Felix ,,FX“ Lindner und Sandro Gaycken
Ein laxer Umgang mit dem Thema Informationssicherheit bedroht massiv den Technologievorsprung deutscher Unternehmen – und auch die Sicherheit der Autofahrer. Im Round-Table-Gespräch mit automotiveIT diskutieren Berufshacker Felix „FX“ Lindner und Sandro Gaycken, Sicherheitsforscher an der Freien Universität Berlin, die aktuelle Gefahrenlage.
Felix ,,FX“ Lindner leitet die Recurity Labs und berät als Sicherheitsexperte große Konzerne. Sandro Gycken ist im Chaos Computer Club aktiv und arbeitet an seiner Habilitation zum Thema Sicherheit. Im Interview mit automotiveIT nennen und erklären sie neue Gefahren in der IT.
Meine Herren, wie schätzen Sie die aktuelle Sicherheitslage in deutschen Industrieunternehmen ein?
Sicherheit lässt sich nicht anhand von Schwarz-Weiß-Kategorien beurteilen. Zwischen „Ich bin bedroht“ und „Ich bin sicher“ existieren zahlreiche Risikostufen, die man höchst unterschiedlich handhaben kann und muss. Die aktuelle Sicherheitslage bei Problemen, die auch Privatanwender kennen, halte ich für relativ stabil – da funktioniert meistens alles so, wie es soll. Anders sieht es bei Unternehmen aus: Die fangen jetzt zunehmend an, sich Kuckuckseier ins Nest zu legen, indem sie beispielsweise kritische Infrastruktur an Cloud-Provider auslagern. Mit dem Versuch, dadurch kurzfristig IT-Kosten einzusparen, handeln sich CIOs langfristig strategische Probleme ein, die sie nur sehr schwer werden lösen können. Und wovor tatsächlich die wenigsten ausreichend geschützt sind, ist gezielte Wirtschaftsspionage. Dort geht ist nicht darum, möglichst viele beliebige Rechner zu infizieren, sondern auf ausgewählten Systemen Schlüssel-Knowhow in digitaler Form abzugreifen. Die meisten Unternehmen bekommen gar nicht mit, dass sie gehackt wurden. Die betreffenden Daten fehlen ja nicht plötzlich, sondern werden einfach nur kopiert.
Trifft das auch auf die Automobilindustrie zu?
Gaycken: Von Seite der Nachrichtendienste wissen wir, dass heute nicht nur digitales Produktwissen gefährdet ist, sondern zunehmend die Baupläne und Betriebsanleitungen kompletter Fabriken – bis hin zur letzten Schraube und den dazugehörigen Organisationsstrukturen. Geraten solche „Feintuning“-Informationen in die falschen Hände, kann der Technologievorsprung eines Hightechstandortes wie Deutschland schnell dahin sein. Dauerte der Aufbau komplexer Fertigungsanlagen früher bis zu fünf Jahren, kann das heute in drei bis vier Monaten passieren. Es wird kopiert, was kopiert werden kann. In rund 120 Ländern existieren nachweislich offizielle Programme. Jedes dieser Länder kann diese Fähigkeiten nutzen, um offensiv Defizite in der ökonomischen Entwicklung auszugleichen. Gerade die wirtschaftlich schwächeren Länder sind da interessiert.
Lindner: Die Automobilindustrie gehört sicher zu den prädestinierten Branchen, weil Hersteller und Zulieferer stark untereinander vernetzt sind und verteiltes Arbeiten ja eher die Regel ist als die Ausnahme. Also müssen Entwicklungsdaten und Konstruktionszeichnungen jederzeit und überall verfügbar sein. Diese Form der Arbeitsorganisation ermöglicht es dann, kriminelle Vorhaben relativ lange Zeit zu betreiben, ohne entdeckt zu werden. Dazu kommt eine hohe Anzahl von Innentätern, die aber von Branche zu Branche stark variiert. Dass Mitarbeiter in den eigenen Reihen angeblich für 70 Prozent aller Sicherheitsvorfälle verantwortlich sind, lässt sich mit soliden Zahlen nicht belegen.
Experten gehen davon aus, dass gezielte Hackerangriffe jährlich Schäden in Milliardenhöhe verursachen. Glauben Sie, dass die Mehrheit der CIOs und IT-Leiter fachlich dazu in der Lage ist, sinnvolle und richtige Schutzmaßnahmen zu treffen?
Gaycken: Ihren Basisschutz haben Unternehmen heute im Griff. Auch die Reguliererseite übt ja zunehmend heilsamen Druck aus – denken Sie nur an die Einforderung entsprechender Sicherheitszertifikate oder an Geldbußen, die bei Nachlässigkeit und Verstößen fällig werden. Der Schutz vor gezielten Angriffen aber ist eine ganz andere Geschichte. Da muss noch unglaublich viel getan werden. Im Moment ist kaum ausreichend Kompetenz vorhanden. Sicherheit war lange Zeit ein Produkt, das viele CIOs zugekauft haben – meistens von großen und namhaften Anbietern, damit es für den Vorstand nach einer verantwortungsvollen Entscheidung aussieht. Solche Strategien aber laufen zunehmend ins Leere. Es wäre dringend nötig, dass Unternehmen eigene Security-Kompetenz aufbauen, beispielsweise in Form entsprechender Taskforces. Diese Experten sollten die IT-Infrastruktur des Unternehmens und die Anlagen genau kennen, um die Höhe der Sicherheitsanforderungen richtig bestimmen, Sicherheitslösungen gut anpassen und Alarmmeldungen richtig bewerten und einschätzen zu können.
Lindner: In allen Branchen gibt es Unternehmen, die bereits heute mit solchen Strukturen arbeiten. Auch in der Automobilbranche kenne ich ein erfolgreiches Beispiel dafür, wie man jedes einzelne Vorstandsmitglied aktiv und dauerhaft in die Sicherheitsaktivitäten eingebunden hat. Durch die enge Verzahnung wird Security zu einem echten Business-Enabler – und nicht zu einem irgendwo und irgendwie rangeschraubten Patch, der nur allen im Wege steht. In vielen IT-Abteilungen und auch in den entsprechenden Fachbereichen finden sich gut ausgebildete junge Mitarbeiter, die mit großer Begeisterung das Thema Sicherheit angehen. Dieses Potenzial sollte kein Unternehmen brachliegen lassen, sondern es sich aktiv zunutze machen. Es braucht seine Zeit, aber die Investition in einen Chief Information Security Officer und eine entsprechende interne Organisation lohnt sich.
Das gesamte Interview können Sie als Abonnent im Printmagazin oder mit unserer automotiveIT App (Android & Apple) auf Ihrem Tablet lesen. Ihr Abonnement können Sie hier bestellen.
Das Gespräch führten: Ralf Bretting und Hilmar Dunker
