitäten. Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) nur die Spitze des Eisbergs. Denn immer häufiger gehen kriminelle Hacker auf Diebestour im Internet - und meist bleibt der Klau von E-Mail-Adressen, Passwörtern und PINs unerkannt. Das BSI zählt Identitätsdiebstahl inzwischen zu einer der größten Risiken der Internetnutzung. Die Kriminellen gehen mit den Zugangsdaten auf Einkaufstour in Online-Shops, treten unter fremden Namen in Social-Media-Plattformen auf oder versenden massenhaft E-Mails, um weiteren Schaden auf fremden Rechnern anzurichten und noch mehr Daten abzuziehen.
Foto: BioID AG
Längst haben sich digitale Identitäten zu einer lukrativen Handelsware auf dem Schwarzmarkt im Internet entwickelt. Gehandelt wird mit allem, wofür Zugangsdaten erforderlich sind: PayPal oder eBay, Zugänge zu Webmail-Services wie Hotmail und Gmail oder Facebook- und Twitter-Seiten. Ein E-Mail-Konto oder Zugang zu einem sozialen Netzwerk ist laut Recherchen des IT-Sicherheitsdienstleisters Panda Security bereits ab zehn Dollar zu bekommen.
Digitale Identitäten zur Maschinensteuerung
Der Diebstahl von digitalen Identitäten droht Unternehmen und Betreibern von Infrastrukturen zunehmend aus einer gänzlich anderen Ecke: Internet der Dinge, Machine-to-Machine-Kommunikation und Industrie 4.0. Laut Gartner sollen im Jahr 2020 rund 25 Milliarden Geräte mit dem Internet verbunden sein. Vernetzte Maschinen steuern dann ganze Produktionsabläufe. Bisher waren Industrielle Steuerungssysteme (ICS) von anderen IT-Systemen und Netzen entkoppelt. Von außen konnte man nicht an die Steuerungssoftware einer Produktionsstraße heran. Inzwischen bekommen Maschinen wie Rechner, Drucker oder Smartphones eigene IP-Adressen, womit man sie übers Netz aus der Ferne ansteuern kann. Zudem tauschen die Maschinen untereinander Daten aus, mit denen sie die Produktion selbständig steuern.
- Internet der Dinge und M2M
Industrie 4.0, M2M und das Internet der Dinge sind unterschiedliche Themen mit gleichem Hintergrund: Bessere Vernetzung, zunehmende Miniaturisierung und fallende Hardwarekosten bereiten den Boden für sich selbst verwaltende Systeme. - Internet der Dinge und M2M in Gartners Hype Cycle:
Während die Umsetzung des „Internet der Dinge“ nach Gartner-Einschätzung noch weit entfernt erscheint, könnte die M2M-Kommunikation in fünf bis zehn Jahren zum praktischen Einsatz kommen. Erste Projekte gibt es heute bereits, wie in Blick auf Beispielen aus verschiedenen Branchen zeigt. - Call a Bike:
Wer ein Fahrrad der Deutschen Bahn am Wegesrand sieht und es ausleihen möchte, wählt die darauf angegebene Nummer und bekommt eine Öffnungsnummer mitgeteilt. Schon kann man losradeln, einmalige Anmeldung vorausgesetzt. - John Deere:
In seine Mähdrescher packt der Landmaschinenhersteller die Rechen-Power von acht PCs. Via GPS lassen sich Geräte spurgenau steuern. Eine Vielzahl von Sensoren sollen drohende Probleme frühzeitig melden, damit die Maschinen nicht während der Erntezeit ausfallen. - GAP:
Die Modekette GAP begrüßt in einigen Warenhäusern auf Bildschirmen im Ein- und Ausgangsbereichen Kunden mit persönlichen Nachrichten. Erkennungsmerkmal ist das mitgeführte Smartphone. - Telemedizin:
Vitalparameter werden mittels Körperscanner gemessen und dem behandelnden Arzt übermittelt. So können beispielsweise Krankenhauszeiten verkürzt werden. - DriveNow:
BMW hat das Geschäftsmodell Autoverkauf und die Autovermietung erweitert. In einigen deutschen Städten gibt es BMW-Fahrzeugflotten die registrierte Nutzer über Smartphone-App orten, reservieren und mieten können. - Smart Energy:
Das intelligente Energie-Management beschränkt sich nicht auf die Energiemessung, sondern steuert den Energieverbrauch je nach Angebot.
Aus produktionstechnischer Sicht und für den Service bringen die Maschine-to-Maschine-Kommunikation und Industrie 4.0 enorme Vorteile. Aber es bringt auch neue Sicherheitsrisiken mit sich. Denn nun bekommt jemand, der eine einfache, passwortgeschützte digitale Identität eines Mitarbeiters eines produzierenden Unternehmens klaut, aus der Ferne über das Internet Zugriff auf eine Maschine.
Was passiert, wenn Angreifer mit einer gestohlenen digitalen Identität gezielt die Arbeit von Maschinen manipulieren? Oder eine Maschine mit einer gestohlenen Identität einer anderen Maschine falsche Befehle erteilt? Das könnte dramatische Folgen für ganze Industrien haben. Denn konfiguriert ein Hacker mit "offizieller" digitaler Erlaubnis die Elektronik eines Autobauteils um, dann fällt dies erst auf, wenn dies zum Beispiel Unfälle nach sich zieht. Eine Katastrophe für einzelne Unternehmen und die ganze Wirtschaft.
- Leitlinie zur Zugangskontrolle
Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten. - Mitarbeiterschulung (Security Awareness)
Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt. - Netzwerksicherheits-Management
Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen. - Informationssicherheit mit Externen
In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein. - Transparentes Risikomanagement
Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Schon heute sind mehr als 50.000 Steuerungssysteme deutscher Unternehmen direkt ans Internet angeschlossen - und dabei kaum geschützt. Von Sicherheitsbehörden beauftragte professionelle Hacker konnten Passwörter mit einfachen Mitteln herauszufinden. Oder noch erstaunlicher: Selbst die Steuerung einer hochsensiblen Kraftwerksanlage wäre ohne Passwort möglich gewesen.