Cyber-Terroristen interessieren sich nicht für Privat-PCs

Im Mai 2001 versuchte jemand, die Website von CAL-Independent System Operator (ISO) zu hacken. Das Nonprofit-Unternehmen ISO kontrolliert 75 Prozent der Stromversorgung im US-Bundesstaat Kalifornien. Die Motive des Angreifers sind bis heute unklar, die Angriffe erfolgten jedoch zu einer Zeit, als sich Kalifornien mitten in einer Energiekrise befand und Städte im ganzen Bundesstaat täglich mit Stromabschaltungen zu kämpfen hatten. Wenn also bei den Angestellten von CAL-ISO der Eindruck entstanden wäre, es stünde weniger Energie zur Verfügung als tatsächlich da war, hätte dies zu unnötigen Stromausfällen für Krankenhäuser, Pflegeeinrichtungen und Feuerwehr- und Polizeiwachen (die offiziell von den eingeplanten Stromabschaltungen ausgenommen sind) führen können.

Sicherheitsexperten wissen schon seit einiger Zeit über Sicherheitsmängel in SCADA-Systemen Bescheid. Im letzten Oktober sagte die Association of Metropolitan Water Agencies vor dem Unterausschuss des US-Repräsentantenhauses für Wasserressourcen und Umwelt bezüglich dieser Missstände aus. Bereits noch früher zeigten Veröffentlichungen der Gas- und Strom-Versorger, dass man sich der zukünftigen potenziellen Probleme bewusst war.

Diese Branchen unternehmen allerdings nicht viel, um diese Sicherheitslöcher zu stopfen. „Sie warten untätig ab“, sagte McClure. „Solange die Regierung keine entsprechenden Vorschriften erlässt, nehmen sie Sicherheit nicht ernst.“ Glücklicherweise glaubt McClure aber, dass die US-Regierung potenzielle Hackerattacken durchaus ernst nimmt. Er weist darauf hin, dass Richard Clarke, Ratgeber des US-Präsidenten in Angelegenheiten der „Cybersecurity“, und Howard Schmidt, Vice Chairman des Critical Infrastructure Protection Board (Ausschuss zum Schutz kritischer Infrastrukturen) des Präsidenten, vor ihrer Tätigkeit für die Regierung beide in der Sicherheitsbranche tätig waren.

Wie wahrscheinlich ist es, dass jemand die Strom- oder Wasserversorgung über SCADA-Systeme unterbricht?
Nach Meinung von McClure ist ein Angriff durchaus realistisch, obgleich nur schwer zu verhindern. „Auf einer Skala von 1 bis 10 läge die Durchführbarkeit einer Attacke bei 4 oder 5“, so McClure.

In letzter Zeit versuchen McClure und andere Sicherheitsexperten die US-Regierung und die Gas- und Stromversorger dazu zu bewegen, die grundlegenden Schwächen der SCADA-Systeme anzugehen und nicht nur Korrekturen vorzunehmen. McClure stuft das SCADA-Problem als genauso ernst wie das Jahr-2000-Problem ein.

Einigen Branchen, wie den Banken und dem Gesundheitswesen, wird bereits heute von der Gesetzgebung vorgeschrieben, sich um inhärente Sicherheitsmängel zu kümmern. Vielleicht ist es an der Zeit, diese Gesetzgebung auch für die Wasser- und Energieversorger und andere kritische Infrastrukturen einzuführen – bevor wir im Dunkeln sitzen.