Dunkle Mächte

Der Angriff kam weder über das Internet noch die Cloud oder durch unvorsichtiges Firmenpersonal. Der Feind schlich sich auf einem ganz normalen USB-Stick ein, den der Mitarbeiter einer externen Sicherheitsfirma in einen Computer des iranischen Atomkraftwerks Bushehr steckte. Der darauf gespeicherte Wurm Stuxnet verbreitete sich auf den Windows-PCs der Netzleitstelle und verstellte vermutlich die Drehzahl der Zentrifugen. Das iranische Atomprogramm war empfindlich gestört.

Die Cyberattacke, die nach heutigen Erkenntnissen zwischen Mai 2009 und Juni 2010 auf fünf Ziele im Iran erfolgte, veränderte schlagartig das Bedrohungsgefühl nicht nur von IT-Experten und großen Energiekonzernen, sondern auch von Betreibern aller Formen industrieller Anlagen. Drei Jahre später rüttelte der Hackerangriff auf die amerikanische Supermarktkette Target – 40 Millionen gestohlene Bankkartendaten, 250 Millionen Euro Schaden für das Unternehmen – auch den Einzelhandel wach. Und in diesem Jahr verschaffte der Cyber-Raub von einer Milliarde Dollar bei 100 Banken in 30 Ländern den Finanzdienstleistern ebenfalls eine Gänsehaut.

„Es gibt bestens organisierte Strukturen, die das Geschäft des ,cyber crime‘ hochprofessionell betreiben, eine Macht im Dunkeln, im Darknet, dem anonymen, nicht aufspürbaren Teil des Internets“, so Derk Fischer, PwC-Partner für Risk Assurance Solutions und Verantwortlicher für Informationssicherheit. Unternehmen egal welcher Größe und Branche können sich den Cyberangriffen kaum noch entziehen. Wollen sie mit Partnern ins Geschäft kommen, gerade mit Blick auf eine noch engere Vernetzung von Prozessen unter dem Schlagwort Industrie 4.0, müssen sie zeigen, dass sie alles Zumutbare getan haben, um sich abzusichern. Wollen sie eine Versicherung gegen Cyber-Risiken abschließen, müssen sie die Logik ihrer Sicherheitsarchitektur offenlegen. Und wollen sie die Kunden nicht verunsichern oder verlieren, müssen sie Rückrufaktionen oder teure Produkthaftungsklagen, wie sie aus Cyber-Angriffen resultieren können, unbedingt vermeiden.

Zusätzlich tritt jetzt der deutsche Gesetzgeber auf den Plan. Unternehmen bestimmter sensibler Branchen dürfen bald nicht mehr allein entscheiden, wie sie sich gegen Angriffe auf ihre Datennetze und informationstechnischen Systeme schützen, um einem Ausfall ihrer Anlagen, einer Fehlfunktion ihrer Produkte, einem Verlust von Daten oder auch nur einem Reputationsschaden vorzubeugen.

Unternehmen, die mit Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen befasst sind, werden in naher Zukunft wohl dem IT-Sicherheitsgesetz unterliegen. Das heißt, sie müssen sich umfassend schützen, und zwar gemäß dem aktuellen Stand der Technik. Außerdem darf das Management eventuelle Angriffe nicht mehr geheim halten, sondern muss sie melden.

„Das Management muss künftig alles infrage stellen, was es im IT-Bereich tut, und eine schlüssige, unternehmensübergreifende Strategie entwickeln.“

Derk Fischer, PwC-Experte für Datensicherheit

Die Deutschen haben, wie sie das gern tun, für diese Herausforderung ein langes Wort erfunden: Informationssicherheitsmanagementsystem. Das schüttelt sich nicht aus dem Ärmel. Denn dabei geht es nicht nur um Technik, sondern auch ganz viel um Menschen und ihre lieben Gewohnheiten. „Das Unternehmensmanagement muss künftig praktisch alles infrage stellen, was es im IT-Bereich tut, und eine schlüssige, unternehmensübergreifende Strategie entwickeln“, sagt Derk Fischer. Dabei gibt es einen ganzen Katalog großer Herausforderungen, die zu bedenken sind: Wo sind die sensiblen Stellen? Welche Prozesse und Bereiche sollen vorrangig geschützt werden? Um welche Daten, Systeme, Produkte, Prozesse, Patente handelt es sich genau? Welche Bedrohungsszenarien sind denkbar? Reichen die vorhandenen Schutzmaßnahmen aus? Wie hoch ist der potenzielle Schaden? Welche Investitionen in die Sicherheit lohnen sich vor diesem Hintergrund? Welche Sicherheitslücken kann das Unternehmen eben noch akzeptieren?

Gerade Mittelständler schätzen die Cyber-Gefahren und ihre Herkunft oftmals falsch ein, hat eine aktuelle Studie von PwC in Deutschland ans Licht gebracht. So fürchten sie vielleicht einen Angriff aus der Cloud, vernachlässigen aber die Schulung ihrer eigenen Mitarbeiter, die leicht einem geschickt getarnten und höchst individualisierten Cyberangriff zum Opfer fallen können und vertrauensselig virtuelle Türen öffnen, die besser verschlossen blieben.

Manchem Unternehmen ist vielleicht auch nicht klar, dass Sicherheit einen sehr kurzen Zeitwert hat und in regelmäßigen Abständen überprüft werden muss, man vielleicht sogar eine fortwährende Angriffserkennung braucht oder sogenannte „Honey Pots“ aufstellen sollte, also klebrige Fallen, an denen sich Angreifer aus dem Netz gütlich tun, wobei man sie in aller Ruhe beobachten kann. „Es kann nicht um hundertprozentige Sicherheit gehen, die gibt es nicht“, sagt PwC-Partner Fischer. Aber Unternehmen sollten die Latte für die Angreifer hochlegen und gut gewappnet sein. Tritt ein Schaden ein, sollte das nicht unbemerkt geschehen, und die Reaktion darauf sollte einem eingeübten Plan folgen.

Ausruhen auf den einmal ergriffenen Sicherheitsmaßnahmen kann man sich nicht, da sich die Angriffe ständig verändern. Außerdem dürfte das Thema Cyber-Security in der Zukunft noch anspruchsvoller werden. So hat sich seit den Enthüllungen von Edward Snowden die gefühlte Gefährdung in den Firmen weiter verstärkt. Nicht nur Kriminelle, skrupellose Wettbewerber oder verärgerte Exmitarbeiter sind jetzt auf ihrem Radar, sondern auch Regierungen und Geheimdienste. Die von PwC in den USA jährlich herausgegebene Studie „Global State of Information Security“ hält in ihrer neuesten Ausgabe fest, dass 59 Prozent der weltweit befragten Unternehmensführer besorgt sind wegen der Bedrohung durch staatliche Überwachung.

In eine völlig neue Dimension führt vor allem das Thema Industrie 4.0. Industrieanlagen nutzten bisher spezialisierte Prozessrechner ohne Verbindung in die Außenwelt. Die nun fällige Vernetzung wird aus Kostengründen oft mit normalen PCs und über das Internet organisiert, was ein offenes Einfallstor für Missbrauch ist, sagt Henning von Kielpinski, Leiter Business Development beim IT-Sicherheitsspezialisten ConSol in München. Werden zur Vernetzung der Fertigungsanlagen Bauteile bei Lieferanten eingekauft, kann man überdies nicht sicher sein, ob heimlich Hintertüren eingebaut seien, die einen externen Zugriff auf Anlagen und Daten erlaubten.

Wenn Fertigungsprozesse künftig wirklich so aussehen, dass von der Bestellung eines individuellen Produkts über alle Zulieferer, Fertigungsstätten und 3-D-Drucker bis hin zur Auslieferung alles automatisiert abläuft, wäre es fatal, wenn Hacker in diesen Prozess eingreifen könnten, warnt Kielpinski: „Stellen Sie sich vor, in einer Kühlschrankproduktion wird ein elektrisches Teil mit der falschen Volt-Zahl eingebaut. Dann haben Sie den Kunden gegrillt.“

Bildnachweis: Creatas Video/GettyImages (2), PwC (3)

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen