Mittwoch, 30. November 2022

Archiv

Veraltete Software
"Das kann ein Unternehmen ruinieren"

Viele Computerprogramme, die in Industrieunternehmen im Einsatz sind, wurden schon vor vielen Jahren entwickelt. Sie bieten inzwischen zu viele Angriffspunkte für Sabotage und Wirtschaftsspionage. Die Firmen müssen deshalb ihre Programme neu entwickeln lassen. Das kostet aber Zeit - und die wird knapp.

Von Peter Welchering | 22.11.2014

    Ein Mann vor einem Rechner mit Quellcode auf dem Bildschirm.
    Viele Industrieprogramme müssten neu programmiert werden. (Oliver Berg, dpa picture-alliance)
    In den Jahren 1998 und 1999 wurde es hektisch. Die anstehende Jahrtausendwende zwang die Unternehmen dazu, ihre völlig veralteten Steuerungssysteme und Branchensoftwarepakete zu modernisieren. Das Problem damals: Die meisten Datenfelder für Jahreszahlen waren nur zweistellig programmiert, also 99 statt 1999 und 00 statt 2000. Sie würden nach der Jahrtausendwende zu Programmabstürzen führen.
    Experten befürchteten, der Strom würde ausfallen, Flugzeuge abstürzen und Banksysteme Fantasiezinsen berechnen. Mit einem Riesenkraftakt wurden die Systeme damals modernisiert. Allein die deutschen Geldinstitute zahlten für die notwendigen Programmierarbeiten umgerechnet sechs Milliarden Euro. Und in der Nacht der Datumsumstellung vom 31. Dezember 1999 auf den 1. Januar 2.000 waren dann außer rund 30.000 Systemadministratoren von Elektrizitätswerken, der Flugüberwachung und den Krankenhäusern noch mehr als 6.000 Einsatzkräfte des Katastrophenschutzes und des Technischen Hilfswerkes in Bereitschaft. Die Softwaremodernisierung klappte.
    Im Jahr 2000 kam es nicht zu nennenswerten Programmabstürzen. Und dann geschah nichts, 14 Jahre lang. Insbesondere sehr spezielle Branchensoftware, Industriesteuerungen und die Software von Leitwarten der Produktionsbetriebe wurden den steigenden Sicherheitsanforderungen nicht angepasst. Jacob West, Leiter der Sicherheitssparte beim Computerhersteller Hewlett-Packard, fasst die Situation so zusammen:
    "Standardsoftware ist da eine große Herausforderung. Die Branche hat da in den vergangenen zehn Jahren einen weiten Weg zurückgelegt, um Sicherheit als ganz zentrale Forderung bei der Entwicklung von Systemen zu begreifen. Unglücklicherweise ist die Software, die wir heute nutzen, aber schon vor längerer Zeit entwickelt worden. Unternehmen und Organisationen müssen deshalb entscheiden, ob sie ihre Software neu entwickeln wollen oder ob sie nachträglich Sicherheitsmaßnahmen einbauen wollen."
    Schnelle Sicherheitslösung für alte Software
    Meistens muss beides getan werden. Zunächst muss eine schnelle Sicherheitslösung für eine alte Software her, die nicht mehr vom Hersteller gewartet wird. Ein Automobilzulieferer in Süddeutschland zum Beispiel hat die Internetanbindung sämtlicher Werkzeugmaschinen kappen lassen. Die für die Produktion notwendigen Daten werden über ein völlig abgeschottetes Datenfunknetzwerk in der Fabrikhalle an die Machinensteuerungen geschickt. Nach solchen Notmaßnahmen müssen die Unternehmen ihre Spezialsoftware neu entwickeln lassen. Aber das kostet Zeit. Und die wird knapp. Denn die alten Programme in den Fabriken und die speziellen Anwendungsprogramme in den Konstruktionsbüros bieten ganz neue Angriffspunkte. Gerd Rademann von der IBM beschreibt das so:
    "Solange diese Systeme isoliert sind und virenfrei und malwarefrei sind, ist es für die Sicherheitslage eher unbedenklich, weil die Systeme funktionieren ja. Was wir aber an Entwicklung haben: Von isolierten Anlagen geht der Trend ja hin zu vernetzten Anlagen, wo die Anlagen untereinander oder intelligenten Systeme, wie Roboter und Fertigungssysteme untereinander kommunizieren. Dort wird die Lage natürlich anders, weil jetzt auf Standardprotokollen also auf dem Internetprotokoll basierend die Kommunikation stattfindet."
    Die Vernetzung erzeugt neue Risiken
    Die Vernetzung erzeugt neue Risiken. Und gegen diese Risiken sind die alten Softwarepakete einfach nicht gewappnet. Außerdem hat die zunehmende Vernetzung dazu geführt, dass die alten Anwendungssysteme neue Funktionen für das Internet bekamen, ohne dass entsprechende Sicherheitsstandards berücksichtigt wurden. Das macht die Lage so problematisch. Gerd Rademann:
    "Dann kann das ein Unternehmen ruinieren. Ich sage mal: Sie haben jetzt neue Produkte designed, und Sie wollen die jetzt auf den Markt bringen, und der Wettbewerber hat eben Teile davon kopiert und weiß, wohin es gehen soll und kann sich darauf ausrichten. Also, das sind schon ernst Bedrohungsszenarien."
    Zwei
    Wirtschaftsspionage und Sabotageangriffe machen den Großteil dieser Bedrohung aus. Vor allen gegen solche Attacken müssen vorübergehende Sicherheitslösungen sehr schnell eingebaut werden, bis ein neues und sicheres System entwickelt ist. Sicherheitsexperte Jacob West meint, dass dabei zwei Anforderungen erfüllt sein müssen.
    "Sie brauchen eine Kombination von Schwachstellenmanagement und Abwehrsystem, um die Software in den Fabriken insgesamt zu schützen. Wenn ein Angriff eine Sicherheitslücke ausnutzt, muss diese Schwachstelle erkannt und geschlossen werden und der Angreifer muss zusätzlich abgewehrt werden."