„Jedes smarte Gerät lässt sich hacken“

Industrie und Politik haben sich bislang unzureichend mit dem Thema Cybersicherheit auseinandergesetzt. Das erklärt Professor Aiko Pras, Experte für Cybersicherheit von der niederländischen University of Twente, anlässlich der Hannover Messe 2019. „Alle reden von Digitalisierung, künstlicher Intelligenz und Industrie 4.0. Was das aber wirklich heißt, ist nur den wenigsten bewusst“, sagt er im Interview. Und die Risiken würden einfach ignoriert. Gleichzeitig äußert er sich zur derzeitigen Situation in Deutschland.

Was bedeutet die Digitalisierung der Industrie eigentlich?

Professor Aiko Pras, Experte für Cybersicherheit von der niederländischen University of Twente.

Aiko Pras: Viele Manager glauben, dass es ausreicht, die bisherigen Produktionsprozesse einfach zu digitalisieren. Nichts ist weniger wahr. Die Digitalisierung erfordert ein völlig neues Denken. Der bisherige Erfolg der deutschen Industrie beruht auf perfekt organisierten Prozessen. Bislang wurde jede Neuerung durch eine Verbesserung der bestehenden Prozesse erreicht. Diese Vorgehensweise – das Vorhandene immer wieder ein Stück zu optimieren – wird sich radikal ändern müssen. Es werden völlig neue Produktionsverfahren und Geschäftsmodelle entstehen.

Wenn infolge der Digitalisierung alles miteinander vernetzt ist, steigt die Gefahr von Angriffen.  Wie ist die Industrie auf Cybersicherheit eingestellt?

Aiko Pras: Kaum. Das Problem ist, dass jedes smarte Gerät, das mit dem Internet verbunden ist, irgendwelche Fehler im Quellcode aufweist. Das lässt sich bei der heutigen Art der Herstellung kaum vermeiden. Würde man einen solchen Code ausdrucken, würde er ganze Bücherschränke füllen. Da ist immer ein kleiner Fehler drin. Deshalb müsste man für alle smarten Produkte zunächst ein europäisches Zertifikat für Cybersicherheit einführen – beispielsweise analog zum CE-Siegel. Dann müsste jedes Unternehmen, das smarte Produkte herstellt und vertreibt, gewährleisten, dass für die gesamte Lebensdauer des Produktes Updates geliefert werden.

Jedes Gerät mit einem fehlerhaften Code ist ein potenzielles Ziel für Hacker. Selbst die smarte Waschmaschine kann zum Ausspionieren genutzt werden. In der Autoindustrie sind Rückrufe für Updates und Fehlerbehebung völlig normal. In anderen Branchen muss sich dieser Gedanke erst noch durchsetzen.

 

„In den Niederlanden wurden kürzlich Banken problemlos von Jugendlichen gehackt.“

 

Was kann man als Unternehmen tun? Private Cybersicherheitsfirmen anheuern?

Aiko Pras: Davon würde ich abraten. Zurzeit werden beispielsweise zahlreiche DDos-Angriffe registriert. Dabei schließen sich mehrere Angreifer zusammen und attackieren gemeinsam eine Webseite oder eine Netzinfrastruktur. Private Sicherheitsfirmen, die solche Angriffe abwehren sollen, profitieren von der steigenden Zahl an Angriffen. Sprich: je mehr Angriffe, desto mehr Honorar. Das schafft für diese Firmen die falschen Anreize. Das ist so, als wenn man die Polizei nur nach der Anzahl der Verhaftungen bezahlen würde. Dann müsste die Polizei auch dafür sorgen, dass möglichst viele Kriminelle aktiv sind, damit sie viele Verhaftungen durchführen kann.

Wer sind die Bösen im Cyberraum? Klassische Kriminelle, die durch die Erpressung von Firmen Geld verdienen wollen? Oder Terroristen? Staaten?

Aiko Pras: In den Niederlanden wurden kürzlich Banken problemlos von Jugendlichen gehackt. Der Anführer der Bande war 15 Jahre alt und seit drei Jahren im Geschäft. Die Eltern der Kids hatten nicht die blasseste Ahnung, was ihre Sprösslinge im Internet anstellen. Das ist eine typische – oft unbedarfte – Hackergruppe. Eine andere Kategorie sind Geheimdienste und Staaten. Die Drohung, die sensible Infrastruktur eines Landes wie die Stromversorgung lahmzulegen, kann als politisches Druckmittel genutzt werden – so wie bisher militärische Drohkulissen. Letztlich sind natürlich auch Terroristen daran interessiert, Konzerne und Staaten mit Cyberattacken zu treffen. Bisher haben sie noch nicht die Möglichkeiten, aber das ist nur eine Frage der Zeit.

Wenn selbst Staaten zu den Bösen zählen können, wie beurteilen Sie dann die Bedenken, die in Deutschland gegenüber dem chinesischen Staatskonzern Huawei hinsichtlich der 5G-Lizenzen aufgekommen sind?

Aiko Pras: Die meisten Menschen haben keine Vorstellung davon, was 5G eigentlich bedeutet. Wer meint, dass es sich dabei einfach um eine Weiterentwicklung von 4G handelt so wie früher von Windows 95 auf Windows 98, der liegt gründlich daneben. 5G wird es ermöglichen, die komplette Gesellschaft digital zu vernetzen. 5G bildet die Grundlage für Smart Cities – und künftig für unsere komplette Infrastruktur. Da muss man sich schon gut überlegen, wem man den Zugriff darauf gewähren will. Wer das Netz kontrolliert, kann jedes Individuum verfolgen – und im schlimmsten Fall problemlos aus dem Weg räumen. Ein paar Klicks und eine Ampel springt auf Rot, ein Tor schließt sich, eine Bombe explodiert…das ist kein Science Fiction mehr!

 

„Staaten und ihre Geheimdienste werden die Chancen der neuen digitalen Welt konsequent für sich nutzen.“

 

Sind Ihnen denn Fälle bekannt, dass chinesischen Staatskonzerne ihre Position missbraucht haben?

Aiko Pras: Bisher nicht. Aber wer hätte gedacht, dass man als renommierter Journalist in die saudi-arabische Botschaft geht und als Leiche wieder rauskommt? Oder dass man an der eigenen Haustür in England von russischen Agenten radioaktiv verseucht wird? Oder das Angela Merkel von der amerikanischen NSA abgehört wird? Staaten und ihre Geheimdienste werden die Chancen der neuen digitalen Welt konsequent für sich nutzen. Der britische Geheimdienst GCHQ beispielsweise hat angekündigt, künftig häufiger IT-Systeme in fremden Staaten zu hacken. Gelungen ist das den Engländern unter anderem bei der belgischen Telekommunikationsgesellschaft Belgacom. Aus diplomatischen Gründen wurde der Vorfall von allen Seiten kleingeredet.

Was kann man tun?

Aiko Pras: Es gibt nicht die eine Maßnahme, mit der sich alles regeln lässt. Wichtig ist, dass ein Bewusstsein für die Risiken entsteht. Es muss der Politik und Wirtschaft klar werden, was die Digitalisierung bedeutet und welche Risiken sich dadurch für unsere kritische Infrastruktur ergeben. Das Thema Sicherheit darf nicht damit abgetan werden, dass man es an kommerzielle Firmen auslagert. Die Verantwortung dafür darf man nicht dritten Parteien überlassen. Zudem muss auf europäischer Ebene sichergestellt werden, dass alle smarten Produkte regelmäßig mit Updates versehen werden – von Haushaltsgeräten bis zu Maschinen und Anlagen. Ansonsten sind Hackern Tür und Tor geöffnet. Und das hätte fatale Folgen.

Vielen Dank für das Gespräch!