Wenige Stunden bis zum ersten Angriff
Mit der Zunahme der Machine-to-Machine-Kommunikation bekommt der Diebstahl von digitalen Identitäten also eine neue Qualität. Wenn heute ein Unternehmen eine Anlage mit Automatisierungskomponenten mit dem Internet verbindet, vergehen laut Trend Micro nur wenige Stunden bis zum ersten gezielten Angriff aus dem weltweiten Netz. Dass solche Szenarien keine übertriebene Angstmacherei darstellen, zeigen spektakuläre Fälle wie Stuxnet. Das Schadprogramm stürzte sich gezielt auf ein System zur Überwachung und Steuerung technischer Prozesse. Mit der angegriffenen Software steuern Kraftwerksbetreiber unter anderem Industrieanlagen wie Wasserwerke oder Pipelines - sowie Atommeiler. Angreifer nutzen hier Schwachstellen, wie sie von Betriebssystemen sowie Server- und Webanwendungen bekannt sind. So breiten sich klassische Computerviren auf Produktionsanlagen aus.
- Betrieb
- Betrieb
- Betrieb
- Impressionen
- Impressionen
- Impressionen
- Impressionen
- Seifenanlage
- Seifenanlage
- Seifenanlage
- Seifenanlage
- Seifenanlage
- Seifenanlage
- Technologien
- Technologien
- Technologien
- Technologien
- Technologien
- Technologien
- Module Seifenanlage
- Module Seifenanlage
- Module Seifenanlage
- Module Seifenanlage
- Module Seifenanlage
- Module Seifenanlage
Amerikanische Experten des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), das sich mit sicherheitsrelevanten Vorfällen von industriellen Steuerungssystemen befasst, berichteten schon 2012 von verstärkten Sicherheitsvorfällen. Ein Werkstudent hatte im Internet eine Anleitung veröffentlicht, wie sich über das Internet zugängliche Steuerungen finden lassen. Neugierige probierten diese Anleitung dann an Steuerungen der Wasserversorgung aus.
Grundvoraussetzung für die Industrie 4.0 sind daher Sicherheit mit echter Ende-zu-Ende-Verschlüsselung, einer eindeutigen Authentifizierung und fälschungssicheren digitale Identitäten. Beispielsweise werden im Energiesektor mit der Verbreitung von Smart-Metering-Systemen eine Übermittlung personenbeziehbarer Verbrauchsdaten und Netzkennzahlen sowie eine Steuerung lokaler Energieerzeuger "von außen" über öffentliche Kommunikationsnetze möglich. Durch eine ungeschützte Anbindung an öffentliche Netze würde eine hohe sicherheitstechnische Gefährdung entstehen - mit großem Angriffs- und Ausforschungspotenzial. Es sind sowohl Diebstahl und Manipulation von Verbrauchsdaten als auch "Hackerattacken" denkbar, die das Ziel haben, Komponenten zu stören oder ganz außer Funktion zu setzen.
Zwei-Faktor-Authentifizierung
Konkrete und verbindliche Schutzmaßnahmen für Smart-Metering-Systeme sind daher erforderlich und werden durch Gesetze und Verordnungen verpflichtend vorgeschrieben. Die geforderten Sicherheitsmaßnahmen resultieren in der Einführung einer Public-Key-Infrastruktur für den Bereich des Smart Metering. Die Telekom beispielsweise arbeitet mit dem auf M2M-Datenkommunikation spezialisierten Unternehmen Dr. Neuhaus Telekommunikation und dem Chiphersteller NXP Semiconductors an einer sicheren Kommunikationseinheit für den deutschen Energiemarkt. Das "Smart Meter Gateway" erfüllt die Anforderungen des BSI, das Sicherheitsmodul im Gateway wird nach den Anforderungen eines BSI-Schutzprofils zertifiziert und ist künftig zentraler Bestandteil der A-Series - einer schlüsselfertigen Cyber-Sicherheitslösung von NXP.
Mehr Sicherheit lässt sich - im privaten sowie unternehmerischen Umfeld - nur durch den Einsatz einer Zwei-Faktor-Authentifizierung erreichen. Sie bietet zwar auch keinen 100-prozentigen Schutz gegen Hacker, verringert das Risiko aber deutlich, Opfer eines Cyberkriminellen zu werden. Angreifer müssen nicht nur ein Passwort abfangen, sondern ein zweites, dazu passendes Identifikationsmerkmal stehlen. Das ist ungleich schwerer.
Wie funktioniert das?
Hardwarebasierte Verfahren mit einer Zwei-Faktoren-Authentifizierung können die Sicherheit von digitalen Identitäten deutlich steigern. Sicherheitslösungen mit Chipkarten sind die bisher sicherste Art der Zwei-Faktoren-Authentifizierung. Für die Ausstellung einer digitalen Identität mit einer Karte erzeugt ein zertifiziertes Trustcenter zunächst ein Zertifikat, also eine elektronische Sammlung von Identitätsmerkmalen des Inhabers wie Name, Anschrift oder Geburtsdatum.
Foto: T-Systems / Norbert Ittermann
Für die digitale Identität erzeugt das Trustcenter ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Das Zertifikat enthält dann den öffentlichen Schlüssel zusammen mit den auf Echtheit geprüften Identifikationsmerkmalen des Teilnehmers sowie einer Signatur des Zertifizierers. Diese stellt sicher, dass den Identitätsmerkmalen im Zertifikat vertraut werden kann. Der private Schlüssel muss geheim gehalten werden, damit Dritte die Identität nicht missbräuchlich nutzen können.
Foto: T-Systems / Norbert Ittermann
Zur Lösung haben sich Hardware-Sicherheitslösungen etabliert. Diese so genannten Sicherheits-Token gibt es inzwischen in verschiedenen Varianten, zum Beispiel als kleine Schlüsselanhänger. Interessant sind Sicherheits-Token besonders für Unternehmen. Sie können jedem Mitarbeiter einen Schlüssel ausstellen, mit dem er sich dann je nach Aufgabengebiet gegenüber definierten Anwendungen identifizieren kann. So lassen sich Zugangsberechtigungen in einzelne Gebäudeteile festlegen, Mitarbeiter können mit dem Token Dokumente elektronisch signieren, ihren Rechner hochfahren, E-Mails verschlüsseln oder sich gegenüber Maschinen identifizieren. (sh)
- Datenaustausch starten
Der Nutzer leitet den Datenaustausch zwischen Token und Prüfsystem ein, indem er den Token zum Beispiel in ein Lesegerät steckt oder vor ein Lesegerät hält. - Identifikation
Das Lesegerät identifiziert das Token über dessen eindeutige Identifikationsnummer. - Prüfvergleich
Der von dem Token gelesene Datensatz wird vom Prüfsystem nach einem definierten Prüfverfahren verglichen. - Referenzvergleich
Zur Sicherheit werden die lokalen Referenzdaten mit weiteren Referenzdaten aus einer Datenbank von einem entfernten Server verglichen. - Zugriff verweigert?
Bei ungültigem Token weist das Prüfsystem den Zugriff ab. - Rückkanal
Zur Rückverfolgung der Authentifizierung werden Ereignisdaten des Prüfvorgangs an den Server zurück übermittelt. - Freigabe erfolgt, Zugang gewährt
Das Prüfsystem gibt die für den Träger des Token zulässige Benutzung wie Funktionen und/oder Daten frei.
- Die eigene digitale Identität schützen
Der Security-Software-Hersteller ESET hat einige Empfehlungen zusammengestellt, wie Anwender ihre Daten auch in der digitalisierten Welt schützen. - Auf Warnsignale achten
Identitätsdiebe ändern regelmäßig private Adressen, sodass Briefe den Empfänger nicht mehr erreichen. Erhält man beispielsweise keine Briefe mehr von der eigenen Bank, kann dies ein erstes Anzeichen für Identitätsdiebstahl sein. Um solchem Missbrauch zu entgehen sei jedem angeraten, die eigene Bank zu kontaktieren, wenn erwartete Briefsendungen nicht zum sonst üblichen Zeitpunkt ankommen. Außerdem hilft es, auch unerwartete Post von unbekannten Finanzinstituten immerhin zu überfliegen, anstatt sie direkt als unerwünschte Werbung abzutun. Wenn von einem Darlehensgeber oder Kreditkartenunternehmen ein Umschlag im Briefkasten liegt, sollte dieser in jedem Fall durchgelesen werden, um sicherzustellen, dass keine fremde Person ein Darlehen auf fremden Namen aufgenommen hat. - Bonität regelmäßig prüfen
Bei Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich kann sich jeder über die eigene Bonität informieren und herausfinden, ob Kreditkarten oder Darlehen unter dem eigenen Namen laufen, die gänzlich unbekannt sind. Eine solche Bonitätsauskunft ist einmal im Jahr kostenfrei und sollte für jedermann ein absolutes Muss sein. - Wichtige Briefe immer persönlich versenden
Kreditkarten-Anträge oder Steuererklärungen enthalten wertvolle Informationen, die auch ein Cyberkrimineller wertschätzt. Denn diese Daten genügen ihm, die Identität des Opfers zu kopieren und für seine eigenen Zwecke zu missbrauchen. Briefe, die solche sensiblen Informationen enthalten, dürfen folglich niemals unbedacht an andere Personen weitergegeben werden. - Onlinebanking: regelmäßig Passwort ändern
Das Passwort zum Onlinebanking-Account gehört zu den wichtigsten Sicherheiten, die jeder Bankkunde hat. Wahrscheinlich ist das vielen Nutzern bewusst und dennoch gibt es mit Sicherheit einige, die dasselbe Passwort benutzen wie schon vor ein paar Jahren. Für all jene, auf die dies zutrifft: Passwort umgehend ändern. Manche Seiten fordern regelmäßig dazu auf, das Passwort zu ändern. Nutzer reagieren darauf häufig, indem sie einfach ein Sonderzeichen oder eine Ziffer an das bestehende Passwort anhängen. Das ist jedoch keine zu empfehlende Vorgehensweise. Denn sollte ein Passwort irgendwann einmal kompromittiert werden, ist das das erste, was ein Passwort-Knacker ausprobieren wird. - Bei Anrufen gilt keine Auskunftspflicht
Identitätsbetrüger verlassen sich häufig darauf, dass Leute Informationen aus eigenem Antrieb preisgeben – zum Beispiel bei Anrufen oder indem sie auf gefälschte E-Mails von ihrer Bank oder einem anderen Institut antworten. So arbeiten Banken aber nicht. Wenn ein Telefonat merkwürdig erscheint, ist es jedermanns gutes Recht, einfach aufzulegen. - Auch zuhause persönliche Informationen schützen
Wer fremde Leute wie Vertreter oder Reinigungskräfte in die eigenen vier Wände lässt, sollte in jedem Fall sicherstellen, dass Dokumente wie Steuererklärungen, Kreditkarteninformationen und Ausweise nicht offen herumliegen. Im Falle eines Einbruchs ist es von höchster Wichtigkeit zu prüfen, ob sich jemand der Identität bemächtigt hat. - Vorsicht bei Facebook-Tests
Links in sozialen Netzwerken sind generell mit Vorsicht zu genießen. Insbesondere die beliebten Facebook-Tests sollte man niemals unreflektiert anklicken. Denn manche dieser Tests sind nicht nur langweilig, sondern auch gefährlich.