Unzureichender Schutz der IT von Industrieanlagen und Infrastruktur
30.12.2014 - Bis jetzt waren die Ziele von Hackern meist Personendaten und Finanzunternehmen (Kreditkarten), das könnte sich aber schon bald ändern.
Der Wurm Struxnet aus dem Jahr 2010 hatte es auf die Irans Atomkraftwerke - um genauer zu sein die Urananreicherungsanlagen - abgesehen und dazu Sicherheitslücken im Siemens SCADA Code ausgenutzt. In vielen Bereichen, wo mit Personendaten bzw. Kreditkarten- und Bankdaten gearbeitet wird,, wird inzwischen - leider noch nicht flächendeckend - mehr für die IT Sicherheit getan. Die Frage ist aber, was passiert im Bereich der Sicherheit von Industrieanlagen und Infrastruktur?
Auch wenn Heartbleed, Shellshock, Poodle und noch viele andere uns in der letzten Zeit beschäftigt haben, hier gab es die Patches relativ rasch - nach Tagen oder spätestens Wochen gab es einen Schutz (auch wenn sich bei Weitem nicht alle IT Verantwortlichen darum gekümmert haben).
Wie Beispielsweise golem.de vor kurzen berichtet hat, dauert es bei Herstellern im Industriebereich oft 18 Monate, um bekannte Sicherheitslücken zu schliessen. Von den Lösungen im Gesundheitsbereich wird da noch nicht einmal gesprochen. In diesem Bereich gibt es immer wieder Unternehmen, in denen die IT auf Grund der Vorgaben der Hersteller überhaupt keine Patches einspielen DARF (weil diese ja den Betrieb der Geräte beeinflussen könnte) - daher sind viele dieser Geräte im Gesundheitsbereich (CT, MR, Ultraschall, Röntgen,...) praktisch ungeschützt und hängen natürlich im Netzwerk der Ärzte/Krankenhäuser, da diese die Daten der Geräte natürlich elektronisch verarbeiten wollen/müssen.
Stellen Sie sich vor, wie interessant diese Informationen sein können - erinnern Sie sich noch an den Aufschrei, als die Patientendaten von Michael Schumacher im Juni 2014 gestohlen wurden?
Jetzt sellten wir uns einmal vor, Hackern gelingt es, die Geräte im Gesundheitsbereich großflächig zu hacken - abgesehen von der Möglichkeit die Patientendaten zu nutzen (Beispielsweise für Erpressung?!) wäre es möglich diese auf einem Schlag unbenutzbar zu machen und für die Reaktivierung einen entsprechenden Betrag zu fordern...
Hoffen wir einmal, dass das Thema Security 2015 einen höheren Stellerwert bekommt und wir nicht auf dem falschen Fuß erwischt werden.