Blumenthal: Peter Welchering, wie sehen die Umrisse des neuen Sicherheitsansatzes aus?
Welchering: Also, da geht es im Prinzip einfach um mehr Interdisziplinarität. Das heißt, alle beteiligten Fachleute müssen in die Sicherheitsforschung stärker einbezogen werden als bisher. Wenn man sich mal genau diese kritischen Infrastrukturen - also Stromnetz, Telekommunikation, Eisenbahn, Banken und Krankenhäuser - anguckt, dann war es bisher so: Die Elektrotechniker, die waren für Stromnetze zuständig, die Maschinenbauer für die Generatoren, die den Notstrom liefern, und die Informatiker, die waren beispielsweise für die Steuerungsrechner zuständig. Aber diese Bereiche sind miteinander vernetzt. Und wenn die Menschen, die zuständig sind für Notfallpläne, nicht miteinander reden, dann wird es unter Umständen eng, wenn beispielsweise der Strom komplett ausfällt. Und so dauerte es bei solchen Stromausfällen auch in der Regel immer sehr lange, bis bestimmte Bereiche wie Nahverkehr, Telekommunikation, wieder normal produzieren und fahren und leisten konnten, weil jeder Bereich eben für sich repariert wurde. Und auch viele Gefahren, die werden in dieser vernetzten Welt eben nicht richtig eingeschätzt, weil nämlich die Vernetzung in den Sicherheitsprogrammen, in der Sicherheitsforschung eine zu geringe Rolle spielt. Und da entstehen dann Sicherheitslücken. Für die fühlt sich keiner zuständig, die werden teilweise nicht einmal richtig wahrgenommen.
Blumenthal: Haben Sie denn in Nürnberg eine solches Beispiel für alle derartigen Sicherheitslücke mitgebracht?
Welchering: Ja, diskutiert wurde in einem Forum, in einem begleitenden Kongress zu dieser Messe, beispielsweise der Bereich Stromnetze. Stromnetze bestehen aus Leitungen, Stromnetze bestehen aus Netzabschnitten und aus so genannten Lastverteilungsrechnern, Computern also, die den Strom auf Netzabschnitte verteilen und sozusagen organisieren. Und bisher sah so aus: Es gab einen isolierten Schutz der Rechner, Überwachungsprogramme waren dafür zuständig, dass diese Lastverteilungsrechner vor Computerwürmern und Trojanern geschützt wurden. Aber man muss eben auch sehen, das verhinderte bisher keine flächendeckenden Stromausfälle, etwa 2004, die sich dann kaskadenhaft fortsetzten und beispielsweise ganze Teile Westeuropas lahmlegten. Wenn zum Beispiel eine solche Überspannung vorliegt, dann startet so ein Lastverteilungsrechner ein Krisenreaktionsprogramm, das heißt, er versucht die Strommenge, die zu viel im Netz ist, wegzukriegen, auf die benachbarten Netzabschnitte beispielsweise einfach zu verteilen. Und wenn dann beispielsweise in diesen Segment Hochspannungsmasten ausfallen, etwa in die Luft gesprengt werden - das ist so ein mögliches Szenario im Cyberkrieg oder auch bei terroristischen Bedrohungen - dann eben können diese weiteren Strommengen nicht verteilt werden, und dann kommt es kaskadenartig zu weiteren Stromausfällen, die nichts mehr mit dem Lastverteilungsrechner und deren Schutz vor Computerwürmer zu tun haben. Und genau hier soll die interdisziplinäre Sicherheitsforschung eingreifen. Das haben beispielsweise Professor Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg oder etwa Fabian Libeau, der bei einem Unternehmen für die IT-Sicherheit zuständig ist und auch für die Lastverteilungsrechner, ganz eindeutig erklärt und gefordert.
Blumenthal: Und wie soll diese interdisziplinäre Sicherheitsforschung aussehen?
Welchering: Also im Prinzip steht da die Bedrohungsanalyse am Anfang, wie bisher auch, nur die muss viel mehr umfassen als eben das bisherige konventionelle, wie es so schön heißt, threat modelling der Informatiker, die sich eben nur mit Viren und anderen Sachen, also mit rein informatischer Bedrohung befasst haben. Beispielsweise die Stromversorgung in einem Krankenhaus. Wenn da bisher eine Sicherheitsattacke stattgefunden hat, dann hat man immer darauf geguckt, wo kam die her, und in der Regel ging man davon aus, da werden vom Leitstand zum Generator Steuerdaten abgefangen und verändert, da werden beispielsweise dann Druckwerte erhöht und an den Generator geschickt und der explodiert dann. Und das Modell der Informatiker sah so aus: Ich muss einfach das Abgreifen der Steuerdaten am Leitstandrechner verhindern. Bei der ganzheitlichen Bedrohungsanalyse sieht es anders aus. Da wird dann die Frage gestellt: wie müssen die Daten vom Generator auf Konsistenz und Zuverlässigkeit überprüft werden. Und da müssen dann die Informatiker beispielsweise mit den Maschinenbauern und mit den Elektrotechnikern ins Gespräch kommen. Und das passiert in der Sicherheitsforschung bisher noch viel zu selten. Das muss geändert werden. Da brauchen wir völlig neue Studiengänge, die genau das erst einmal doch ganz grundlegend vermitteln.
Welchering: Also, da geht es im Prinzip einfach um mehr Interdisziplinarität. Das heißt, alle beteiligten Fachleute müssen in die Sicherheitsforschung stärker einbezogen werden als bisher. Wenn man sich mal genau diese kritischen Infrastrukturen - also Stromnetz, Telekommunikation, Eisenbahn, Banken und Krankenhäuser - anguckt, dann war es bisher so: Die Elektrotechniker, die waren für Stromnetze zuständig, die Maschinenbauer für die Generatoren, die den Notstrom liefern, und die Informatiker, die waren beispielsweise für die Steuerungsrechner zuständig. Aber diese Bereiche sind miteinander vernetzt. Und wenn die Menschen, die zuständig sind für Notfallpläne, nicht miteinander reden, dann wird es unter Umständen eng, wenn beispielsweise der Strom komplett ausfällt. Und so dauerte es bei solchen Stromausfällen auch in der Regel immer sehr lange, bis bestimmte Bereiche wie Nahverkehr, Telekommunikation, wieder normal produzieren und fahren und leisten konnten, weil jeder Bereich eben für sich repariert wurde. Und auch viele Gefahren, die werden in dieser vernetzten Welt eben nicht richtig eingeschätzt, weil nämlich die Vernetzung in den Sicherheitsprogrammen, in der Sicherheitsforschung eine zu geringe Rolle spielt. Und da entstehen dann Sicherheitslücken. Für die fühlt sich keiner zuständig, die werden teilweise nicht einmal richtig wahrgenommen.
Blumenthal: Haben Sie denn in Nürnberg eine solches Beispiel für alle derartigen Sicherheitslücke mitgebracht?
Welchering: Ja, diskutiert wurde in einem Forum, in einem begleitenden Kongress zu dieser Messe, beispielsweise der Bereich Stromnetze. Stromnetze bestehen aus Leitungen, Stromnetze bestehen aus Netzabschnitten und aus so genannten Lastverteilungsrechnern, Computern also, die den Strom auf Netzabschnitte verteilen und sozusagen organisieren. Und bisher sah so aus: Es gab einen isolierten Schutz der Rechner, Überwachungsprogramme waren dafür zuständig, dass diese Lastverteilungsrechner vor Computerwürmern und Trojanern geschützt wurden. Aber man muss eben auch sehen, das verhinderte bisher keine flächendeckenden Stromausfälle, etwa 2004, die sich dann kaskadenhaft fortsetzten und beispielsweise ganze Teile Westeuropas lahmlegten. Wenn zum Beispiel eine solche Überspannung vorliegt, dann startet so ein Lastverteilungsrechner ein Krisenreaktionsprogramm, das heißt, er versucht die Strommenge, die zu viel im Netz ist, wegzukriegen, auf die benachbarten Netzabschnitte beispielsweise einfach zu verteilen. Und wenn dann beispielsweise in diesen Segment Hochspannungsmasten ausfallen, etwa in die Luft gesprengt werden - das ist so ein mögliches Szenario im Cyberkrieg oder auch bei terroristischen Bedrohungen - dann eben können diese weiteren Strommengen nicht verteilt werden, und dann kommt es kaskadenartig zu weiteren Stromausfällen, die nichts mehr mit dem Lastverteilungsrechner und deren Schutz vor Computerwürmer zu tun haben. Und genau hier soll die interdisziplinäre Sicherheitsforschung eingreifen. Das haben beispielsweise Professor Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg oder etwa Fabian Libeau, der bei einem Unternehmen für die IT-Sicherheit zuständig ist und auch für die Lastverteilungsrechner, ganz eindeutig erklärt und gefordert.
Blumenthal: Und wie soll diese interdisziplinäre Sicherheitsforschung aussehen?
Welchering: Also im Prinzip steht da die Bedrohungsanalyse am Anfang, wie bisher auch, nur die muss viel mehr umfassen als eben das bisherige konventionelle, wie es so schön heißt, threat modelling der Informatiker, die sich eben nur mit Viren und anderen Sachen, also mit rein informatischer Bedrohung befasst haben. Beispielsweise die Stromversorgung in einem Krankenhaus. Wenn da bisher eine Sicherheitsattacke stattgefunden hat, dann hat man immer darauf geguckt, wo kam die her, und in der Regel ging man davon aus, da werden vom Leitstand zum Generator Steuerdaten abgefangen und verändert, da werden beispielsweise dann Druckwerte erhöht und an den Generator geschickt und der explodiert dann. Und das Modell der Informatiker sah so aus: Ich muss einfach das Abgreifen der Steuerdaten am Leitstandrechner verhindern. Bei der ganzheitlichen Bedrohungsanalyse sieht es anders aus. Da wird dann die Frage gestellt: wie müssen die Daten vom Generator auf Konsistenz und Zuverlässigkeit überprüft werden. Und da müssen dann die Informatiker beispielsweise mit den Maschinenbauern und mit den Elektrotechnikern ins Gespräch kommen. Und das passiert in der Sicherheitsforschung bisher noch viel zu selten. Das muss geändert werden. Da brauchen wir völlig neue Studiengänge, die genau das erst einmal doch ganz grundlegend vermitteln.