Das Rückgrat unseres Alltags

Irgendwas stimmt hier nicht. Der Cursor in der Steuerung des Wasserwerks in Oldsmar im US-Bundesstaat Florida bewegt sich wie von Geisterhand. Der IT-Spezialist, der zu dieser Zeit in der Leitstelle Dienst hat, sieht mit an, wie die Zufuhr von Natriumhydroxid zur Regulierung des Säuregehalts um das Hundertfache in die Höhe schießt. Für den IT-Spezialist des Wasserwerks ist sofort klar: Hier ist ein Hacker am Werk. Der Mitarbeiter reagiert geistesgegenwärtig: Sobald er wieder die Kontrolle über das System hat, stellt er die Dosierung für die Chemikalie auf den Sollwert zurück. Eine Gefahr für die 15.000 Einwohner der Stadt habe nicht bestanden, teilt der Betreiber mit, denn bis das vergiftete Wasser in den Haushalten ankomme, dauere es 24 Stunden, lange vorher wäre ein automatischer Alarm ausgelöst worden. 

Das, was in Oldsmar im Februar 2021 passiert ist, kann sich jederzeit woanders wiederholen – dann vielleicht mit nicht so glimpflichem Ausgang. Der Fall zeigt, wie abhängig wir von einer funktionierenden Versorgung mit Nahrungsmitteln, Wasser, Energie, Informationen, Mobilitäts- und Gesundheitsdiensten sind – und wie anfällig diese Infrastrukturen sind. Die Digitalisierung ist dabei Segen und Fluch zugleich. Einerseits hilft sie, die zunehmenden Bedürfnisse unserer Zivilisation mit einer höheren Effizienz zu decken – egal ob im Smart Home, im Krankenhaus, bei der Bahnfahrt, in der Produktion oder eben bei der Wasserversorgung. Wohin man schaut: Ohne Digitalisierung geht nichts. Andererseits wissen das leider auch kriminelle Hacker, die Geld erpressen oder Staaten destabilisieren wollen – und somit unseren Alltag relativ einfach und gefährlich aus dem Ruder laufen lassen können. 

Cybersecurity ist daher kein optionales Feature von digitaler Technologie, sondern im 21. Jahrhundert eine Grundvoraussetzung für die Daseinsvorsorge und zur Entwicklung von Wohlstand für alle bei größtmöglicher Schonung natürlicher Ressourcen. „Digitalisierung und Cybersecurity müssen Freunde sein“, fordert Christian Paulsen, Product and Solution Security Officer bei Siemens Mobility. 

Dabei ist Cybersecurity kein Sprint, sondern eher ein Marathonlauf, das wissen gerade Paulsens Kollegen bei Siemens Mobility nur zu gut. Sie denken in Dekaden, wenn sie etwa das Signalsystem einer Bahnstrecke erneuern, dort läuft der Servicevertrag üblicherweise 30 Jahre. Die Hardware altert, die Software nicht, trotzdem wird sie irgendwann zum Sicherheitsrisiko, wenn keine Updates erfolgen. Das wurde in Oldsmar zum Verhängnis. Dort lief die Steuerung des Wasserwerks mit Windows 7. Außerdem wurde das simple Passwort für den Zugriff auf das System nie geändert. 

Anders bei dem ganzheitlichen Sicherheitskonzept von Siemens für Verkehrssysteme, das aus einer Vielzahl von Maßnahmen besteht. Entscheidend dabei ist, dass dieses Konzept lückenlos, ganzheitlich und über den ganzen Lebenszyklus eines Produkts greift, von der Entwicklung über die Installation beim Kunden und den Betrieb bis zur Außerdienststellung. Dazu gehören regelmäßige Updates, Penetrationstests zur Analyse von Schwachstellen, gesicherte Datenverbindungen, Transparenz über alle Maßnahmen, schnelle Reaktion bei Sicherheitsvorfällen und vieles mehr. „Auf diese Weise bleibt das Produkt auch im Alter noch jung, sicher und lange einsatzfähig, ganz im Sinne der Nachhaltigkeit“, so Paulsen. 

Dieses Vorgehen ist in allen Geschäftsbereichen ähnlich. So auch im Gesundheitswesen, wo die Herausforderungen besonders groß sind. Durch die Pandemie hat die Zahl der Cyberattacken im Gesundheitswesen um fast 30 Prozent zugenommen. Zum einen wurde die Angriffsfläche größer, da die die Anzahlinternet basierter Dienste auch durch Home-Office für Personal im Gesundheitswesen gestiegen ist. Außerdem nutzen die Angreifer immer öfters den Druck aus, unter dem Gesundheitsversorger stehen, um mit Hilfe von Ransomware Geldzahlungen zu erpressen.  Cyberkriminalität ist ein Geschäft. “Im Gesundheitswesen wird deutlich, dass die Cybersicherheit eine Notwendigkeit und damit ein Qualitätsmerkmal ist“, sagt Carlos Arglebe, Leiter Cybersecurity bei Siemens Healthineers. 

Dass es dabei sogar um Leben oder Tod gehen könnte, zeigt das Beispiel einer Frau, die im vergangenen Jahr mit dem Rettungswagen in die Notaufnahme der Uniklinik Düsseldorf gebracht werden sollte. Doch dort hatten Hacker die IT lahmgelegt, um Lösegeld zu erpressen. Und so wurden die Retter in ein Krankenhaus im mehr als 30 Kilometer entfernten Wuppertal umgeleitet, was wertvolle Zeit kostete. Die Frau verstarb. Zwar wahrscheinlich nicht aufgrund des Hackerangriffs – doch zeigt dieser Fall trotzdem, welches Gefahrenpotenzial in Hackerangriffen auf Krankenhäuser liegen kann.

Der Angriff, der mehrere Tage dauerte, hatte weitere gravierende Auswirkungen: Die Zahl der Patienten, die stationär aufgenommen werden konnten, halbierte sich. Und statt bis zu 120 Operationen fanden pro Tag nur noch maximal 15 Eingriffe statt. Bedauerlicherweise häufen sich solche Beispiele in der Welt. 

Laut Arglebe hat bei den Experten für Cybersicherheit ein Umdenken stattgefunden. Cybersecurity sei kein Selbstzweck. Sie muss einen Nutzen für die Menschen erbringen – und dabei nicht die Vorteile der Digitalisierung mindern. Ein Beispiel: Wenn eine Person in der Notfallaufnahme untersucht werden muss, zählt oft jede Sekunde. Viele Prozesse verschiedener Anbieter müssen nahtlos ineinandergreifen, um Leben zu retten. Technische Sicherheitsvorkehrungen können im Bürobetrieb richtig sein (z.B. 12-stelliges komplexes Kennwort oder eine 2-Faktor-Authentifizierung), aber leider in der Notaufnahme schlecht für den Patienten. Entwickler von Sicherheitsverfahren müssen Sicherheit, Versorgung und Datenschutz ganzheitlich berücksichtigen, auch die Tatsache, dass in vielen Ländern das Personal nicht so gut geschult ist. 

Mehr noch: Sie sollten die Menschen, die ihre Produkte später nutzen, schon in den Entwicklungsprozess einbeziehen. In der Seestadt Aspern in Wien etwa arbeitet Siemens Smart Infrastructures seit 2013 mit den Bewohnern an der Energiewende. Hier werden nicht bloß einzelne Technologien erforscht, sondern ihr komplexes Zusammenspiel durch Vernetzung und Clouddienste. Im Mittelpunkt: der User, der eine höhere Lebensqualität bekommt bei maximaler Schonung seines Geldbeutels und der Umwelt. 

„Die Bewohner machen dabei nur mit, wenn sie sicher sein können, dass persönliche Daten nicht in falsche Hände geraten und dass ihr Heim gegen Hackerangriffe geschützt ist“, sagt Erhard Fischer, Chief Cybersecurity Officer von Siemens Smart Infrastructures. So nutzt Siemens die neuesten Kommunikationsprotokolle in Gebäudenetzwerken und liefert die Produkte bereits mit sicheren Einstellungen aus. Darüber hinaus entwirft das Unternehmen für jedes Gebäude in Aspern ein maßgeschneiderte Sicherheitspaket passend für die Menschen, die es später nutzen sollen. 

Das alles nutzt indes wenig, wenn die Zulieferer bei der Sicherheit schludern. Die Sicherung der Lieferketten ist eine der Forderungen der Charter of Trust, die 2018 von Siemens ins Leben gerufen wurde, und der mittlerweile 17 Unternehmen angehören. So müssen neue Lieferanten der Partner, wie etwa von Siemens, verbindliche Mindestanforderungen an die Cybersecurity einhalten, die in einer verbindlichen Klausel in allen neuen Verträgen verankert sind. Insgesamt umfasst die Charter of Trust zehn Prinzipien, die Empfehlungen für bessere Cybersicherheit enthalten, wie eine bessere Ausbildung oder regulatorische Rahmenbedingungen.  

Diese Prinzipien öffnen den Blick aufs große Ganze. Denn Cybersicherheit wird noch zu sehr auf technische Maßnahmen verengt. Doch die sind Mittel zum Zweck: etwa für eine nachhaltige Entwicklung unserer Zivilisation und unseres Planeten.