Jeder zweite Cyber-Angriff führt zu Produktionsausfall

Der Cyber-Sicherheitsrat hat einige Empfehlungen entwickelt, um die vernetzte Gesellschaft zu schützen. Nicht alle werden den Technologiefirmen gefallen.

Sie weckten ihn um vier Uhr morgens. Das System sei angegriffen worden, teilten die IT-Experten mit. 45.000 PCs, 4000 Server und 2500 Programme mussten sie von der Erpressungssoftware befreien und neu aufsetzen, damit der Weltkonzern Maersk wieder wie gewohnt alle 15 Minuten irgendwo auf der Welt mit seinen Containerschiffen einen Hafen anlaufen konnte. „Ich werde den 27. Juni nie vergessen“, erzählte Maersk-Verwaltungsratschef Jim Hagemann Snabe sichtlich bewegt auf dem Weltwirtschaftsforum in Davos von dem, was er 2017 erleben musste.
Weltweit fürchten Unternehmen, im Zeitalter der Digitalisierung Opfer von Cyberangriffen zu werden. Auch Beiersdorf oder der Logistikdienstleiter TNT waren wie Maersk vom Erpressungsprogramm „Not Petya“ befallen. Für die Bürger sichtbar war eine Attacke vergangenen Mai, als bei der Bahn die Computer und damit auch die Anzeigetafeln an den Bahnhöfen ausfielen. Die Schadsoftware „Wannacry“ befiel auch andere Unternehmen bis hin zu Krankenhäusern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seiner jüngsten Cyber-Sicherheitsumfrage unter 900 Unternehmen und Institutionen zu dem Ergebnis, dass knapp 70 Prozent von ihnen 2016 und 2017 in Deutschland Opfer von Cyber-Angriffen wurden. „Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- oder Betriebsausfällen“, berichtete das BSI. Zudem gibt es eine hohe Dunkelziffer. „Die Ergebnisse der Umfrage machen deutlich, dass Cyber-Angriffe als eine der größten Bedrohungen für den Erfolg der Digitalisierung wahrgenommen werden“, sagte Präsident Arne Schönbohm.
Die Kosten, die durch die Angriffe entstehen, lassen sich kaum beziffern. Mehrere hundert Millionen Dollar kostete allein Maersk der Angriff der Schadsoftware, die über die ukrainische Buchhaltungssoftware MeDoc ins Unternehmen gelangte; Mitarbeiter mussten wieder mit Papier und Stift arbeiten und so Schiffe rund um den Globus im Viertelstundentakt löschen. „Wir müssen aufhören, bei diesem Thema so naiv zu sein“, sagte Snabe in Davos.
In den laufenden Koalitionsverhandlungen spielt das Thema zwar eine Rolle, aber keine übergeordnete. Dabei gibt es nicht nur Warnungen, sondern auch umfangreiche Mahnungen und Empfehlungen, damit die Digitalisierung gelingt. So hat etwa der Fachbeirat beim Nationalen Cyber-Sicherheitsrat in einem Bericht, der dem Handelsblatt vorliegt, die Gefährdungstrends für die kommenden fünf Jahre identifiziert und vor allem notwendige Maßnahmen für mehr Cyber-Sicherheit benannt.
So setzen Unternehmen vermehrt auf IT-Dienstleistungen aus dem Netz (also der Cloud), vernetzen Maschinen, Fahrzeuge und andere Geräte im sogenannten also das Internet der Dinge und setzen dezentral organisierte Datenbanksysteme wie die Blockchain ein. Die zunehmende Vernetzung auch im Alltag, etwa im Straßenverkehr, erhöht die Gefahr von Angriffen und stellen „mittelfristig ein ernstzunehmendes Bedrohungsszenario dar“, wie es in dem Bericht heißt.
Neben einer besseren Ausstattung der Sicherheitsbehörden und eine Sensibilisierung junger Menschen in Schulen und Hochschulen sollen vor allem die Unternehmen die Sicherheit ihrer Produkte erhöhen. Zu dem Fazit kommen die Vertreter des Beirates, die aus Behörden, Ministerien, der Bundeswehr, Wirtschaftsverbänden wie dem BSI, DIHK und Bitkom sowie aus Unternehmen wie Siemens, Telekom und Amprion stammen. Sie warnen zudem vor „zu viel Vertrauen in Technik“ und vor den „Skaleneffekten“, die Angreifer mit der steigenden Vernetzung von Menschen, Maschinen und Programmen erzielen können. Deshalb soll es eine umfangreiche Regulierung der Hard- und Software-Anbietern geben.
„Grundprinzip“ müsse es werden, dass Cyber-Sicherheit von Beginn eines jeden IT-Projekts berücksichtigt wird (security by design) und Produkte bei der Auslieferung mit sicheren Grundeinstellungen versehen werden (security by default). Die Branchenverbände sollten dazu binnen eines Jahres „eine Selbstverpflichtung der Hersteller, Anbieter und Betreiber“ erstellen, heißt es in dem Bericht. Die Verpflichtung sollten dann die Hersteller zügig anerkennen und umsetzen, die wiederum dann in technischen Regelwerken wie der DIN, beim Tüv und anderen verankert und möglichst auch auf europäischer Ebene umgesetzt werden sollen.
Verbraucher sollten von den Unternehmen beim Kauf eines Produkts über die Cyber-Sicherheitseigenschaften Informationen erhalten. Dazu schlagen die Experten „ein einheitliches, freiwilliges Sicherheitskennzeichen“ vor. Das Cyber-Sicherheitslabel, dass auch bereits auf europäischer Ebene diskutiert wird, soll „den Verbraucherschutz beim Umgang mit vernetzten Geräten“ fördern und das Sicherheitsniveau anzeigen.
Unternehmen, die öffentliche Aufträge erhalten wollen, sollen die Grundprinzipien einhalten müssen. Sollten sie nicht bereit sein, sich freiwillig zu verpflichten, so sei auch „die vollständige Marktkontrolle durch Produktzulassung“ zu erwägen, heißt es in dem Bericht.
Auch eine Produkthaftung bringen die Experten ins Gespräch, um die Cybersicherheit zu erhöhen, nutzen Angreifer doch schließlich in der Regel Sicherheitslücken, um flächendeckende Angriffe zu starten. Eine Haftung helfe, in einer arbeitsteiligen Wertschöpfungskette, „die Motivation, Verantwortung für die IT-Sicherheit ihres Teilproduktes zu übernehmen“, resümieren die Experten.
Ein wichtiger Aspekt seien auch regelmäßige Sicherheits-Updates für die Produkten. Durch Mindeststandards und ein Lebenszyklusmanagement könnten Angriffe verringert werden. Zudem würde die Lieferkettensicherheit erhöht.
„Die Gefährdungslage hat sich in alle Richtungen verschlechtert“, warnt auch Martin Schallbruch, Direktor am Deutschen Society Institut (DSI) an der ESMT in Berlin. Schwerwiegende Schwachstellen in Hardware oder großflächige Angriffe auf kritische Infrastrukturen sind nur zwei Beispiele.“

Laut DSI hat es in den vergangenen vier Jahren auf globaler Ebene „keine“ sowie auf europäischer und nationaler Ebene „nur kleine Fortschritte“ gegeben. Union und SPD hätte zwar einiges im Koalitionsvertrag vereinbart gehabt, aber „große Teile der damaligen Vorhaben noch nicht umgesetzt“. Und von Zusammenarbeit zwischen Sicherheitsbehörden, Staat und Wirtschaft könne nicht die Rede sein, „Kompetenzgerangel“ herrsche vielmehr.
Schallbruch, der zuvor selbst als Abteilungsleiter im Bundesinnenministerium für die Fragen zuständig war, mahnt Nachhaltigkeit bei der Digitalisierung an. „Die Politik sollte die gute Haushaltslage nutzen, massiv in IT-Sicherheit zu investieren“, fordert er.

Quelle:
Handelsblatt