Angriffe über das Internet sind für moderne Unternehmen eine große Gefahr. Gerade in der Industrie haben vielen Firmen nur einen mangelhaften Schutz – trotz besseren Wissens.

Der Kran dreht sich mit einem Rattern. Erst nach rechts, dann links, dann nach hinten. Immer weiter, bis es auf einmal knackt: Ein Hacker hat die Kontrolle übernommen – und führt die Hebemaschine nun mit ungewöhnlichen Lenkbewegungen an die Grenzen der Belastbarkeit.

Stünde hier kein Modell aus Lego, sondern ein Kran aus Stahl, hätte es wohl ordentlich gescheppert. Glücklicherweise handelt es sich nur um eine Demonstration: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Spielzeug auf seinem Stand auf der Hannover Messe aufgestellt, um zu zeigen, wie einfach und verheerend Cyberangriffe auf Produktionsanlagen sein können.

Auf der größten Industriemesse der Welt dreht sich alles darum, wie die Vernetzung von Fabriken und Lieferketten die Produktion schneller, flexibler und besser machen kann – es ist das große Versprechen der Industrie 4.0. Doch bei der Digitalisierung bleibt die Absicherung oft auf der Strecke.

„Die Bedrohung ist gleichbleibend hoch“, warnt Claudia Eckert, Direktorin des Fraunhofer Instituts für angewandte und integrierte Sicherheit (AISEC). „Das Bewusstsein wächst, aber Unternehmen wissen oft nicht, wie sie das Thema anpacken sollen.“ Auf der Messe ist der Schutz für Fabriken und Maschinen daher ein großes Thema – und ein großes Geschäft.
Schaden in Millionenhöhe

Das Szenario mit dem Kran ist keine theoretische Gefahr. Erst vor knapp zwei Wochen musste der Aluminiumhersteller Norsk Hydro seine IT-Systeme nach einem massiven Cyberangriff herunterfahren. Offenbar war ein Verschlüsselungstrojaner in das Netz des norwegischen Konzerns eingedrungen und hatte Computer lahmgelegt. Der finanzielle Schaden beträgt nach einer vorläufigen Schätzung 31 bis 36 Millionen Euro.

Auch die deutsche Industrie steht im Visier der Kriminellen. „Das ein oder andere Unternehmen aus unserem Mitgliederkreis hat bereits Erfahrungen mit Hacker-Angriffen gesammelt. Das ist ein Phänomen, das man ernst nehmen muss“, sagte VDMA-Präsident Carl Martin Welcker in Hannover.

So waren zwei Drittel der deutschen Industrieunternehmen (68 Prozent) in den vergangenen zwei Jahren von Datendiebstahl betroffen, wie eine Studie des Branchenverbands Bitkom zeigt, wobei der Verband dazu auch den Verlust von PCs oder Smartphones zählt. Ein Viertel (24 Prozent) verzeichnete Infektionen mit schädlicher Software, 16 Prozent das Ausnutzen von Schwachstellen.

Der Schaden durch digitale Wirtschaftsspionage, Sabotage und Datendiebstahl ist erheblich. Der Bitkom taxiert ihn in den letzten zwei Jahren „nach konservativen Berechnungen“ auf 43,4 Milliarden Euro, wobei Imageschäden mit 8,8 Milliarden Euro den größten Posten ausmachen.

Man könnte auch sagen: Der Verlust ist so groß wie die Wirtschaftsleistung von Slowenien. Auch wenn die Berechnung Unwägbarkeiten enthält, zeigt sie, dass die Gefahr groß ist. Zumal die Dunkelziffer hoch sein dürfte.

Keine Zeit für Updates

Die Probleme kommen nicht von ungefähr. „Never touch a running system“, lautet in der Industrie die Devise. Die Anlagen laufen viele Jahre, wenn nicht Jahrzehnte. Und mit ihnen veraltete Betriebssysteme, für die es keine Updates mehr gibt, und Sicherheitskonzepte, die aus dem analogen Zeitalter stammen.

Das Risiko war beherrschbar, solange nur die Mitarbeiter in der Fabrik auf die Computer zugreifen konnten. Diese Zeiten enden jedoch: Im Zeitalter der Industrie 4.0 vernetzen die Unternehmen ihre Anlagen, beispielsweise um sie aus der Ferne warten oder die Daten mit künstlicher Intelligenz auswerten zu können. Damit steigt jedoch die Gefahr von Cyberangriffen immens.

„Die Eintrittspunkte für Angreifer sind flächendeckend da“, sagt Fraunhofer-Forscherin Eckert, die mit ihrem Team Sicherheitstechnologien entwickelt. Bestehende Systeme nachträglich abzusichern sei schwierig und fehleranfällig, „wenn man dies nicht systematisch angeht.“ Daher verwundert es nicht, dass es immer wieder zu gravierenden Zwischenfällen kommt.

Zumal das Risikobewusstsein fehlt. „Es herrscht eine völlig andere Kultur als in der IT“, sagt Uwe Kissmann, Chef von Accenture Security in Europa. „Die oberste Prämisse für den Produktionsverantwortlichen besteht darin, dass die Anlagen zuverlässig laufen“, erklärt der Berater.

Ausfälle kosten schnell Millionen von Euro. Das Ziel ist daher, die Anlagen im 24-Stunden-Betrieb laufen zu lassen. Dementsprechend zögerlich sind die Manager, Sicherheitsupdates einzuspielen. Redundante und baugleiche Systeme, um neue Softwareupdates zu testen, haben bislang nur wenige Industrieunternehmen, betont Kissmann – die meisten Produktionsanlagen seien einzigartig.

Die Bedrohungen kennen

Das BSI hat einen Ratgeber entwickelt, mit dem Unternehmen sich rüsten können. Pünktlich zur Hannover Messe ist eine aktuelle Version des Dokuments erschienen, das Bedrohungen skizziert und Gegenmaßnahmen beschreibt. „Mit zunehmender Digitalisierung steigt für die Industrie auch die Notwendigkeit, wirksame Maßnahmen im Bereich der Cyber-Sicherheit zu treffen“, mahnt Behördenchef Arne Schönbohm.

Die Umsetzung ist indes nicht immer so einfach. Gerade kleinen und mittelständischen Unternehmen fehlt es an Wissen, Personal und Geld, um die ausführlichen Empfehlungen und Standards umzusetzen. Das Kompendium zum IT-Grundschutz des BSI beispielsweise umfasst 840 Seiten.

Spektakuläre Cyberangriffe

  • Stuxnet: Im Sommer 2010 machte der Stuxnet weltweit Schlagzeilen: Das Programm nutzte offenbar komplexe Technologie, um eine iranische Urananreicherungsanlage zu sabotieren – nach Einschätzung von Fachleuten hatten Geheimdienste in den USA und Israel die Software programmiert.
  • Stahlwerk: Ende 2014 machte das Bundesamt für Sicherheit in der Informationstechnik (BSI) publik, dass unbekannte Angreifer den Hochofen eines nicht genannten Stahlkonzerns schwer beschädigt hatten. Sie verschafften sich demnächst Zugriff auf die E-Mail-Konten einzelner Mitarbeiter und drangen dann immer tiefer ins System ein.
  • Industroyer: Kurz vor Weihnachten 2016 gingen in Teilen von Kiew die Lichter aus: Eine Gruppe, die Medienberichten zufolge von Russland aus agierte, legte das Stromnetz der ukrainischen Hauptstadt lahm. Es handelt sich um die erste bekannte Software, die gezielt auf die Elektrizitätsversorgung zielt.
  • Petya aun NotPetya: Die beiden Erpressungstrojaner verbreiteten sich bei Privatnutzern und Unternehmen gleichermaßen, richteten in Industriebetrieben aber besonders hohe Schäden an. Beim Logistikkonzern Maersk stand der Betrieb tagelang still, die resultierenden Kosten betrugen mindestens 400 Millionen Dollar. Auch TNT Express, Beiersdorf und zahlreiche Krankenhäuser waren betroffen.

Das Fraunhofer Institut hat daher eine Methode zur Risikoanalyse entwickelt, die eine Kosten-Nutzen-Abwägung ermöglicht. „Das Management kann damit betriebswirtschaftlich vernünftige Entscheidungen treffen“, erklärt Direktorin Eckert. Nicht alle Prozesse sind gleich kritisch, nicht alle Daten gleich wichtig fürs Geschäft. Nicht alle müssen daher gleich stark geschützt werden.

Auch der VDMA bietet seinen Mitgliedern einen Online-Check an, mit dem sie ihre Anfälligkeit für Cyber-Attacken überprüfen können.

Ein wichtiges Element sind außerdem Notfallpläne. Wenn ein Erpressungstrojaner Rechner befällt, wissen die Mitarbeiter im Idealfall, wie sie eine Verbreitung im Netzwerk stoppen. Und Sicherungskopien helfen dabei, den Betrieb schnell wieder zum Laufen zu bekommen.

„Bisher haben nur wenige Unternehmen Mechanismen für den Notfall aufgebaut, welche auch eintrainiert sind – das wird auch noch länger dauern“, prognostiziert Accenture-Berater Kissmann.

Unsicherheitsfaktor Mitarbeiter

Das größte Risiko für die IT-Sicherheit ist indes der Mensch. „Die Technik allein reicht nicht, die Mitarbeiter spielen bei der Absicherung eine entscheidende Rolle“, sagt Andreas Fuchs, der bei Drivelock als Direktor für die Industrieprodukte verantwortlich ist. „Der Mensch ist bei der Verteidigung eine zusätzliche Barriere – es lohnt sich, in die ‚Human Firewall‘ zu investieren.“

Das Münchner Unternehmen hat eine Plattform entwickelt, die die Geräte in einem Netzwerk überwacht, von Notebooks bis zu Steuerungscomputern. Zudem bietet es Sicherheitstraining an: Nutzer sollen lernen, woran sie Betrugsversuche erkennen oder welche Gefahren durch externe Datenträger drohen. „Da ist oft Leichtsinnigkeit im Spiel“, weiß Fuchs.

Schon wenn Mitarbeiter ihr Smartphone am USB-Anschluss laden, kann schädliche Software ins System gelangen. Eine Warnung kann dann aufs Risiko aufmerksam machen.

Das Beispiel Drivelock zeigt: IT-Sicherheitsfirmen zeigen auf der Hannover Messe zahlreiche Lösungen, um die Fabrik gegen Angriffe zu schützen. Es gibt Systeme, die den Datenverkehr überwachen und sichere Betriebssysteme.

Es ist ein gigantisches Geschäft: Das Marktforschungs- und Beratungsunternehmen Gartner schätzt, dass die globalen Ausgaben für IT-Sicherheit in diesem Jahr um knapp neun Prozent auf 124 Milliarden Dollar steigen werden. Keine Firma will, dass bei ihr Maschinen wie Kräne stillstehen. Vor allem, wenn sie echt sind.