Podcast: Kritische Infrastrukturen — wenn IT-Sicherheit zur Schwachstelle wird

Der aktuelle Angriff der USA auf iranische Uranaufbereitungsanlagen war nicht der erste seiner Art. Genau genommen war es schon der erste seiner Art: denn als die USA und Israel zuletzt versuchten, das iranische Atomprogramm zu stoppen, taten sie das auf minimalinvasive Art und Weise: mit einem ausgefeilten Cyberangriff. Stuxnet ging in die Geschichte ein als der erste cyberphysische Angriff und der Beginn einer neuen Ära: Der Angriff galt als der Auftakt des Cyberwar. „Damals dachte man, dass künftige Kriege reine Cyberkriege sein werden“, sagt Sarah Fluchs im c’t-Podcast „They Talk Tech“, „aber das ist so nicht eingetroffen.“ Die Expertin beschäftigt sich mit der Sicherheit kritischer Infrastrukturen und industrieller Kontrollsysteme. Wie angreifbar diese sind, wurde mit Stuxnet klar und ist angesichts der aktuellen geopolitischen Situation ein drängendes Thema.

Ein Grund dafür, dass man dennoch nur hin und wieder von Cyberangriffen auf kritische Infrastrukturen zum Beispiel im Energiesektor hört – unter anderem im Zuge der russischen Angriffe auf die Ukraine – sei sicherlich, dass es doch nicht ganz so einfach ist, mit rein digitalen Angriffen massive physische Zerstörungen anzurichten, sagt Fluchs. „Wenn wirklich schwarzer Rauch gefordert ist, also physische Zerstörung, dann ist ein Cyberangriff oft nicht die effizienteste Waffe.“

Wirklich verheerend werden digitale Angriffe erst in Kombination mit physischen Angriffen. Das zeigte sich etwa zu Beginn des russischen Angriffskriegs gegen die Ukraine. Noch bevor die ersten Bomben fielen, legte ein Cyberangriff auf das Satellitennetzwerk KA-SAT die Kommunikation lahm – mit Auswirkungen bis nach Westeuropa. „Das wirklich Bedrohliche ist nicht der einzelne Cyberangriff, sondern das Zusammenspiel“, sagt Sarah Fluchs. „Wenn etwa ein Angriff auf die Kommunikation einen Bombenangriff noch viel schlimmer macht.“

Gleichzeitig ist seit dem Bombenangriff der USA die Angst groß, dass der Iran mit Cyberangriffen auf kritische Infrastrukturen in den USA und Europa zurückschlägt. Deshalb sei es wichtig, sich jetzt intensiv mit der Sicherheit entsprechender Anlagen zu beschäftigen. Aber das ist gar nicht so einfach, denn die Sicherheit kritischer Infrastrukturen ist komplex – unter anderem gerade deshalb, weil in den vergangenen Jahren immer mehr Schichten an Sicherheitsmaßnahmen ergänzt wurden. „Die Best-Practice-Listen wachsen immer auch nur. Es hat ja nie jemand in den letzten 20 Jahren jemals eine Best- Practice wieder runtergenommen.“ Dadurch werden die Anforderungen für Menschen undurchsichtig.

„Wir haben mittlerweile mit den allerbesten Intentionen so komplizierte Systeme gebaut, dass wir sie nicht mehr durchblicken“, sagt Fluchs. Jede zusätzliche Sicherheitsmaßnahme erhöht die Komplexität – und damit auch das Risiko, dass etwas schiefläuft. Ein Beispiel dafür ist das Update der Sicherheitssoftware CrowdStrike, das im Sommer 2024 weltweit Systeme lahmlegte und unter anderem ein riesiges Chaos im Flugverkehr verursachte. Gerade bei Sicherheitsmaßnahmen sei es wichtig, gut zu überlegen, was man brauche und was vielleicht auch verzichtbar ist. Denn gerade bei industriellen Kontrollsystemen sei es unabdingbar, Sicherheit einfach zu gestalten, weil jedes Update auch ein Risiko mit sich bringt. KI und die verlockende Möglichkeit, immer mehr Daten auszuwerten, mache es nicht unbedingt besser – im Gegenteil: Je mehr Daten erhoben würden, umso unübersichtlicher werde alles. „Wir sehen das gerade bei Security Tools“, sagt Fluchs: Immer mehr Daten würden erhoben, ohne zu analysieren, wie sinnvoll diese wirklich seien für die Fragestellung. „Alles blinkt wie ein Tannenbaum und die Leute schauen drauf und haben keine Ahnung mehr, was sie damit tun sollen.“

Dazu kommt, dass auch Software angesichts vieler Komponenten, die in Systemen stecken, unüberschaubar und dadurch ebenfalls unsicher wird. Das zeigte sich etwa bei der manipulierten Open-Source-Bibliothek XZ Utils, deren Backdoor nur durch Zufall entdeckt wurde. „Wir müssen aufhören, Systeme zu bauen, die Menschen nicht mehr verstehen“, fordert Fluchs. Ein Kernproblem sei der leichtsinnige Einsatz von Open-Source-Produkten. Unternehmen verlassen sich auf freie Komponenten, ohne Verantwortung für deren Sicherheit zu übernehmen. „Wir können Open Source nicht mehr so nutzen, als sei sie kostenlos und niemand verantwortlich“, sagt Fluchs. Künftig, etwa durch den Cyber Resilience Act der EU, dürften Hersteller auch für die Sicherheit fremder Komponenten haften.

Besonders gefährlich findet Fluchs, dass viele neue Systeme die Transparenz weiter verschlechtern. Tools automatisieren Entscheidungen, die niemand mehr nachvollziehen kann. „KI kann Informationen aufbereiten, aber Entscheidungen müssen Menschen treffen“, sagt sie. „Sonst fliegt uns das irgendwann um die Ohren.“

Sicherheit bedeute nicht, alles technisch Mögliche umzusetzen. Im Gegenteil: Wer einfach nur Best Practices aufeinanderschichtet, schaffe oft ein undurchschaubares, wartungsintensives System. „Manchmal ist es besser, Dinge bewusst wegzulassen“, so Fluchs. Gerade im industriellen Umfeld sei Reduktion oft die bessere Strategie – auch, weil jedes Update eine Herausforderung ist: „Du kannst ein Atomkraftwerk nicht neu starten, nur weil Windows Patchday hat.“ Je deterministischer ein System in diesem Bereich funktioniert, umso einfacher ist es, es zu schützen – weil es für Menschen durchschaubar bleibt. „Weniger ist hier wirklich manchmal mehr“, so Fluchs.

Stuxnet hat 2010 eine Tür aufgestoßen. Seither haben sich Cyber- und physische Angriffe weiter verzahnt, während die Verteidigung Systeme weiter verkompliziert hat. Die größte Gefahr liegt vielleicht nicht mehr im gezielten Angriff, sondern in der Intransparenz der Verteidigung.

„They Talk Tech“ erscheint jeden Mittwoch überall, wo es Podcasts gibt. Svea Eckert und Eva Wolfangel diskutieren ein Tech-Thema oder treffen inspirierende Frauen aus und rund um die Tech-Welt.

(mond)