Produktionsanlagen, Maschinen, Autos und Mobiltelefone tauschen heute Informationen aus, ohne dass ein Mensch beteiligt ist. Forscher befassen sich im Rahmen mehrerer Projekte der Zukunftsaufgabe "Digitale Wirtschaft und Gesellschaft" der Hightech-Strategie mit der Sicherheit dieser Kommunikation.
4 Min. Lesedauer
Die Kunst – und daran arbeitet die IT-Sicherheitsforschung – besteht darin, die Kosten für einen Einbruch so hoch zu machen, dass er sich nicht mehr lohnt. Professor Philipp Slusallek und Werner Stefan vom Deutschen Forschungszentrum für Künstliche Intelligenz erläutern dies am Beispiel der Chipkarte.
Chips auf heutigen Bankkarten sind so sicher, dass der Dieb einer Karte mit einfachen technischen Mitteln keine Chance hat, die Geheimnummer der Karte zu ermitteln. Hoch spezialisierte Labore könnten mit großem Aufwand einen Chip auslesen. Die Kosten und der Aufwand sind dafür jedoch so hoch, dass es sich nicht lohnen würde, zumal die Karte längst gesperrt ist, wenn der Dieb sie geknackt hat.
Die Schwachstelle von Bankkarten ist nicht die Technik, hier hat die Forschung die nötige Sicherheit geschaffen. Die Schwachstelle ist der Bankkunde, der seine Geheimzahl auf die Karte schreibt oder sie zusammen mit der Karte in seinem Portemonnaie aufbewahrt. Ebenso der Kunde, der nicht verhindert, dass ihm jemand bei der Eingabe der Geheimzahl auf die Finger schaut.
Verschlüsselungen sind heute auf höchsten Niveau möglich, Hauptsache man denkt daran. Slusallek ist verblüfft darüber, dass dies im Bewusstsein der Industrie noch nicht angekommen ist. Beim Internet der Dinge und Industrie 4.0 kommunizieren Minicomputer meist völlig unverschlüsselt über das Internet miteinander oder mit dem Bedienpersonal. Dies geschieht nicht nur innerhalb eines Betriebes, Computer kommunizieren auch mit Computern anderer Firmen. So ordern beispielsweise Produktionsmaschinen ihren Materialnachschub schon heute direkt beim externen Lieferanten, ohne dass ein Mensch dies kontrolliert.
Ganz wesentlich wird die Möglichkeit, komplexe Maschinen über das Internet zu warten. Verkauft ein deutscher Maschinenbauer seine Maschine nach Thailand, so kann er von zu Hause aus im Falle eines Fehlers über das Internet direkt mit der Maschine kommunizieren. So lassen sich Fehler analysieren und beheben, ohne nach Thailand reisen zu müssen. Wenn der Techniker so einfach mit seiner Maschine spricht, könnten auch Unbefugte in die Maschine "einbrechen".
Warum aber muss diese Kommunikation sicher sein, wer könnte Interesse haben einzudringen? Hier gibt es verschiedene potentielle Täter.
Zunächst wäre es für Industriespione sehr interessant, technische Details einer Produktion abzurufen. Terroristen und Kriminelle könnten Interesse haben, einen Betrieb lahmzulegen. Man stelle sich nur vor, technisch gut gerüstete Kriminelle wollten einen großen Automobilhersteller erpressen. Wenn es ihnen gelänge – und das ist keine Science Fiction – in entscheidende Komponenten der Produktion einzubrechen, könnten sie die gesamte Produktion lahmlegen. Dass der Produktionsausfall nur eines Tages Millionen Euro kostet, dürfte klar sein. Ein Erpresser hätte gute Chancen, hier sehr viel Geld zu erpressen.
Für die Informatikforschung ist daher die Sicherheit der Maschinenkommunikation ein wichtiges Thema, das innerhalb der Hightech-Strategie der Bundesregierung erforscht wird.
Die Saarbrücker Forschungsgruppe um Professor Slussallek hat beispielsweise das System KIARA entwickelt. Es steuert die Kommunikation von so genannten Knoten. Solche Knoten sind beispielsweise Maschinen in Produktionsumgebungen. Dabei setzt das Programm bestimmte Sicherheitsprinzipien durch.
Jeder Knoten formuliert dabei Bedingungen an andere Knoten, die erfüllt sein müssen, damit ein Datenaustausch möglich wird. Daraus und aus den Eigenschaften der jeweiligen Anwendungen garantiert das System für die Sicherheit. Insgesamt wird so quasi einen Vertrag zwischen Sender und Empfänger geschlossen, der regelt, wie Daten zu akzeptieren und weiterzuleiten sind.
Ein Angreifer bei Maschine A hätte dann keine Möglichkeit, Daten abzurufen, die Maschine B an Maschine A nicht abgeben darf. Die Kommunikation ist also auf das notwendige Maß eingeschränkt.
Ganz große Sorgen machte sich Professor Backes, Direktor des Kompetenzzentrums für IT-Sicherheit CISPA in Saarbrücken, um die vor der Tür stehende Kommunikation im Verkehr. Das selbst fahrende Auto ist keine Utopie mehr. Es wird zu mehr Sicherheit im Straßenverkehr führen, da durch die Vernetzung Unfälle vermieden werden. Dies soll allerdings dadurch geschehen, dass alle Autos untereinander vernetzt werden und der Computer im Auto im Gefahrenfalle bremsen oder gegensteuern kann. Optimistische Schätzungen gehen davon aus, dass sich durch solche Systeme 90 Prozent der Unfälle vermeiden ließen.
Was aber geschieht, wenn ein Terrorist sich in die Kommunikation zwischen den Autos einschaltet und beispielsweise veranlasst, dass alle Autos gleichzeitig scharf nach links steuern? Millionen Unfälle im gleichen Moment wären die Folge. Hier ist die Forschung gefragt. Noch weiß niemand, ob es möglich sein wird, so ein Szenario auszuschließen.
Die Entwicklung von Autodiebstählen zeigt, dass Kriminelle der Autoindustrie immer eine Nase voraus sind. Alle neuen Entwicklungen der Autoindustrie von elektronischen Sicherungssystemen konnten gut organisierte Diebesbanden nach kürzester Zeit knacken. Der virtuelle Einbruch in den Bordcomputer ist daher nicht ausgeschlossen. Es liegt auf der Hand, dass hier große Aufgaben für die Forschung anstehen.