Wenn Hacker die smarte Fabrik lahmlegen

Die Vernetzung der Industrie gilt als große Chance – doch sie ist mit einem großen Risiko verbunden: Cyberangriffe zielen immer häufiger auf Fabriken. Der Staat hat bereits reagiert, doch es ist immer noch viel zu tun.

Die Warnung schallte über die Lautsprecher durch die Flure. Alle Mitarbeiter in der Zentrale von Beiersdorf, im internen Sprachgebrauch „Werk 1“, sollten sofort ihre Computer ausschalten. Das Erpressungsprogramm „Not Petya“ hatte Systeme in der Ukraine blockiert, die IT-Verantwortlichen fürchteten, dass es sich im Netzwerk ausbreiten könnte – und stoppten die Produktion vorsorglich. Der Cyberangriff im Juni 2017 traf auch andere große Unternehmen, etwa die Reederei Maersk und den Logistikdienst TNT Express.

Für Beiersdorf, den Hersteller von Nivea, Labello und Eucerin, ist der Schaden offenbar kosmetischer Natur, die vorläufigen Geschäftszahlen fürs abgelaufene Jahr sind exzellent. Der Fall zeigt aber, wie groß die Gefahren für die Wirtschaft in der vernetzten Welt sind. Cyberangriffe zielen heute nicht nur auf die Forschungslabore und Chefetagen von Unternehmen, sondern immer häufiger auf die Fabriken – wenn auch bei Beiersdorf eher zufällig.

Das ist ein beunruhigender Trend für den Standort Deutschland. Die Digitalisierung erfasst alle Branchen. Besonders große Hoffnung setzt die Wirtschaft in die Industrie 4.0, also die Vernetzung der Produktion – von den Laboren bis zum Vertrieb. Aber was ist, wenn die intelligente Fabrik nicht mehr produzieren kann? Es geht um die Wettbewerbsfähigkeit, um „Made in Germany“. Die Politik hat das Thema längst erkannt, könnte aber noch mehr tun, um den Unternehmen bei der Gefahrenabwehr zu helfen.

Die Wirtschaft sieht die Vernetzung der intelligenten Fabriken als strategisch wichtiges Thema. Laut einer Umfrage der Unternehmensberatung PwC wollen deutsche Firmen im Zeitraum von 2016 bis 2020 knapp fünf Prozent ihres Umsatzes dafür investieren, insgesamt rund 31 Milliarden Dollar. International taxieren die Berater die Ausgaben auf 900 Milliarden Dollar.

„Industrie 4.0 verspricht sehr effiziente Prozesse, agile Produktion und individuelle Produkte“, sagt Thorsten Henkel, Experte für IT-Sicherheit in der Industrie beim Fraunhofer-Institut SIT. Mehr noch: Sie ermögliche neue Geschäftsmodelle. Der Hersteller einer Laserschneidemaschine könne zum Beispiel nicht nur das Gerät verkaufen, sondern auch Hilfe bei der Nutzung bieten – das Wissen stammt aus den Anwendungsdaten. Wenn Geschäftsmodelle auf Daten beruhen, meint Fraunhofer-Forscher Henkel, werde IT-Sicherheit „zu einer Kernkompetenz, um auf dem Markt zu bestehen“.

Wertvolle Datenlandschaften

„Von den Risiken der Digitalisierung sind alle Unternehmen ähnlich betroffen“, sagt Daniel Hartert, Chief Information Officer des Pharmakonzerns Bayer. Vor 20 Jahren sei die IT in der Firma eingekapselt gewesen. „Heute sind viele Mitarbeiter mit Laptops und Smartphones in der Welt sowie im Internet unterwegs“ – und weil sie die Daten mitnehmen, öffne das Tür und Tor. Zusätzlich hätten Unternehmen heute „enorm große und wertvolle digitale Datenlandschaften“, was die Attraktivität für Hacker steigere. Diese Kombination treibe die organisierte Cyberkriminalität an, sagt der IT-Experte.

Bei der Industrie 4.0 kommen besondere Probleme hinzu. „Die Produktion hat traditionell eine andere Geschwindigkeit als die IT“, sagt Hartert. So sind einige Produktionsmaschinen Jahrzehnte im Einsatz, einschließlich der Steuerungssoftware. Diese erhält häufig keine Updates mehr und ist daher für Cyberangriffe anfällig. „Je mehr man die Produktion in digitale Abläufe integriert, desto größer die Herausforderung“, sagt Hartert. „Das betrifft alle, die modern produzieren.“

Die Vision sieht zudem vor, dass sich Unternehmen stärker miteinander vernetzten – ganze Wertschöpfungsketten, vom Zulieferer über den Produzenten bis zum Kunden, sollen Daten austauschen, am besten in Echtzeit. Der Schutz der eigenen IT-Systeme wird damit jedoch immer schwieriger. Die Erpressungssoftware, die mehrere Großunternehmen im vergangenen Sommer lahmlegte, gelangte teilweise über deren Zulieferer in die Systeme. Wegen solcher Bedrohungen plant Bayer, seine Zulieferer in Zukunft hinsichtlich der Informationssicherheit zu auditieren.

Das kommt nicht von ungefähr. Die deutsche Wirtschaft ist regelmäßigen Cyberangriffen ausgesetzt. 2016 erklärten zwei Drittel der Industrieunternehmen in einer Umfrage des IT-Verbands Bitkom, in den vorherigen zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden zu sein. Bei 29 Prozent der Firmen richteten sich die Angriffe auf die IT, doch auch Lager und Logistik (20 Prozent), Einkauf (18 Prozent) und Produktion (15 Prozent) waren Ziele. Den Schaden für die deutsche Wirtschaft beziffert der Verband Bitkom auf 55 Milliarden Euro pro Jahr.

„Das, was bekannt wird, ist nur die Spitze des Eisbergs“, warnt indes Marko Vogel, Direktor für IT-Sicherheit bei der Wirtschaftsprüfungsgesellschaft KPMG. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist regelmäßig auf eine hohe Dunkelziffer hin. Zwar mögen selten Fälle an die Öffentlichkeit dringen, doch nach Erfahrung des IT-Spezialisten sind Angriffe auf Industrieanlagen „eine reale Bedrohung“.

Trotzdem stellt Vogel bei Kundengesprächen immer wieder fest, dass es am Bewusstsein für die Risiken fehlt. „Der Status quo für Produktionssysteme in der Industrie ist häufig noch erschreckender als in der klassischen IT, wo man in den letzten Jahren einiges getan hat“, beobachtet er. „Der Nachholbedarf in Sachen IT-Sicherheit ist groß.“

„Die Herausforderung für die Industrie 4.0 und die Digitalisierung insgesamt besteht darin, eine übergreifende Sicherheitsarchitektur zu entwickeln“, sagt Vogel. Diese müsse für alle Systeme gelten – von der App, über die Kunden ein Produkt bestellen, bis zur Maschine, die es fertigt. „Es ist ein ganzheitliches Denken nötig, nicht nur bei der Produktion, sondern auch bei der Absicherung.“

Investitionen in IT-Sicherheit steigen

Die Unternehmen reagieren auf die Bedrohung, gerade die großen Konzerne. Das lässt sich an den Investitionen in IT-Sicherheit ablesen, die global steigen. Aber auch an Initiativen wie der Deutschen Cybersicherheits-Organisation, kurz DCSO. Die vier Dax-Konzerne Allianz, BASF, Bayer und Volkswagen gründeten die gemeinsame Firma 2015, um Informationen über IT-Sicherheitsprodukte und Cyberangriffe auszutauschen. Und der Verband der Automobilindustrie (VDA) hat einen Standard entwickelt, mit dem die Hersteller die Informationssicherheit bei Zulieferern überprüfen.

Solche Aufgaben kann die Politik der Wirtschaft schwerlich abnehmen. Trotzdem kann sie etwas beitragen – und versucht das auch. „Die Bundesregierung hat das Thema Cyberkriminalität in den letzten Jahren stärker in den Fokus gerückt“, erklärt Achim Berg, Präsident des Technologieverbands Bitkom. Als Beispiel nennt er das IT-Sicherheitsgesetz, das Betreiber kritischer Infrastrukturen wie Krankenhäuser und Stromnetze zu Mindeststandards sowie zur Meldung von Zwischenfällen verpflichtet.

Angesichts der zentralen Bedeutung der IT-Sicherheit müsse die Politik aber „den Einsatz deutlich erhöhen“, findet Berg. „Beim Thema IT-Sicherheit schlägt der Mangel an qualifiziertem Personal voll durch“, mahnt er beispielsweise an – daher brauche es Anreize, um die Aus- und Weiterbildung zu fördern.

Potenzial sieht der Branchenverband Bitkom zudem in der Zertifizierung von IT-Produkten, -Dienstleistungen und -Systemen, beispielsweise Komponenten fürs Internet der Dinge – allerdings auf europäischer Ebene. „Rein nationale Ansätze führen dabei zu hohen Kosten und Verwaltungsaufwänden für alle Unternehmen, die in mehreren Mitgliedstaaten tätig sind“, mahnt Berg. Der von der EU-Kommission vorgeschlagene Cybersecurity Act könne ein wichtiger Schritt sein.

Auch der Bundesverband der Deutschen Industrie (BDI) sieht IT-Sicherheit als Gemeinschaftsaufgabe. „Wirtschaft, Politik und Verwaltung müssen den Industriestandort Deutschland gemeinsam widerstandsfähiger gegen Cyberattacken machen“, erklärt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung.

Als guten Ansatz sieht der Verband die Allianz für Cybersicherheit, die das BSI gemeinsam mit der Wirtschaft gegründet hat. „Dieses Netzwerk kann in Angriffsfällen schnell und effizient reagieren“, sagt Plöger. Von der Politik mahnt sie ein „klares Bekenntnis zu einer starken und sicheren Verschlüsselung von Daten“ an, also ohne Hintertüren, wie sie Sicherheitspolitiker gelegentlich fordern.

Weitere Maßnahmen dürften eher mittelfristig wirken. So fordert der BDI, die Digitalkompetenz junger Menschen zu stärken und die Forschung in Sachen Cybersicherheit auf EU-Ebene zu koordinieren. Sicher ist vor allem eines: Tatsächliche IT-Sicherheit ist mühsam.

Quelle:
Handelsblatt