Noch heute erinnern sich die Mitarbeiter des Autoherstellers Chrysler mit Grausen an den letzten Sommer: 1,4 Millionen Fahrzeuge musste der Konzern im Juli 2015 zurück in die Werkstatt rufen. Grund: zwei Hackern war es gelungen, aus der Ferne wichtige Fahrfunktionen eines Jeeps zu manipulieren. Nun musste den Fahrzeugen Software-Updates aufgespielt werden.
Das ist ein Risiko in der vernetzen Welt. Wenn alles miteinander kommuniziert, stehen dem cleveren Übeltäter alle Türen offen. Und es ist ja kein Ende abzusehen: Sind derzeit 6,4 Milliarden Geräte und Maschinen per Internet miteinander verbunden, wird sich diese Zahl bis zum Jahr 2020 vermutlich auf fast 21 Milliarden mehr als verdreifachen. Deswegen gilt im privaten und gewerblichen Bereich oder in der Industrie: Das Thema Sicherheit beschäftigt jeden, der sich mit dem Netz und den neuen Chancen auseinandersetzt.
Hinter den Schlagworten Digitalisierung, Industrie 4.0 und Internet der Dinge stehen nicht nur Chancen, sondern auch Risiken, gerade für innovative Branchen wie den Maschinen- und Anlagenbau, die Chemie- und Pharmaindustrie oder die Elektrotechnik und den Fahrzeugbau. Dieses Risiko hat ganz konkrete Folgen: Solange die IT nicht sicher ist, scheuen viele Industriebetriebe den Gang zur digitalen Fertigung, hat der Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE) im vergangenen Jahr herausgefunden, als er die Mitglieder nach dem Stand ihrer Industrie 4.0-Projekte befragte.
»Erst 45 Prozent der Unternehmen verschlüsseln ihre Daten und 40 Prozent ihren E-Mail-Verkehr. «
„Mit der Digitalisierung der Produktion und der Vernetzung von Maschinen über das Internet entstehen neue Angriffsflächen“, bestätigt Bitkom-Präsidiumsmitglied Winfried Holz. „Die deutsche Industrie mit ihren zahlreichen Hidden Champions ist ein attraktives Angriffsziel von Cyberkriminellen und ausländischen Nachrichtendiensten.“ Auf rund 22,4 Milliarden Euro pro Jahr schätzt Holz den Schaden, der der deutschen Industrie entsteht – sei es durch die Wiederbeschaffung gestohlener Geräte, durch Umsatzverluste nach Patentverletzungen und Plagiaten, durch zusätzliche IT-Kosten oder so genannte weiche Kosten, zum Beispiel Imageverluste.
Wie aber kann man sich wirksam schützen gegen Attacken aus dem Netz? Unternehmen müssen mehr als nur die Sicherheitseinrichtungen ihrer IT aktuell halten, sind sich Experten sicher. Virenscanner, Firewalls, fest definierte Zugriffsberechtigungen und wirklich sichere Passworte sind höchs-tens Mindestgrundlage eines Sicherheitskonzepts. Außerdem sollten Unternehmen, wie auch Privatleute, ihre Software kontinuierlich aktualisieren. Die Updates liefern meist die neuesten Sicherheitseinstellungen mit und beseitigen so die größten Angriffspunkte für externe Manipulationen. Auch die Verschlüsselung von Daten und Mails sind Teil der IT-Sicherheit.
Doch rein präventive Maßnahmen reichen längst nicht mehr aus. Heute müssen intelligente Sicherungssysteme die klassischen Virenscanner und Firewalls ergänzen, um in der komplexen digitalen Welt überhaupt noch ein Mindestmaß an Sicherheit zu erzielen. Zudem ist Sicherheit auch eine Frage der Information im Unternehmen: Weil viele Angriffe auf die IT aus dem Unternehmen selber stammen, müssen die Mitarbeiter unterwiesen werden. Doch während sich ältere Mitarbeiter schon länger mit den Mühen von Passwörtern und Sicherheitsanforderungen abgefunden haben, machen sich jüngere Kollegen über die IT-Sicherheit weniger Gedanken. „Jüngere Mitarbeiter denken einfach nicht darüber nach, welche Auswirkungen die Wahl ihrer Werkzeuge auf Sicherheit und Datenschutz haben“, schreibt John Newton, CTO der offenen Business-Software-Plattform Alfresco, in einem Beitrag für das Onlinemagazin silicon.de. Gerade jüngere Mitarbeiter seien technisch versierter und suchten pragmatisch nach effizienten Lösungen für ihre tägliche Arbeit – und sei es durch den Einsatz ihrer eigenen ungeschützten Geräte auf Kosten der Sicherheit.
Doch schon bei grundlegenden Sicherheitseinstellungen sind viele Unternehmen in Deutschland überfordert. Nur 45 Prozent der Unternehmen verschlüsseln ihre Daten und 40 Prozent ihren E-Mail-Verkehr, hat der Bitkom-Verband herausgefunden. Nicht einmal ein Drittel investiert in eine sogenannte Data Leakage Prevention, also intelligente Sicherheitssysteme, die gegen den Datenabfluss von innen absichern. Und kaum ein Viertel der Unternehmen kann Attacken von außen überhaupt erkennen: Ihnen fehlen Intrusion Detection Systeme, die Datenströme in einer Organisation analysieren und verdächtige Aktivitäten melden. Und sollte ein Unternehmen einmal angegriffen worden sein, hat nur jedes zweite Industrieunternehmen einen Notfallplan erarbeitet, um rasch auf Datenlecks, digitale Wirtschaftsspionage oder Sabotage reagieren zu können. „Jedes Unternehmen braucht einen Notfallplan, um digitalen Angriffen schnell und angemessen begegnen zu können“, sagte Bitkom-Sicherheitsexperte Cornelius Kopke. Ein solcher Plan enthält neben wichtigen Ansprechpartnern auch Notfall-Übungen und Informationspflichten.
Nun will die öffentliche Hand beherzt eingreifen und den Standort durch mehr Sicherheit im Netz schützen: So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Bitkom-Verband die Allianz für Cyber-Sicherheit gegründet. Diese Initiative will aktuell relevante Informationen zu Gefährdungen im Cyber-Raum bereitstellen. Allgemeine Aufklärung und Information, insbesondere für mittelständische Unternehmen, bietet die im April 2016 gestartete „Initiative Wirtschaftsschutz“, eine Kooperation von Staat und Wirtschaft, an der unter anderem das Bundesamt für Verfassungsschutz, das Bundeskriminalamt, der Bundesnachrichtendienst, das Bundesamt für Sicherheit in der Informationstechnik und der Bundesverband der Deutschen Industrie (BDI) beteiligt sind. „Als Unternehmer zu glauben, Spionage, Sabotage und Kriminalität betrifft einen nicht, weil das Unternehmen zu klein, zu unbekannt oder zu unwichtig sei, ist ein gewaltiger Fehler“, so BDI-Präsident Ulrich Grillo.