Das Problem ist, dass keiner mit Sicherheit im Voraus sagen kann, wann der nächste Angriff kommt und wie er aussehen wird. Und: Wen es als Nächstes trifft. Rolf Reinema muss also immer damit rechnen, dass irgendwo da draußen ein paar Leute gerade dabei sind, sein Unternehmen anzugreifen. "Wir prüfen permanent unsere Verteidigungslinien", sagt er. "Hält die Mauer? Und wenn ja - wie lange?" Nun ist Reinema nicht bei der Bundeswehr, sondern Leiter der IT-Sicherheit bei Siemens. Aber wo es Angreifer, Verteidigungslinien und Mauern gibt, da ist auch eine Front. Und wo eine Front ist, da findet, nun ja, wohl so etwas wie Krieg statt.
Nicht nur das Unternehmen Siemens, auch seine Produkte sollen vor Angriffen geschützt werden: Züge und Straßenbahnen etwa.
(Foto: OH)Anders als bei anderen Kriegen aber wissen Männer wie Reinema nur selten, wer da gerade auf der anderen Seite steht.
Der Computervirus am vergangenen Wochenende zum Beispiel. Er hieß Wanna Cry, aber wer oder was soll dieser Wurm eigentlich sein? Eine Art Hinterhof-Gang? Nordkorea? Eine auf digitale Erpressungen spezialisierte Verbrecherbande? Seit 30 Jahren hat Siemens ein eigenes Team für den Schutz seiner Computersysteme, aber noch nie war die Bedrohung durch Cyberkriminalität so groß wie heute. "Wir brauchen in Friedenszeiten gut eingespielte Teams, denn die Zahl der Angriffe nimmt stetig zu", sagt Reinema. Er sagt "Friedenszeiten", weil es ja auch andere Zeiten gibt. Und diese Friedenszeiten werden immer kürzer. "Mit zunehmender Digitalisierung und dem 'Internet der Dinge' wird sich das Bedrohungspotenzial weiter vergrößern", glaubt der Experte.
arbeiten im Siemens-Konzern. Ihre Aufgabe ist auf den ersten Blick ungewöhnlich. Sie hacken rund um den Globus ihren eigenen Konzern. Sind sie erfolgreich in ihrem Job, dann bedeutet das: Es gibt im Konzern Sicherheitslücken, die dringend geschlossen werden müssen, bevor die falschen Hacker kommen und einfallen. "Wir schauen uns das selber an, indem wir die Arbeit der Hacker machen", heißt es in der Münchner Konzernzentrale.
Wer schneller sein will als die Hacker, muss selber hacken
Wenn jeder Kühlschrank mit jedem Auto vernetzt wird und auch Fabriken funktionieren wie Rechenzentren mit angeschlossenen Robotern, dann wird der Frontverlauf unübersichtlich. Zum Beispiel am vergangenen Wochenende, als Wanna Cry durch 150 Länder raste, Hunderttausende Rechner infizierte, dabei britische Krankenhäuser an den Rand des Kollapses brachte, die Deutsche Bahn durcheinanderwirbelte, die Autoproduktion bei Renault blockierte und Parkhäuser in Nordrhein-Westfalen infizierte. "Mit Angriffen wie Wanna Cry am vergangenen Wochenende rechnen im Grunde alle", sagt Sven Hirschke, Leiter Informationssicherheit bei BMW. "Deswegen suchen die Unternehmen ständig nach Schwachstellen in der eigenen IT. Man muss schneller sein als die Hacker."
Wer schneller sein will als die Hacker, muss selber hacken. Es gibt viele Konzerne, die lassen hacken. Sie beauftragen externe IT-Firmen, damit die in ihre Netzwerke einfallen. Und es gibt, was weitaus seltener vorkommt, Konzerne wie Siemens, in denen man sich selber hackt.
Ein Büro am Ende eines Flurs im Münchner Stadtteil Neuperlach. Junge Menschen vor Computern, auf den Schränken Süßigkeiten, dahinter ein elektronisch gesichertes Labor, eine Art Elektronik-Bastelstube. Monitore, Werkzeuge, auf dem Tisch liegt eine Router-Box. Sie wird gerade überprüft. Siemensianer hacken Siemens, damit es kein anderer macht. "Wir warten nicht darauf, dass die Hacker kommen", sagt Reinema. "Wir schauen uns das selber an, indem wir die Arbeit der Hacker machen. Nur so können wir die Lücken finden und schließen."
Die besonders kritischen Daten sind die Kronjuwelen des Konzerns
25 Siemensianer hacken Siemens im Auftrag von Siemens, das klingt etwas seltsam, aber dahinter steckt eine Logik: Erstens kennt niemand diesen Konzern so gut wie die Leute, die dort arbeiten. Man nennt sie hier auch die "weißen Hacker", die Guten mit ihren Risikoanalysen, Belastungstests und fingierten Cyberaggressionen. Und dann ist dieses Siemens-Reich sehr groß. Da ist nicht nur die ganz normale Haus-IT, wie sie jedes Unternehmen hat. Die vielen Bürocomputer, die Laptops, die Server, die Smartphones. Da sind auch die sehr sensiblen Geschäftsfelder wie Medizintechnik, Züge, Automatisierung, Energie, Infrastrukturen. Geschäfte, die ohne IT zusammenbrächen und die gegen Cyberkriminelle geschützt werden müssen. Ein Albtraum der Manager wäre: Hacker kontrollieren ganze Energieanlagen.
Und dann sind da noch die ganz kritischen Daten; jene sensiblen Informationen, auf die es ankommt. Sie werden intern "Golden Nuggets" genannt oder auch Kronjuwelen. Sie stehen hier unter besonderem Schutz. Denn wer es bis zu den Goldklumpen schafft, hat den Konzern gekapert.
Nicht erst seit Wanna Cry weiß man: Die Attacken kommen aus dem Nichts. "Auf den ersten Angriff mit Wanna Cry konnte man noch vorbereitet sein", sagt Reinema. "Bei den nächsten Attacken ist es schon schwieriger, denn es gibt immer wieder neue Varianten. Es ist im Grunde wie eine Genmutation. Deshalb muss man seine IT-Systeme immer auf dem aktuellsten Stand halten."
Jeder, sagt BMW-Mann Hirschke, der im März ein Microsoft-Update durchgeführt habe, sei von "Wanna Cry nicht betroffen" gewesen. Also genügen Software-Aktualisierungen? Experten sagen: Schaden tut es nie, aber was ist schon hundertprozentig sicher?
"Die können überall sein - und ihre Auftraggeber können auch überall sein."
Die Strategien der Hacker schon erkennen, bevor sie überhaupt zugeschlagen haben: Reinema ist gerade aus Bangalore zurückgekommen, auch hier sitzen Siemensianer und fräsen sich durch die Haus-IT. Indien, USA, China, München - die Siemens-Hacker operieren weltweit. Man weiß ja nie, wo die nächste Front verläuft. Die IT-Kämpfer in den großen Konzernen sprechen von "Bedrohungsmanagement", wenn sie von ihrer Arbeit sprechen. Sie reden von "digitalen Söldnern", wenn sie den Gegner meinen, ihre Lagezentren heißen "Cyber Defense Center". Es gibt Unternehmen, die beschäftigen Kriminalpsychologen. Sie wollen die Hacker verstehen, wollen wissen, was sie umtreibt. Sind es nur Nerds auf der Suche nach Selbstbestätigung? Oder schickt sie doch ein ausländischer Geheimdienst? "Wir beschäftigen uns nicht nur mit den Menschen, die das können, sondern auch mit denen, die das unbedingt wollen", sagt einer aus der Szene. "Die können überall sein, und ihre Auftraggeber können auch überall sein."
Die Frage ist nicht ob, die Frage ist: Wann und wie? Wenn es dann passiert, ist für Leute wie Reinema und Hirschke das Wochenende gelaufen. Lagebesprechung, wer ist betroffen, wie sind die Hacker vorgegangen? Infiltration über Mails? Gingen sie in die Netzwerke hinein? Oder haben sie einem Mitarbeiter einen verseuchten USB-Stick untergejubelt?
An die 1 000 Attacken registriert Siemens im Monat. "Wir beobachten immer mehr, dass die Angriffe mit dem Skalpell statt mit der Schrotflinte durchgeführt werden", sagt Reinema. Immer besser, immer schärfer. Auch die eigenen Hacker müssen immer härter werden.
