Industrie 4.0

Die Welt - ein Netzwerk

Von Helge Denker · 2015

Auch Autos können zur Zielscheibe von Hackern werden.

Das „Internet der Dinge“ birgt neben Chancen auch Risiken: Fahrzeuge, Industrieanlagen und Häuser können von Hackern angegriffen werden, wenn sie nicht richtig davor geschützt sind. Also muss an das Thema Sicherheit bereits beim ersten Entwurf von Hard- und Software gedacht werden.

Der Reporter Andy Greenberg hat für die US-Technikzeitschrift „Wired“ in St. Louis (USA) eine ganz besondere Testfahrt in einem normalen Jeep Cherokee gemacht. Das Computersystem des suv wurde während der Fahrt von den Hackern Charlie Miller und Chris Valasek angegriffen und übernommen. Die beiden IT-Experten schalteten das Radio, die Klimaanlage und den Scheibenwischer ein. Bei 70 Meilen pro Stunde lösten sie auch die Kupplung aus. Der Wagen verlor auf der Interstate I-40 rasch an Fahrt, ohne dass der Fahrer eingreifen konnte. Auch die Bremsen und Lenkung konnten von außen kontrolliert werden. Ein Horrorszenario für jeden Autofahrer. Möglich machte diese „Fernsteuerung durch Hacker“ eine Sicherheitslücke im mit dem mobilen Internet verbundenen Entertainment-System des Fahrzeugs, über welche die digitale Fahrzeugsteuerung angegriffen werden konnte. Die Kommandos wurden vom Laptop der Hacker einfach per Internet und Mobilfunk an das des Autos übertragen. Die Folge: Jeep rief alle Fahrzeuge in die Werkstatt und schloss die Sicherheitslücke im Bordsystem mit einem Update.

Neue Angriffsflächen für Hacker und Spione

Die rasante Entwicklung hin zu vernetzten Systemen schafft ganz neue Angriffsflächen für kriminelle Hacker und Spionage-Organisationen – und neue Herausforderungen für den Datenschutz. Im Industrieumfeld sind Betriebs- und Maschinendaten von Steuerungsanlagen gefährdet (Industrie 4.0). Das neue it-Sicherheitsgesetz definiert, welche Anlagen zur kritischen, also lebenswichtigen, Infrastruktur eines Landes gehören und führt Meldepflichten für Angriffe ein. Der Gesetzgeber hofft, somit den Informationsfluss zu verbessern und baut das Bundesamt für Informationstechnik (BSI) zu einer Art zentralen Meldestelle aus. Auch etwa moderne Medizintechnik kann heute gehackt werden, mit lebensbedrohlichen Konsequenzen. Denn immer mehr Systeme hängen auch hier am Netz und sind somit angreifbar. Auch das Internet der Dinge („Smart Home“) weist bislang kaum oder nur unzureichende implementierte Schutzlösungen auf. Die Gefahr von Hackerangriffen auf die vernetzten Geräte der Hausautomation steigt.

Hard- und Softwareentwicklung setzt auf „Security by Design“

Ein möglicher Ausweg aus der Misere: Bereits bei der Hardwareentwicklung muss auf sichere Konstruktionen gesetzt werden („Security by Design“). Auch bei der Softwarenentwicklung muss von Anfang an verstärkt das Thema Sicherheit im Fokus stehen. So soll zum Beispiel durch den Einsatz offener Software und stark eingeschränkter Rechtevergabe sichergestellt werden, dass die Folgen eines Angriffs auf ein vernetztes System so gering wie möglich sind. Und dass eine Sicherheitslücke in der Software nicht dazu führt, dass das gesamte System von Hackern übernommen werden kann. Parallel entwickeln Security-Anbieter neue Sicherheitslösungen für das smarte Haus und das Internet der Dinge, die derzeit als besonders anfällig für Hackerangriffe gelten.

Gekaperte Systeme im eigenen Heim

Experten sehen Mängel in der Entwicklung. Gerade bei noch jungen Technologiefeldern liegt der Fokus bei der Entwicklung in den meisten Fällen in der korrekten Funktionalität und leichten Bedienbarkeit – erst dann widmet man sich der Sicherheit. So werden oftmals späte Sicherheits-Updates um die konzeptuellen Schwächen herum entwickelt. Ein Umdenken ist auf diesem Gebiet wohl unabdingbar. Fazit: Die Hersteller sind in der Pflicht, die bekannten Probleme zu beseitigen und Updates zeitnah bereitzustellen. Sonst könnte sich die gekaperte Alarmanlage eines Tages nicht mehr abstellen lassen, ohne dass ein Lösegeld an die Geiselnehmer überwiesen wird. Oder das Smart-TV quittiert kurz vor der Übertragung des Fußballspiels den Dienst und blendet nur noch die Erpressernachricht inklusive Bitcoin-Adresse zur Freischaltung ein.