Interview
„Bei der Cyber-Security noch zu schwach aufgestellt“

Norbert Pohlmann ist Informatikprofessor für verteilte Systeme und Informationssicherheit und Leiter des Instituts für Cyber-Security an der Westfälischen Hochschule Gelsenkirchen.

Er erklärt, dass Unternehmen der Gebäudeautomation ihre Sicherheitstechnologien dringend auf den neuesten Stand bringen sollten. Die IT- Kriminalität nimmt immer mehr zu und wird immer professioneller. Angriffe auf Informationstechnik und komplexe IT-Strukturen wie im Gebäude kommen immer öfter vor und stellen mehr und mehr eine Bedrohung dar.

Die IT-Kriminalität erfährt eine zunehmende Industrialisierung und damit eine nie dagewesene Professionalisierung. Wie zeigt sich das in Gebäuden und noch konkreter: Auf welche Art und Weise erfolgen Angriffe auf Anlagen der Gebäudeautomation?

Norbert Pohlmann: Grundsätzlich ist es leider ja so, dass jede Informationstechnik angreifbar ist. Es gibt keine 100-prozentige Sicherheit. Gebäude haben heute eine komplexe IT-Struktur, mit der die Heizung, das Licht, Jalousien, Aufzüge und anderes gesteuert wird. Es kann alle Bereiche treffen.

Können Sie ein Beispiel nennen?

Pohlmann: Wir haben uns rein zu Demonstrationszwecken mal in die Heizung eines Krankenhauses gehackt. Das diente dem Zweck, Sicherheitslücken zu offenbaren. Der Krankenhausbetreiber konnte die Lücke dann schließen, was für uns unerwartet mehrere Monate in Anspruch nahm. Stellen Sie sich aber mal vor, es wären echte Hacker gewesen mit dem Ziel, Geld zu erpressen, vielleicht mit der Drohung, die Heizungsanlage ganz abzuschalten. Denkbar ist auch, mit dem Herunterfahren von Jalousien oder dem Schließen elektronisch gesteuerter Türen Panik auszulösen. In einem Krankenhaus stehen bei solchen Szenarien Leben auf dem Spiel. Es ist aber auch denkbar, dass sich Täter in einem ersten Schritt Informationen über ein Gebäude und seine Sicherheitseinrichtungen beschaffen, um dann gezielt Überwachungskameras abzuschalten und einen Einbruch zu verüben. Es gibt aber auch andere Bedrohungen. Malware etwa, die Systeme lahmlegen kann, oder über die Netzwerkgeräte wie Überwachungskameras gekapert werden. Zigtausende solcher Geräte werden dann zu Botnetzen verbunden, mit denen sich Denial-of-Service-Angriffe ausführen lassen, um etwa Webserver lahm zu legen.

Wie real sind solche Gefahrenszenarien?

Pohlmann: Sehr real, und in jedem Jahr steigt das Risiko. Mit der digitalen Transformation gibt es auch in Gebäuden immer mehr Systeme und Geräte, die über Netzwerke miteinander verbunden und an das Internet gekoppelt sind. Damit nehmen potenziellen Angriffspunkte zu. In der IT-Sicherheitsbranche kursiert dieser Spruch, nach dem es zwei Arten von Unternehmen gibt: Jene, die wissen, dass sie angegriffen wurden, und jene, die es noch nicht wissen. Öffentlich werden alle Unternehmen angegriffen.

Wer sind die Täter?

Pohlmann: Das Spektrum ist breit. Da sind z.B. die einfachen Skript-Kiddies und Nachwuchs-Hacker. Sie wollen sich mit Hacker-Tools, die im Internet frei verfügbar sind, einfach mal ausprobieren und schnelle Erfolge verbuchen. Darüber stehen kriminelle Banden, die erwerbsmäßig angreifen, die Geld verdienen wollen. Das Spektrum reicht bis hin zu staatlich finanzierten Hackern, die im Auftrag von Regierungen arbeiten, um politische Ziele zu erreichen. Das hat dann kriegerische Züge, allerdings gibt es keine Kriegserklärung.

Sie sagen, dass es 100-prozentige Sicherheit nicht gibt. Bedeutet das, die Flinte ins Korn zu werfen?

Pohlmann: Nein, ganz im Gegenteil. Es ist richtig, dass sich 100-prozentige Sicherheit nicht erreichen lässt. Das soll aber Ansporn sein und nicht dazu bewegen, sich zu ergeben. Es geht darum, es den Angreifern mit wirkungsvollen IT-Sicherheitslösungen möglichst schwer zu machen. In einem ersten Schritt bedeutet dies, gängige Instrumente und Methoden einzusetzen wie eine Firewall oder Verschlüsselung. Es gilt also, möglichst viel präventiv zu tun. Weil es aber irgendwo immer eine Lücke gibt, ist der nächste Schritt, Angriffe so schnell wie möglich zu erkennen, etwa mit einem „Intrusion Detection System“. Wenn ich dann einen Angriff identifiziert habe, kann ich darauf reagieren und Angreifer möglicherweise noch während einer Attacke aufhalten. Wenn dies nicht gelingt, lässt sich der Angriff immerhin analysieren, um dann die vorhandene Lücke zu schließen.

Wer kann außer technischen Sicherheitseinrichtungen noch helfen?

Pohlmann: In größeren Unternehmen sollte es ein Team von Mitarbeitern geben, das im Fall eines Angriffs eine Art Task-Force bildet. Alle Entscheidungen werden dann von dieser Task-Force getroffen. Das kann zum Beispiel sein, Systeme vom Netz zu nehmen, sie abzuschalten, um Angriffe aufzuhalten. Ein weiteres wichtiges Thema sind regelmäßige Mitarbeiterschulungen. Die Mitarbeiter müssen um potenzielle Gefahren wissen, denn nur dann können sie sie vermeiden.

Wie sehen Sie die Rolle der Hersteller?

Pohlmann: Sie tragen einen guten Teil der Verantwortung. Insbesondere bei Betriebssystemen oder Office-Anwendungen, Bereichen also, die von amerikanischen Unternehmen wie Microsoft, Apple, Google und anderen dominiert werden, ist es aber leider so, dass die Software bewusst unsicher gehalten wird. Nicht zuletzt die Enthüllungen von Edward Snowden haben dies offenbart. Deutsche Unternehmen im Bereich Gebäudeautomation tun gut daran, sich durch den Einsatz jeweils aktueller Sicherheitstechnologien einen Wettbewerbsvorsprung zu erarbeiten und diesen herauszustellen. Das Attribut Cyber-Security wird auch in diesem Sektor immer wichtiger. Vielleicht kostet eine Lösung dann mehr, aber die Käufer werden es honorieren. Denn unter dem Strich müssen sie weniger ausgeben, um Systeme nachträglich abzusichern oder Schäden zu beheben.

Wären hier regulatorische Vorgaben sinnvoll?

Pohlmann: Es gibt ja bereits einige, am bekanntesten sind sicher die für Unternehmen im Bereich Kritische Infrastrukturen. Es wäre sicher gut, wenn andere Unternehmen, die nicht zu diesem Kreis zählen, sich an diesen Standards orientierten. Ich denke aber nicht, dass weitere Vorgaben von Seiten der Politik nötig sind. Wünschenswert wäre, wenn Unternehmen aus dem Sektor Gebäudeautomation sich zusammentun, um gemeinsam Sicherheitsstandards zu schaffen. Über solche Kooperationen lässt sich viel erreichen und damit eine sichere und vertrauenswürdige Gebäudeautomationen übergreifend umsetzen.

Wie sähe für Sie eine ideale Welt aus, in der die IT-Systeme sehr viel sicherer sind?

Pohlmann: Als Wissenschaftler sehe ich, dass die Forschung den aktuellen Sicherheitsstandards in der Wirtschaft um mindestens fünf Jahre voraus ist. Deutschland ist in der Forschung zur IT-Sicherheit sehr gut aufgestellt, im europäischen Vergleich liegen wir an der Spitze. Hinzu kommt, dass wir eine ausgeprägte IT-Sicherheitsindustrie haben. Allein in Nordrhein-Westfalen gibt es mehr als 400 Unternehmen, die in diesem Sektor tätig sind. Das bedeutet, dass die Unternehmen in Sachen IT-Sicherheit deutlich besser sein könnten, als sie es zurzeit sind. Gemessen an den Möglichkeiten sind sie zu schwach aufgestellt. Nötig wäre also, dass Unternehmen ihre Sicherheitslösungen schneller dem aktuellen Wissensstand anpassen. Das wäre auch betriebswirtschaftlich von Vorteil. Denn die Ausgaben für das Beheben potenzieller Schäden können erheblich sein.

Herr Pohlmann, wir danken für das Gespräch.

Norbert Pohlmann gilt als ausgewiesener Experte auf dem Gebiet der Cyber-Security. Seit 2003 ist er Informatikprofessor für Verteilte Systeme und Informationssicherheit im Fachbereich Informatik und geschäftsführender Direktor des Instituts für Internetsicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen. Daneben ist Pohlmann unter anderem Vorstandsvorsitzender des Bundesverbands für IT-Sicherheit TeleTrusT, Mitglied des Vorstandes des Verbandes der Internetwirtschaft eco sowie Mitglied des wissenschaftlichen Beirates der Gesellschaft für Datenschutz und Datensicherung GDD und Mitglied im Lenkungskreis der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie.

https://norbert-pohlmann.com

Ihr Ansprechpartner bei WAGO

Projektplanung Gebäudetechnik

Weitere Serviceangebote:

Mehr über Gebäudetechnik

Mit WAGO zum Smart Building

Die Digitalisierung und Vernetzung bringt Chancen, aber auch Herausforderungen mit sich. Ein intelligentes Gebäude muss Nutzern und Betreibern ein optimales Umfeld bieten und sich ihren Bedürfnissen jederzeit flexibel anpassen. WAGO hat hierfür die optimalen Produkte und Lösungen.

Gebäudetechnik

Ganz gleich, ob Sie die Lichtinstallation und -automation in Ihrem Bürogebäude planen, eine Heizungs-, Klima- und Lüftungsanlage umrüsten oder sich generell mit dem Thema Raumautomation beschäftigen: WAGO hilft Ihnen, Ihre Anforderungen im Gebäude umzusetzen.

Interview „Bei der Cyber-Security noch zu schwach aufgestellt“

Projektplanung Gebäudetechnik

Weitere Serviceangebote:

Mit WAGO zum Smart Building

Gebäudetechnik

Interview
„Bei der Cyber-Security noch zu schwach aufgestellt“