Cyberkriminalität bei Industrieanlagen
Das Einschleusen von Schadcodes auf Maschinen und Anlagen ist neben menschlichem Fehlverhalten eine der beiden größten Gefahren für die IT-Sicherheit der Unternehmen. Nach einer Studie des VDMA (Verband Deutscher Maschinen- und Anlagenbau) erwarten knapp zwei Drittel der Unternehmen immer mehr Security-Vorfälle. Bedrohlich sind sie schon heute, denn bei 29 Prozent der Unternehmen führten sie zu Produktionsausfällen. Bedenklich: Nur 57 Prozent der Unternehmen kennen einen der gängigen Security-Standards und noch weniger als ein Drittel wenden diese Standards an. Interview mit Jörg Asma, IT-Spezialist und Partner bei der Big-Four-Gesellschaft PwC. Er leitet den Bereich Cyber Security & Privacy von PwC Europe.
Warum sind Industrieanlagen und deren Steuerung so gefährdet?
Jörg Asma: Je länger eine Software zur Verfügung steht, desto wahrscheinlicher wird es, dass es Cyber-Angreifern gelingt, sie zu knacken und für die eigenen Zwecke einzuspannen. Das sieht man in modernen Industrieunternehmen. Maschinen bestehen aus einer Vielzahl an Hard- und Softwarekomponenten, die von den Entwicklern aufeinander abgestimmt sind. Traditionell ist die Software so aufgebaut, dass sie über einen möglichst langen Lebenszyklus die Maschinen steuert. Denn ihre Entwicklung, Herstellung und Implementierung sind sehr teuer, und diese Investitionen schreiben die Unternehmen langfristig steuerlich ab. So wie die Generation der Autos, die vor rund zehn Jahren auf den Markt gekommen sind – mit teils schon sehr ausgefeilter Technik, die über Software gesteuert wird. Diese Software läuft bis heute ohne Veränderungen sehr stabil.
Welche Risiken ergeben sich für Unternehmen?
Meist geht es um den Diebstahl geistigen Eigentums und Industriespionage. Unbemerkt ist es privaten, häufig staatlich gelenkten Angreifern gelungen, in Maschinen einzudringen und wertvolle Daten abzuschöpfen. Ich sehe immer wieder Maschinen, die Daten in ferne Länder senden – und niemand weiß, warum sie das eigentlich tun. Diese Datenströme müssen sich Unternehmen genau anschauen und – wenn sie nicht geklärt werden können -, abstellen. Im Zweifel müssen sie die Maschine austauschen, wenn Software-Updates nicht genügen.
…wie sieht es mit dem Ausfall der Produktion durch Sabotageakte aus?
Das Szenario Produktionsausfall und Sabotage ist genauso real, kommt aber viel seltener vor. Täter sind meist kriminelle Gruppen, die Erpressungsversuche starten. Die kommen selten bis nie von Wettbewerbern im betrieblichen wie staatlichen Umfeld. Viele Unternehmen haben so genannte Betriebsunterbrechungsprogramme, ‚Business Continuity Management‘, aufgesetzt, um auf solche Fälle vorbereitet zu sein. Das nützt ihnen aber nichts, wenn der ganze Maschinenpark ausfällt.
Für wie wahrscheinlich halten Sie das?
Das lässt sich nicht genau beziffern. Aber es wird immer wahrscheinlicher. Denn bei der IT-Sicherheit von Maschinen gibt es neben der oben benannten Alters-Schwachstelle eine Vielzahl an Angriffspunkten, die vor allem neuere Maschinen mit sich bringen – durch vernetzte, so genannte Maschine-zu-Maschine-Kommunikation. Das heißt: Neuere Maschinen funktionieren nicht mehr singulär, sondern sind miteinander vernetzt und kommunizieren elektronisch untereinander. Ihre Software wird dadurch deutlich öfter erneuert. Aber auf der anderen Seite heißt das auch: Haben Hacker einmal eine Maschine kompromittiert, ist die Wahrscheinlichkeit deutlich höher, über das Netz auch alle anderen Maschinen ‚versuchen‘ zu können. Ein Komplettausfall wird damit wahrscheinlicher, weil er möglich erscheint. Die Drohung, einzelne Maschinen ausfallen zu lassen, haben Unternehmen auch bisher schon ernst genommen. Aber am Ende war die Kosten-/Nutzen-Rechnung einfach: Ist es teurer das Risiko des Ausfalls einzugehen oder ein mögliches Erpressungsgeld zu zahlen? Bei einem Totalausfall muss das ganz neu bewertet werden.
Aber wie oft passiert das wirklich? Haben Sie Beispiele dafür?
Wie gesagt, Spionage durchgängig, Produktionsausfall ist selten und geht meist von Kriminellen aus. Ein Beispiel möglicher staatlicher Intervention, das öffentlich geworden ist, war seinerzeit Stuxnet. Diese Malware war speziell für die Störung eines Siemens-Steuerungsprogramms entwickelt worden, die in so genannten Frequenzumrichtern genutzt wurde, um Motoren zu steuern. Das führte zu großen Schäden im iranischen Atomprogramm. Das illustriert ganz gut, was möglich ist. Und es ist zu bedenken: Dieser Fall liegt schon fast acht Jahre zurück. Die technischen Möglichkeiten haben sich inzwischen deutlich verändert.
Können Sie abschätzen, wie viele Unternehmen besonders gefährdet sind?
Konkrete Zahlen gibt es nicht, aber grundsätzlich ist jede Firma gefährdet, auch der kleine Mittelständler. Der dürfte aber wohl eher als Opfer für Erpressungsversuche gefährdet sein.
Je größer das Unternehmen, desto interessanter wird es für die Hacker. Und je strategisch relevanter, desto interessanter vor allem für Industriespione. Gerade die deutschen ‚Hidden Champions‘ sollten sich hier nicht mehr ‚Hidden‘ fühlen. Sie sind identifiziert und auf der Agenda wenn es darum geht, geistiges Eigentum zu stehlen oder auch nur zu überwachen, wie es im Betrieb denn gerade so läuft.
Was raten Sie heute Unternehmen in diesen Fällen zu tun?
Eine pauschale Antwort ist schwierig. Da muss ich mit dem Berater antworten: ‚Es kommt drauf an.‘ Einige Grundsätzlichkeiten dürften aber für alle gleich relevant sein:
Erstens: Achten Sie darauf, von wem die Softwarekomponenten kommen und in welchem Abstand sie erneuert werden.
Zweitens: Überwachen Sie genau, mit wem und wohin Ihre Maschinen kommunizieren und identifizieren Sie verdächte Datenströme.
Drittens: Definieren Sie die ‚Kronjuwelen‘ unter Ihren Daten – und versuchen Sie diese, vom restlichen System so gut es geht abzukoppeln.
Und last but not least: Auch wenn es lästig erscheint, bleiben Sie am Puls der Zeit. Die Entwicklung von Technologie und IT ist rasant. Verfolgen Sie diese Entwicklungen genau und hinterfragen Sie kritisch Ihre IT-Experten, wo Sie stehen.
Lesetipp: Weltweit haben 40 bis 50 Prozent der Unternehmen bisher keine ausreichenden Maßnahmen gegen Cyber-Attacken ergriffen, so eine Studie des Beratungsunternehmens PricewaterhouseCoopers (PwC).
Der neue Blogger-Relevanz-Index 2018