Der Branchenverband Bitkom stellt deutschen Unternehmen in Sachen IT-Sicherheit ein schlechtes Zeugnis aus. Dabei besteht dringender Handlungsbedarf: Nach eher konservativen Schätzungen des Verbandes beläuft sich der entstandene Schaden auf rund 51 Mrd. Euro pro Jahr. Fast dieHälfte dieser Summe (23 Mrd. Euro) entsteht durch Umsatzeinbußen auf Grund von Plagiaten. Es folgen Patentrechtsverletzungen und Umsatzverluste durch den Verlust von Wettbewerbsvorteilen. Ein weiterer großer Posten sind Kosten durch den Diebstahl von ITK-Geräten sowie Ausgaben, die durch den Ausfall von IT-Systemen oder durch Störungen des Betriebsablaufes entstehen. Und selbst die Aufwendungen für Rechtsstreitigkeiten rechnet Bitkom vor: Knapp sechs Milliarden Euro pro Jahr gaben Unternehmen im Jahr 2015 dafür aus.
„Digitale Angriffe sind eine reale Gefahr für Unternehmen. Viele schützen ihre materiellen und immateriellen Werte nicht ausreichend. Gerade der Mittelstand muss beim Thema Sicherheit nachlegen,“ so der vormalige Bitkom-Präsident Prof. Dieter Kempf. Mit 61 % sind mittelständische Unternehmen am stärksten von Spionage- oder Sabotageakten betroffen. Dabei erfolgen digitale Angriffe zunehmend nicht auf die Rechner der Verwaltung oder des Managements, sondern konzentriert sich auf die Produktionsebene.
Die fortschreitende Digitalisierung integriert inzwischen zunehmend auch Maschinen und Sensoren – und hier haben es Cyberspione besonders leicht. Während in der Bürowelt Rechner und Server im Schnitt zwei bis vier Jahren genutzt werden, weisen Industrieanlagen eine deutlich längere Lebensdauer auf – mit entsprechend veralteten Sicherheitssystemen. Beispielsweise existieren im Maschinen- und Anlagenbau für die Fernwartung keine standardisierten Lösungen, was insbesondere kleinen und mittleren Unternehmen zunehmend Sicherheitsprobleme bereitet, da sie auf die vorgegebenen Sicherheitsarchitekturen angewiesen sind.
Vorrangige Angriffsziele sind laut dem Bitkom die IT-Systeme und die Kommunikations-Infrastruktur in den Unternehmen (34 %). In rund einem Fünftel aller Fälle hatten es die Angreifer auf die Bereiche Lager und Logistik abgesehen. Es folgen der Einkauf (18 %), die Produktion (15 %) sowie die Geschäftsleitung (14 %). In 9 % der Unternehmen wurden Forschungs- und Entwicklungsabteilungen ausspioniert. Diese Zahl steigt mit der Unternehmensgröße und damit mit dem potenziellen Wert der anvisierten Daten: In großen Unternehmen ab 500 Mitarbeitern war fast ein Drittel der F&E-Abteilungen betroffen.
Sabotage, Diebstahl und Erpressung
Fakt ist: Die zunehmende Digitalisierung bietet Cyber-Piraten neue Angriffsflächen, um Informationen auszuspähen, Geschäftsprozesse zu sabotieren oder sich auf Kosten Dritter kriminell zu bereichern. Dass dabei auch bislang als sicher geltende Verfahren in Betracht kommen, zeigten die Mitte Oktober 2017 bekannt gewordenen Sicherheitslücken im Verschlüsselungsprotokoll WPA2. Mit diesem Protokoll werden WLAN-Hotspots abgesichert. Das ist insofern bedeutsam, als es dabei um einen grundlegenden Fehler im System geht – es sind nicht nur einzelne Hersteller oder Nutzer gefährdet, sondern potenziell alle WLAN-Netze. Inzwischen wurde diese Lücke von den Herstellern per Software-Update geschlossen. Gefährdet bleiben allerdings nach wie vor ältere Betriebssysteme, für die es keine Updates mehr gibt.
Zu welchen Auswirkungen das führen kann, zeigte ein weiterer Cyberangriff Mitte Mai. Dabei hat die Schadsoftware Wanna Cryptor die Daten auf den infizierten Rechnern verschlüsselt. Nach Zahlung einer bestimmten Summe Bitcoins sollten die Rechner dann angeblich wieder freigeschaltet werden. Betroffen waren Windows-Computer, die nicht das neueste Sicherheits-Patch aufgespielt hatten. In Folge fielen in Deutschland die Anzeigen der Deutschen Bahn aus, in Großbritannien mussten Kliniken schließen, in Spanien nahmen die Mitarbeiter des Kommunikationskonzerns Telefónica Rechner vom Netz. Gelohnt hat sich die Aktion für die Angreifer nicht. Da die Zahlung über Bitcoins erfolgen sollte, sind die tatsächlich gezahlten Beträge bekannt: Es handelt sich um knapp 100 000 Euro. Dem steht eine nicht bekannte Summe für die Folgeschäden gegenüber – sie ist aber mit Sicherheit um ein Vielfaches höher.
Diese und andere Bedrohungen zeigen Folgen und verlangsamen den Weg zu Industrie 4.0. Zu diesem Schluss kommt die Umfrage „IT-Sicherheit im Rahmen der Digitalisierung“; 2016 erstellt von der Bundesdruckerei in Zusammenarbeit mit Bitkom. Demnach sind Digitalisierung und Sicherheit inzwischen Gegenpole auf dem Weg zur Smart Factory. Laut dieser Umfrage sind drei von vier Unternehmen nicht bereit, die Digitalisierung auf Kosten der Sicherheit weiter voranzutreiben. „Safety first“ gilt in vielen Unternehmen als Maxime für die weitere Digitalisierung. Immerhin sieht sich laut Bundesdruckerei fast jedes zweite Unternehmen (48 %) durch den Einsatz moderner IT-Sicherheitslösungen gewappnet für den Ausbau von Industrie 4.0.
Der Blick nach außen richtet sich indes nicht immer auf die wahre Gefahr. Denn die größte Bedrohung geht nicht von kriminellen Hackern in fernen Ländern aus, sondern kommt in der Mehrzahl aller Fälle (52 %, Quelle Bitkom) aus dem eigenen Umfeld. Damit sind die eigenen Mitarbeiter sowohl die wichtigste Ressource als auch das größte Risiko für die IT-Sicherheit von Unternehmen. Die zweite Tätergruppe stammt mit
39 % aus dem weiteren unternehmerischen Umfeld: Wettbewerber, Lieferanten, Dienstleister und Kunden. Wie die Mitarbeiter sind diese Personengruppen eng mit den Unternehmen verbunden und verfügen über Insiderwissen, das kriminelle Handlungen erleichtert. In 17 % aller Fälle handelt es sich um Hobby-Hacker und „nur“ 11 % der Hackerangriffe rekrutieren sich aus organisierter Bandenkriminalität.
Unsicherheit unterwegs
Zunehmende Sicherheitsprobleme bereiten zudem die voranschreitende Verschmelzung von Arbeit und Freizeit. Mitarbeiter sollen und wollen flexibel arbeiten, eine Überall-Erreichbarkeit wird von vielen Unternehmen erwartet. In Folge werden geschäftliche E-Mails auf privaten Geräten bearbeitet, das eigene Handy benutzt und das Laptop mit in den Urlaub genommen. Laut Bitkom sind fast die Hälfte der deutschen Berufstätigen auch im Urlaub für ihren Arbeitgeber erreichbar – mit gravierenden Folgen für die IT-Sicherheit. Denn im WLAN am Urlaubsort oder im Tagungshotel sind die eigenen Daten längst nicht so geschützt wie im firmeneigenen Netz.
„Oftmals sind eigene oder ehemalige Mitarbeiter das Einfallstor. Dies kann aus Unvorsichtigkeit, aber auch aus Mutwilligkeit passieren“, sagt dazu Marc Bachmann, Bereichsleiter Öffentliche Sicherheit und Verteidigung beim Bitkom. Das Angriffsspektrum reicht von Phishing-Mails über zu schwache Passwörter bis zu vermeintlichen Anrufen des IT-Supports. Oft geben die Angreifer Referenz-Telefonnummern an, die zur Bestätigung angerufen werden sollen. Es antwortet dann natürlich ein Komplize. Eine weitere Masche sind scheinbar verlorene USB-Sticks auf dem Firmenparkplatz oder im Sekretariat, die von Kollegen gefunden und benutzt werden. Schon das kann die Installation eines Trojaners innerhalb der schützenden Firewall auslösen.
Ein neue, aber bereits mit hohen Schäden verbundene Betrugsmasche nennt sich CEO-Fraud. Dabei gehen authentisch aussehende E-Mails bei den entsprechenden Sachbearbeitern in der Buchhaltung ein. „Wir bereiten gerade eine geheime Übernahme vor und aufgrund Ihrer Diskretion und Zuverlässigkeit übertragen wir Ihnen die Abwicklung des Kaufpreises“, schmeichelt darin ein angeblicher Geschäftsführer dem Mitarbeiter. Von Rückfragen möge man wegen der Geheimhaltung absehen, die Kontonummer lautet… Klingt utopisch? Hat aber dem Autozulieferer Leoni 2016 einen Schaden von 40 Mio. Euro gekostet – und das ist kein Einzelfall. Allein die Staatsanwaltschaft Köln ermittelt mit ihrer Zentral- und Ansprechstelle Cybercrime (ZAC) derzeit in 158 Verfahren, bei denen Schäden in Höhe von 56 Mio. Euro entstanden. Hätten nicht etliche Transaktionen durch die Banken gestoppt werden können, hätte sich die Schadenssumme verdreifacht.
Abwehr gegen Piraten
Die Lage wird dadurch verschärft, dass sich manche Mitarbeiter aus Angst vor möglichen Konsequenzen mit der Meldung von Cybersicherheitsvorfällen zurückhalten – laut einer Kaspersky-Studie versuchen dies 40 % der Betroffenen. Die Folgen sind gravierend, denn vertuschte Sicherheitslücken stehen solange offen, bis sie dann doch bekannt werden. Deshalb sollten Unternehmen nicht mit Konsequenzen drohen, sondern die Aufmerksamkeit schärfen und auf Teamgeist setzen. „Cybersicherheit ist nicht nur eine Frage der Technologie, sondern auch eine Frage der Unternehmenskultur“, so Slava Borilin, Security Education Program Manager bei Kaspersky Lab. „Wenn Mitarbeiter Vorfälle vertuschen, hat das gute Gründe: zu strenge und unklare Richtlinien, zu viel Druck oder die Suche nach Schuldigen. Das alles bringt Mitarbeiter dazu, aus Angst die Wahrheit zu vertuschen. Bessere Ergebnisse bringen eine positive Kultur der Cybersicherheit, die auf Awareness-Bildung und Informationsfluss setzt und von der Unternehmensleitung vorgelebt wird“.
Politische Prioritäten
Die Sicherheit im Industrie 4.0-Umfeld besitzt inzwischen politische Relevanz. Momentan wird in der Bundesregierung gestritten, wie IT-Sicherheitslücken zukünftig behandelt werden sollen. Der Bundesnachrichtendienst möchte sie für eigene Ausspähaktionen nutzen, das Auswärtige Amt spricht sich dagegen für eine Ächtung aus. Nur eines wissen wir mit Sicherheit: Hackerangriffe werden zunehmen, die Abwehr wird Zeit und Ressourcen kosten.