Die weltweiten Hackerangriffe haben zum Beispiel auch die Fahrplan-Anzeigen der Deutschen Bahn getroffen. Wie sicher ist unsere digitale Verkehrsinfrastruktur?
Alle Infrastrukturen, die noch mit alten Betriebssystemen wie Windows XP arbeiten, sind nicht sicher. XP ist seit sehr vielen Jahren abgekündigt und Updates werden, angekündigt, nicht mehr zur Verfügung gestellt. Jedem Unternehmen, das XP noch nutzt, ist diese Situation klar und kennt das besondere Risiko, auch die Deutsche Bahn! Entweder sollten die Firmen, wie die Deutsche Bahn, das Betriebssystem wechseln oder dafür sorgen, dass die alten Rechner nicht an das Internet angeschlossen sind.
Beide Aufgabenstellungen sind eine große Herausforderung, aber für den Betrieb einer kritischen Infrastruktur, für die Mobilität unserer Gesellschaft, ist das Risiko sehr eindeutig und der notwendige Aufwand unabdingbar und im Rahmen des IT-Sicherheitsgesetzes eine klare Anforderung.
Ein weiterer und sehr wichtiger Punkt ist die klare Absage an sogenannte ZeroDay Exploits. Solange Geheimdienste und Sicherheitsbehörden, wie NSA und BND vorhandene Schwachstellen nicht den Herstellern melden, sondern für das Ausspähen der Bürger nutzen, passieren Cyberattacken, die leicht durch den Staat verhindert werden könnten.
Gerade bei Verkehrsleitsystemen sind die IT-Lösungen oft sehr lange im Einsatz. Wie lässt sich sicherstellen, dass über die gesamte Einsatzdauer die nötigen Updates zur Verfügung stehen?
Bei Betriebssystemen, die einem hohen Innovationszyklus unterliegen und daher regelmäßig abgekündigt werden, ist das sehr schwierig! Entweder bietet der Hersteller, bei XP Microsoft, noch einen solchen Update-Dienst für langfristige Anwendungen an, der dann entsprechend sehr teuer ist, oder es sollte strategisch ein anders Betriebssystem verwendet werden, das nicht den schnellen Innovationszyklen entspricht und langfristig Updates zur Verfügung stellt.
Klar ist, dass die Hersteller von Verkehrsleitsystemen die Wahl haben, ein angemessenes Betriebssystem auszuwählen. Windows XP war keine gute Wahl! Leider reagieren viele Unternehmen auf diese Fehlentscheidung nicht angemessen und riskieren erfolgreiche Angriffe, wie den durch „WannaCry“. Der Handlungsbedarf ist sehr groß!
Was sollten Unternehmen mit besonders langlebigen IT-Systemen mit Blick auf die Hackerangriffe unmittelbar tun?
Wenn die Unternehmen, wegen der Langlebigkeit, nicht in der Lage sind, das Betriebssystem zu wechseln, dann sollten die IT-System nicht über das Internet angegriffen werden können! Das heißt, die IT-Systeme werden vom Internet getrennt oder Firewall-Systeme/Dioden/usw. sorgen dafür, dass Schwachstellen über das Internet nicht ausgenutzt werden können.
Die Langlebigkeit von Betriebssystemen und das Isolieren vom Internet sind Aufgabenstellungen, die jedes Unternehmen umsetzen kann, wenn es sich strategisch verhält und Verantwortung übernimmt. Der Hackerangriff „WannaCry“ hat gezeigt, dass die Unternehmen sehr schnell reagieren müssen.
Sehen Sie gesetzlichen Regelungsbedarf für Sicherheit besonders langlebiger IT-Systeme?
Nein, die IT-Sicherheitsprobleme sind schon sehr lange bekannt. Die Unternehmen müssen nur Verantwortung übernehmen und angemessen reagieren, damit solche Hackerangriffe nicht passieren können. Was zusätzlich helfen könnte, ist die Produkthaftung der Hersteller/Betreiber von IT-Systemen in der Strafverfolgung härter und konvergenter umzusetzen oder sogar noch zu erweitern, damit Unternehmen, wie z. B. die Deutsche Bahn, die richtigen Entscheidungen im Vorfeld treffen und aktiv umsetzen können.
Außerdem müssen staatliche Institutionen dazu verpflichtet werden, sogenannte „Zero Day Exploits“ direkt den Herstellern zu melden und nicht für das Ausspähen der Bürger zu nutzen und damit Schäden, wie die durch „WannaCry“ entstanden sind, zu riskieren.