Diesen Juli erreichte Industriespionage eine neue Dimension. Mehrere Sicherheitsexperten gleichzeitig entdeckten ein Computerprogramm, das aufwändig geschrieben war und äußerst geschickt vorging. Weltweit befällt die Schad-Software Rechner in Produktionsanlagen; nun sogar das iranische Atomkraftwerk in Bushehr. Das Programm heißt Stuxnet, und seit es entdeckt wurde, rätseln Sicherheitsexperten, wer seine Macher sind und was sie vorhaben. Einig jedoch sind sich Experten wie Sandro Gaycken von der Universität Stuttgart über eins: „Es wird immer häufiger zu solchen Angriffen kommen.“ Dabei machten es die Firmen den Hackern sogar zunehmend leichter, weil sie bei der Wahl ihrer Sicherheitssysteme sparten und möglichst einfache Programme haben wollten. „Immer mehr Firmen greifen auf standardisierte Software zurück, statt eigene zu entwickeln“, sagt Rainer Glatz, Geschäftsführer des Fachverbands Informatik und Software beim Maschinenbauverband VDMA. Bei elektronischen Angriffen kann diese Entwicklung dann zum Sicherheitsleck führen.

Gängige Software zu kaufen, hat für Firmen zunächst viele Vorteile, wie auch Glatz bestätigt. Die Unternehmen bekommen ausgiebig geprüfte Programme und müssen neue Mitarbeiter seltener schulen, weil die Programme in vielen Fällen schon bekannt sind. Aber vor allem sind eingekaufte IT-Komponenten günstiger, als sie selbst zu entwickeln. Schließlich produziert und verkauft der Hersteller sie in großen Mengen. Doch bei allen Vorteilen: „Man muss auch die Risiken abwägen“, sagt Glatz.

Denn je verbreiteter eine Software ist, desto eher rückt sie ins Blickfeld von Hackern. Die müssen ein System nämlich zunächst kennen, bevor sie es knacken können. So spezifisch ein System ist, so speziell sind die Anforderungen an einen Einbrecher: Nur wenn sein digitaler Schlüssel ins Schloss passt, schafft er es auch hinein. „Je ähnlicher sich die Anlagen werden, desto einfacher ist es deshalb für einen Angreifer“, sagt Gaycken. Ist ein Virus oder Wurm dann einmal im Umlauf, können die Schädlinge gleich an mehreren Orten Schaden anrichten – vorausgesetzt die Systeme sind weitgehend identisch. Das Problem kennt man von Büro- und Privat-Rechnern, für Industrieanlagen galt das bisher nicht. „Man hat immer gehofft, dass so etwas nicht passiert“, sagt Glatz über Stuxnet, „nun gibt es vielleicht so etwas wie einen Aha-Effekt.“

Im Fall Stuxnet schlüpft der Wurm durch vier bisher unbekannte Lücken bei Windows ins System, dann sucht er nach bestimmten Bausteinen, wie sie nur in den Produkten von Siemens vorkommen. 15 Anlagen waren laut Siemens betroffen, zum Einsatz kommt die Siemens-Software bei mehreren Tausend. Darunter vertreten sind alle Branchen: Brauereien, Kläranlagen, Raffinieren oder Kraftwerke. Für die Sicherheit ihrer IT-Systeme verantwortlich sind die Betreiber. Versagt deren Schutz, kann ein Angreifer Maschinen beschädigen oder gar kontrollieren.

Ein weiteres Risiko sehen Glatz und Gaycken in der zunehmenden Vernetzung. Viele Firmen kontrollieren ihre Anlagen aus der Ferne, verbinden mehrere Produktionsstandorte miteinander, schließen die Maschinen sogar ans Internet an. Und nutzen auch dann Standards wie WLan oder gängige Internetprotokolle. Das ist äußerst praktisch, aber auch gefährlich. Denn es öffnet ein weiteres Einfallstor für Hacker. Gaycken fordert deshalb eine „Ent-Netzung“ per Gesetz für kritische Infrastrukturen wie Strom oder Verkehr. Aber auch dann: „Die absolute Sicherheit gibt es nicht“, sagt Glatz.

Stuxnet etwa nutzt nicht einmal das Netz. Der Angriff kommt von innen. Als Tatwaffe dient ein infizierter USB-Stick. Womöglich ein Mitarbeiter steckt ihn an einem Rechner ein, das Virus verbreitet sich daraufhin automatisch. „Die größte Sicherheitsschwachstelle ist immer noch der Mensch“, sagt Glatz. „Es gibt immer noch die Vorstellung Technik alleine bringt’s. Doch ohne ausreichendes Sicherheitsbewusstsein unter den Mitarbeitern, hilft auch die stärkste Firewall nicht.“ 

(Der Text erschien zuerst im Tagesspiegel.)