Spionage: Dass geistiges Eigentum und Daten von Hackern gestohlen werden können, war bisher die größte Angst von Unternehmen. Ganz nüchtern betrachtet: Das meiste geistige Eigentum ist schon längst weg. Seit vielen Jahren versuchen sich Drittstaaten an Kopien deutscher Produkte – mehr oder weniger erfolgreich. Bei Cyber-Angriffen müssen Unternehmen, deren Produktion immer mehr automatisiert und vernetzt läuft, sich heute vor allem mit einer ganz neuen Bedrohung auseinander setzen: gezielte Sabotage.
Während nach wie vor fast überall darüber gesprochen wird, wer von wem wie abgehört wird oder wer wie welche Daten gestohlen hat, wird in der öffentlichen Debatte ein viel größeres Gefährdungsszenario kaum diskutiert: die gezielte Schädigung des Angriffsziels abseits von Spionage, Diebstahl oder Betrug.
Beispiele gibt es genug. Staaten haben für die Cyber-Kriege der Zukunft aufgerüstet. Und bereits 2010 mit Stuxnet gezeigt, was heute möglich ist: Der Virus hat wichtige Anlagen des iranischen Atomprogramms nachhaltig geschädigt und damit eine Weiterentwicklung deutlich verlangsamt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im vergangenen Jahr über Cyber-Sabotage an einem Hochofen berichtet. Den Angreifern war es gelungen, gezielt einzelne Steuerungskomponenten eines Stahlwerks lahmzulegen und so konnte der Ofen nicht geregelt herunter gefahren werden.
Das FBI berichtete 2014 mehrere Fälle zu untersuchen, in denen ehemalige Mitarbeiter ihre Ex-Arbeitgeber mit Cyber-Sabotage schädigen. Und der verheerende Angriff auf den Unterhaltungskonzern Sony war eine öffentliche Manifestation, welcher Schaden mit Sabotage angerichtet werden kann: Nicht nur wurden Daten gestohlen und öffentlich gemacht, sondern auch gelöscht und teils unwiederbringlich vernichtet. Sony ist bis heute mit der Aufarbeitung beschäftigt.
Maschine-zu-Maschine-Kommunikation ermöglicht Zerstörung ganzer Produktionsstraßen und Wertschöpfungsketten
Die Digitalisierung – und im Bereich Industrie 4.0 vor allem Automatisierung – der Unternehmen ist in vollem Gange. Studien belegen zwar, dass der deutsche Mittelstand noch lange nicht auf der Höhe der Zeit ist. Die Aufholjagd, auch im Vergleich zu den USA, hat jedoch begonnen. Ingenieure und IT-Fachleute tüfteln an Produktionsstraßen, die vollständig automatisiert ablaufen. Nur noch im Falle einer Irregularität greifen menschliche Spezialisten ein, um einen Fehler zu beheben und die notwendige Wartung sicher zu stellen. Überwiegend geben nicht mehr Menschen den Maschinen die entsprechende Arbeitsanweisung: Das haben auch in der Realität die Maschinen über intelligente Vernetzung in vielen Fällen bereits selbst übernommen.
Gerade diese Maschine-zu-Maschine-Kommunikation öffnet jedoch das Einfallstor zur Sabotage. Gelingt es Angreifern in das Firmennetzwerk einzudringen und bis zum Kreislauf der Maschinenkommunikation durchzudringen, übernehmen sie ab sofort die Kontrolle. Und haben damit die Möglichkeit, eine Produktion vollständig zu zerstören und auf viele Monate bis Jahre hinweg unbenutzbar zu machen. Das Risiko der Insolvenz wird plötzlich in greifbare Nähe gerückt.
Diese Möglichkeiten führen zu ganz neuen Bedrohungsszenarien, nicht nur in kriegerischen Konfrontationen zur Schädigung von Schlüsselindustrien. Auch Cyber-Kriminelle erhalten ein neues Feld, in denen sie ihre erpresserischen Absichten ausleben können. > Firma XY zahl! – ansonsten legen wir dich vollständig lahm. <
Was können Unternehmen nun dagegen tun?
Da es sehr unwahrscheinlich ist, dass ihre Firewalls nicht irgendwann einmal geknackt werden und Hacker ein Hintertürchen finden – in den meisten Fällen über einzelne Mitarbeiter, die auf eine ganz simple Phishing-Email hereinfallen – müssen Unternehmen gerade die Kommunikation ihrer Maschinen genauestens überwachen.
Welche Maschine empfängt welche und wie viele Daten? Welche Maschine sendet was und in welchem Umfang?
Werden hier Irregularitäten festgestellt, muss genauestens überprüft werden, woher diese entstanden sind.
Ein Beispiel: Der Datenverkehr einer Maschine nimmt deutlich zu. Sie sendet eine Vielzahl an Daten an einen unbekannten Empfänger. Die Wahrscheinlichkeit, dass hier irgendetwas nicht stimmt, ist sehr hoch.
Und dann müssen Unternehmen sofort handeln: Maschine aus dem System abkapseln, Ursache untersuchen und falls vorhanden Infektion beheben. Oder im schlimmsten Fall die Maschine zerstören. Und so richten immer mehr Unternehmen technische Systeme zur Überwachung ihrer Datenströme ein.
Weil die Produktion in Industrieunternehmen zu den besonders schützenswerten Kronjuwelen zählt, sollte ein Zugang zu diesem Netzwerk so schwer wie möglich sein. Das heißt: gerade die Maschine-zu-Maschine-Kommunikation sollte in einem so kleinen, abgekapselten Netzwerk wie möglich stattfinden, um die Eintrittspunkte für Hacker zu minimieren.
Und wenn es doch schief geht: Dann ist es wichtig, dass Unternehmen den Ernstfall geübt und die richtige schnelle Eingreiftruppe zur Verfügung haben, um adäquat mit dem Schaden umzugehen und nicht vollständigen Schiffbruch zu erleiden. Meine traurige Prognose: Letzteres werden wir in den kommenden fünf Jahren auch öffentlich noch vielfach zu Gesicht bekommen. Denn die meisten Mittelständler sind darauf heute nicht vorbereitet.
