STANDARD: IBM prognostizierte 2011, dass kritische Infrastruktursysteme, also Steuerungssysteme etwa für die Gas-, Wasser-, Stromversorgung vermehrt das Ziel von Cyberterroristen wird. Welches Motiv vermuten Sie dahinter?

Lovejoy: Deren Motive nachzuvollziehen, ist nur schwer möglich. Wir beobachten jedoch, dass Vorbereitungen laufen, solche Angriffe zu starten. Potenzielle Angreifer verfügen bereits über genügend Wissen, um Malware über das Internet in die Umgebung solcher Systeme einschleusen zu können. Im Gegensatz zu früher sind kritische Infrastruktursysteme nicht mehr vom Internet isoliert. Dass sie diese stören können, haben wir ja am Beispiel von Stuxnet schon gesehen.

STANDARD: Hinter dem Computerwurm Stuxnet, der unter anderem iranische Atomfabriken angegriffen haben soll, war Berichten zufolge die US-Regierung stecken.

Lovejoy: Tatsächlich weiß niemand, wer dahinter steckt, da man das Ganze nur schwer zurückverfolgen kann. Ob die US-Regierung involviert ist, dazu kann ich nichts sagen, da ich nichts darüber weiß.

STANDARD: Was haben Sie denn bisher an Angriffen beobachtet?

Lovejoy: Da wir nichts über unsere Kunden sagen kann, kann ich Ihnen keine konkreten Beispiele nennen. Aber damit Sie eine Vorstellung haben, was der Fall sein könnte: Hacker könnten in in das Computersystem einer Kläranlage eindringen und so manipulieren, dass Abwässer in ein Trinkwasserbecken laufen und dieses kontaminieren.

STANDARD: Wieviel Attacken mit terroristischem Hintergrund gab es denn im Vorjahr?

Lovejoy: Auch dazu gibt es keine konkreten Zahlen. Das ist Teil dieses Problems, da niemand Informationen darüber teilt. Es geht meiner Erfahrung nicht um tausende von Attacken, sondern um dutzende. Aber diese genügen schon, dass sie ernst genommen werden müssen. Abgesehen davon ist es auch schwer nachzuvollziehen, was dahintersteckt, wenn plötzlich irgendwo der Strom ausfällt. War es ein technischer Fehler oder eine Terrorattacke.

STANDARD: Was ist mit Gruppen wie Anonymous. Zählen Sie diese auch dazu?

Lovejoy: Das sind Hacktivisten. Sie wollen zwar auch Computersysteme stören, sind aber per se nicht auf kritische Infrastruktur fokussiert. Außer man zählt Finanzservices auch zur kritischen Infrastruktur. Gruppen wie Anoymous wollen adressieren kapitalistische Organisationen. Da muss man differenzieren. Terroristische oder separatistische Gruppen wollen soziales Chaos erzeugen, indem sie Störungen provozieren.

STANDARD: Ihre und andere Firmen versprechen mir sichere Systeme. Auf der anderen Seite machen Sie mir Angst mit Horrorszenarien. Der Gedanke drängt sich auf, dass Sie nur mehr Sicherheit verkaufen wollen.

Lovejoy: Ich kann dieses Gefühl nachvollziehen. aus der Sicht von IBM ist Sicherheit eine wichtige Komponente im Entwicklungsprozess von Produkten. Aber Perfektion kann Ihnen kein Anbieter liefern. Die Integrität eines Systems ist wichtig. Aber noch sicherheitskritischer ist, wie es in einem Unternehmen konfiguriert und gewartet wird. Hierbei entstehen oft die die größten Sicherheitslücken. Der Markt geht daher immer mehr in Richtung automatisches Sicherheitsmanagement. Und um Techniken, die verstehen helfen, wo Angreifer es versuchen könnten, in ein System einzudringen, so dass man sie blockieren kann.

STANDARD: Das wird aber immer ein Katz-und-Maus-Spiel zwischen Angreifern und Verfolgern bleiben?

Lovejoy: Uns muss bewusst sein, dass wir die gesamte Entwicklung des Internet nicht stoppen können - unsere Kinder würden das nicht zulassen. Umso mehr müssen wir uns darum kümmern, dass wir eine größtmögliche Sicherheit erreichen.

Standard: Die Industrie verkauft Cloud-Lösungen, die über die Wolke, also das Internet gehen. Wie sicher kann das denn dann überhaupt sein?

Lovejoy: Die Grundplattform, auf der das Internet fußt, ist sicherer als die durchschnittliche IT-Infrastruktur, weil sie konsistent ist. Das eigentliche Problem von IT-Sicherheit ist die Komplexität. Zu viele Systeme, zu viele Konfigurationen, zu viele Leute, die damit zurecht kommen müssen. Die Cloud mit ihrer Standard-Plattform macht das einfacher. Man kauft ein Image, ein Speicherabbild in einer Umgebung, und stellt dort seine Applikation rein. Das ist ziemlich sicher. Dann geschieht aber folgendes: Der Nutzer bzw. ein Unternehmen, beginnt das Ganze zu verändern. Gibt zum Beispiel Daten dazu und probiert verschiedene Sachen damit aus. Was die meisten nicht wissen ist, dass man diese Applikation mit Sicherheitsfeatures ausstatten muss.

STANDARD: Der Nutzer ist also wieder einmal selbst schuld?

Lovejoy: Die Herausforderung in der Wolke ist, dass der Umgang mit den Anwendungen meist nicht in geschulten Händen liegt. Man muss differenzieren zwischen der Infrastruktur, die die Wolke beherbergt, und was der Kunde aus dem gekauften Abbild macht. Wir brauchen mehr Ausbildung auf diesem Gebiet.

STANDARD: Es gibt aber auch wieder Ansätze, kritische Infrastrukturen über separate Netze laufen zu lassen. Was halten Sie davon?

Lovejoy: Das gehört für mich der Vergangenheit an. Warum man die Strukturen für das Internet geöffnet hat, hat mit verschiedenen Faktoren zu tun. Zum Beispiel damit, dass Firmen sicher sein möchten die besten Leute zu bekommen. Und in der heutigen Welt sind die nicht immer dort, wo man sein Unternehmen hat. Oder um viele Services dem einzelnen Bürger zugänglich zu machen, braucht es ebenfalls Netzanschluss. Oder Sie denken an Hilfsketten bei Katastrophen. Dazu braucht es auch Vernetzung. So viele Menschen hängen von Wasser, Strom oder Abwasserdiensten ab, hinter denen heute IT-Systeme stecken. Es gilt, diese Services zu optimieren, schon allein angesichts des Bevölkerungswachstums.

STANDARD: Vielen Anwendern ist auch unwohl bei dem Gedanken, dass ihre Daten auf Servern außerhalb ihres Landes gespeichert werden.?

Lovejoy: Ja, da gibt es viele Bedenken, wo die Daten erstellt werden und wo sie gespeichert werden. Das müssen Unternehmen mit ihrem Anbieter definieren. Viele der großen Cloudanbieter richten ihre Wolke nach der deutschen Gesetzgebung aus, da deren Datenschutzgesetze am strengsten sind. Möglich ist auch, die Daten nur verschlüsselt zu übertragen.

STANDARD: Besonders soziale Netzwerke stehen nicht gerade im besten Ruf in punkto Datensicherheit. Was ist Ihre Meinung dazu?

Lovejoy: Als Facebook startete, war es für mich ein Teufelswerkzeug, das ich nie benützen würde, da Privatsphäre für mich irgendwie Anonymität bedeutete. Meine 21-jährige Tochter belehrte mich eines besseren. Privatsphäre bedeute Kontrolle. Sie ist zum Beispiel auf Facebook mit ihrer Großmutter ‚befreundet‘, hat aber ihre Einstellungen so geregelt, dass Granma nur bestimmte Einträge und Postings lesen kann. Die neue Generation hat ein anderes Verständnis von Privatsphäre. Wir diskutieren, dass wir nicht wollen, dass unsere Daten das Land verlassen. Unseren Kinder ist das wurscht. Sie wollen kontrollieren, wer was sieht. (Karin Tzschentke, DER STANDARD/Langfassung online, 04.07. 2012)