Zu Risiken und Nebenwirkungen …

Michael Grupp, Journalist in Stuttgart

Datensicherheit ist inzwischen Ministersache: IUNO, das „Nationale Referenzprojekt zur IT-Sicherheit in Industrie 4.0“ analysiert die Risiken für Smart Factories und entwickelt Schutzmaßnahmen. Das Projekt ist ein zentraler Baustein des Forschungsrahmenprogramms der Bundesregierung zur IT-Sicherheit. Es wird mit insgesamt 180 Mio. Euro gefördert. Ein zentrales Anliegen dabei: der Schutz industrieller Architekturen. Tatsächlich haben viele Entscheider aus Industrie und Mittelstand Befürchtungen hinsichtlich der Informationssicherheit. Der VDE-Trendreport 2015 belegt, dass fehlende Sicherheit als größtes Hindernis für die Einführung von Industrie 4.0 in produzierenden Betrieben gesehen wird. Sieben von zehn Befragten waren dieser Meinung. Was ein IT-Angriff bewirken kann, ist spätestens seit „Stuxnet“ bekannt. Dieses Schadprogramm wurde erstmals im Juli 2010 entdeckt. Der Wurm nistete sich gezielt in Siemens-Industriecomputern ein, selbst wenn diese aktuellen Sicherheitsstandards entsprachen. Die meisten infizierten Rechner wurden im Iran beobachtet und so sind sich Marktbeobachter heute sicher, dass Stuxnet ein gezielter Angriff auf das iranische Atomprogramm war.

Symantec-Experten haben inzwischen belegt, dass Stuxnet über die Steuerung Simatic S7 heimlich die Frequenzumrichter der Anreicherungsanlage manipulierte. Der Eingriff sollte die sensiblen Zentrifugen durch Überbeanspruchung nach und nach beschädigen. Und in der Tat: Ab August 2009 nahm die Zahl der betriebsbereiten Zentrifugen in Iran deutlich ab, obwohl deren Gesamtzahl kontinuierlich stieg. Laut einem Bericht des Institute for Science and International Security (ISIS) hat Stuxnet bis zu tausend Zentrifugen zerstört. Es gibt aber auch jüngere Beispiele: 2014 wurde der Hochofen eines deutschen Stahlwerks manipuliert und ließ sich nicht mehr geregelt herunterfahren. Im selben Jahr wurde in Südkorea sogar ein Atomkraftwerk gehackt, Daten und Informationen entwendet.

Die Bedrohung beschränkt sich nicht auf Einzelfälle wie Shodan beweist. Mit dieser Suchmaschine lassen sich Geräte finden, die mit dem Internet verbunden sind – mittlerweile sind es beispielsweise mehr als 50 000 Industrie-Kontrollsysteme. Viele der aufgelisteten ISC/SCADA-Systeme weisen Konfigurationsschwächen auf, die professionelle Hacker ohne große Anstrengungen ausnutzen. Danach sind Schadcodes und Datenklau Tür und Tor geöffnet.

Welche Relevanz dieses Thema besitzt, dokumentiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit 2015. Dort stellt das BSI fest, dass das Sicherheitsniveau bei den Betreibern kritischer Infrastruktur uneinheitlich ist und von sehr gut aufgestellt bis zum „Nachholbedarf“ reicht. Aber nicht immer erfolgt der Angriff von außen: Manipulierte USB-Sticks gelten inzwischen als bedrohliches Einfalltor in ansonsten abgeschottete Systeme. Sie werden gezielt dem Außendienst geschenkt oder auf dem Firmenparkplatz „verloren“. Einmal verwendet, öffnet der darauf befindliche Virus eine Hintertür in der Firewall.

Gemäß einer Bitkom-Studie wurden 51 % aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Der Anteil der mittelständischen Unternehmen davon beträgt 61 %. Für diese Studie wurden Geschäftsführer und Sicherheitsverantwortliche von 1074 Unternehmen befragt – die bisher größte empirische Untersuchung des Themas.

Fast die Hälfte der Unternehmen verzeichnete regelmäßige IT-Angriffe, knapp 20 % sahen sich sogar wöchentlichen Cyber-Attacken ausgesetzt. Dabei gehen die Delikte zu 52 % auf das Konto von aktuellen und ehemaligen Mitarbeitern, 39 % kamen aus dem Umfeld des Unternehmens. Gerade der Mittelstand befürchtet, dass im Rahmen von Industrie 4.0-Konzepten Daten nicht sicher seien, Geschäftsgeheimnisse verloren gehen und Know-how zur Konkurrenz abwandert. Die Bedrohung ist real: Nach vorsichtigen Schätzungen von Bitkom beläuft sich der entstandene Schaden für die gesamte deutsche Wirtschaft auf rund 51 Mrd. Euro pro Jahr. Bei der Vorstellung der Bitkom-Studie meinte Präsident Prof. Dieter Kempf: „Digitale Angriffe sind eine reale Gefahr für Unternehmen. Viele Unternehmen schützen ihre materiellen und immateriellen Werte nicht ausreichend. Der Mittelstand muss beim Thema Sicherheit nachlegen.“ Die Situation wird durch die längere Nutzungsdauer der gefährdeten Anlagen erschwert: Während in der Bürowelt Lebenszyklen von zwei bis vier Jahren vorherrschen, besitzen Industrieanlagen eine deutlich längere Lebensdauer von bis zu 20 Jahren – mit entsprechend veralteten Sicherheitssystemen. Im Maschinen- und Anlagenbau existieren zum Beispiel für die Fernwartung keine standardisierten Lösungen, was insbesondere kleinen und mittleren Unternehmen zunehmend Probleme bereitet. Das wird sich mit zunehmender Digitalisierung verschärfen, wenn wachsende Datenmengen gesammelt und über Netzwerke ausgetauscht und ausgewertet werden.

Es gibt mehrere Wege zu mehr Sicherheit im Industrie 4.0-Umfeld: zum Beispiel die Einschaltung externer Spezialisten. Knapp die Hälfte der deutschen Industrie-Unternehmen arbeitet bei der Umsetzung digitaler Sicherheitsmaßnahmen mit externen Beratern – so eine weitere repräsentative Umfrage des Digitalverbands Bitkom unter 504 Unternehmen des produzierenden Gewerbes ab 10 Mitarbeitern. Bei einem knappen Viertel übernehmen sie die gesamte Verantwortung für die IT-Sicherheit. Die Services umfassen unter anderem Beratung, die Implementierung von Schutz-Software sowie die Wartung der IT-Sicherheitssysteme. Dazu kommen die Bewertung und der Test der eigenen Schutzmaßnahmen. Auch IT-Sicherheitsanwendungen per Cloud Computing liegen im Trend. Nach den Ergebnissen des „Cloud-Monitors 2016“ von Bitkom und KPMG nutzen 29 % der befragten Führungskräfte aus Unternehmen mit mehr als 20 Mitarbeitern Security-Dienste aus dem Netz. Eine sichere Bank: Das Vertrauen in die Sicherheit der Daten ist das wichtigste Kapital der Cloud-Provider. Entsprechend investieren die Anbieter in sichere Strukturen und IT-Architekturen.

Das Bundesamt für Sicherheit in der Informationstechnik BSI bietet Industrieunternehmen Hilfe und Werkzeuge: zum Beispiel das „ICS Security Kompendium“. Dieses Grundlagenwerk behandelt die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen. Das Kompendium ermöglicht sowohl IT- als auch ICS-Experten einen einfachen Zugang zum Thema Sicherheit in industriellen Steuerungsanlagen. Ergänzt wird das Kompendium durch das Software Tool Light and Right Security ICS (LARS ICS). Das Programm erleichtert gerade kleineren und mittleren Anlagenbetreibern den Einstieg in ein umfassendes IT-Sicherheitsmanagement. LARS ICS ermöglicht eine Selbsteinschätzung des aktuellen Stands der Cyber-Security und gibt Empfehlungen, welche Maßnahmen in welchen Bereichen als nächstes umgesetzt werden sollten.

Informationen auf dem Weg zur Digitalisierung: dieser fünfte Teil unserer Serie beleuchtet die Sicherheit im Industrie 4.0-Umfeld. In Ausgabe 25 untersuchen wir die Auswirkungen von Losgröße Eins auf zukünftige Produktionsstrukturen. Wenn Sie tiefer in die Materie einsteigen möchten, finden Sie in unserer Schwesterzeitschrift „Elektro Automation“ ergänzende Informationen.