Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Dienstag, 23. Januar 2018

IT-Sicherheit

Industrie braucht Sicherheit

Von Regine Bönsch | 27. Oktober 2016 | Ausgabe 43

Die dunkle Seite des Internets rüstet auf – speziell gegen Unternehmen. In vernetzten Systemen und Industrie 4.0 steigt die Bedrohungslage.

x - it-sa (2)
Foto: Ilona Hörath

99,99 % Sicherheit kann die IT-Security-Branche, die letzte Woche in Nürnberg auf der it-sa ausstellte, garantieren, aber die fehlenden 0,01 % können ein Unternehmen ruinieren.

Wer sich in der kühlen Jahreszeit vor Schnupfen, Husten und Grippe schützen will, lässt sich impfen und trägt einen Schal um den Hals. Doch dann gibt es Zeitgenossen, die hoffen darauf, dass schon nichts passieren wird. Und wenn doch, lässt sich immer noch der wärmende Wollschal herumwickeln und die Pharmaindustrie bemühen. Ein ähnliches Prinzip liegt dem Willen zugrunde, in IT-Sicherheit zu investieren.

Ob Virusinfektionen, Onlinebetrügereien, Phishing-Wellen oder Erpressung durch Verschlüsselungstrojaner, sogenannte Ransomware – 45 % der Betroffenen haben, so ermittelte es eine aktuelle Studie des Branchenverbands Bitkom, infolge der Angriffe einen finanziellen Schaden erlitten. In dessen Folge mussten zum Beispiel Hard- und Software ersetzt und Arbeitsabläufe eingestellt werden oder die Angreifer führten illegale Transaktionen durch. Zunehmend geraten neben Computern auch Mobilgeräte ins Visier der Kriminellen.

Oft reagieren Unternehmen erst dann, wenn ein „Sicherheitsvorfall“ eingetreten ist. 56 % der Unternehmen gaben laut einer Umfrage unter Ausstellern der Messe it-sa (18. bis 20. 10.) an, dass die Reaktion auf einen Angriff der wichtigere Grund sei, in IT-Sicherheit zu investieren. Für den proaktiven Aufbau von Schutzmaßnahmen sprachen sich 44 % aus. Kein Wunder, dass Arno Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), fordert, dass die IT-Sicherheit „Teil des Risikomanagements eines Unternehmen“ sein müsse, und nicht allein Aufgabe des IT-Verantwortlichen.

Zwei von drei Unternehmen waren in den letzten zwei Jahren bereits Opfer von Cyberangriffen. Dabei wurden nicht nur Daten übers Netz gestohlen, sondern auch geklaute Smartphones und Notebooks als Datenlieferanten genutzt.

Schönbohm bringt die Bedrohungslage, die durch Cyberkriminalität entstanden ist, auf den Punkt: „Die Angriffe werden immer professioneller, es sind nicht mehr die Pizza-Kids.“ Wie verwundbar Unternehmen sind, zeigen zum Beispiel die erpresserischen Attacken auf Krankenhäuser im Frühjahr. „Wir erkennen immer mehr unmittelbare Geldflüsse durch Ransomware.“ Was Cyberkriminellen in die Hände spiele, seien, so Schönbohm, allein im Jahr 2015 rund 1100 „kritische Schwachstellen in den meistverbreiteten Softwareprodukten“ wie Windows, Flash Player oder Acrobat Reader.

Aber auch Gedankenlosigkeit. „Bei einem Werkzeugmaschinenbauer mussten Schrauben mit einem bestimmten Drehmomentschlüssel angezogen werden“, berichtet Hans-Peter Bauer, Vice President Central Europe von Intel Security, die ab April wieder unter dem Namen McAfee firmieren. „Für die Dokumentation wurde ein Schlüssel mit Bluetooth-Schnittstelle verwendet.“ Darüber, weiß Bauer, ließe sich leicht ins Firmennetz bis tief in die Finanzabteilung eindringen, Daten absaugen, Attacken starten.

Gezielte Angriffe ebben nicht ab. Solche wie die Dragonfly-Attacke, bei der Hacker Energieversorger in Europa und den USA im Visier hatten und über infizierte E-Mails und Webseiten Schadsoftware ins System schleusten. Das Schlimme in diesem Fall: „Die Lieferkette wurde kompromittiert, indem Websites von Fernwartungsdienstleistern angegriffen wurden“, erzählt Thomas Hemker, Sicherheitsstratege und Teil des CTO Office von Symantec.

Große Security-Unternehmen warnen auch vor veralteten Systemen, für die es keine Updates mehr gibt. Außerdem müssten Industriesteuerungen – PLC- und Scada-Systeme – immer auf aktuellem Stand gehalten werden. Hemker: „2014 gab es 35 bekannte Schwachstellen bei neun Herstellern für Industriesteuerungen und Scada-Systeme. 2015 waren es 135 bei 70 Herstellern.“

Kein Zweifel: Die dunkle Seite des Internets rüstet auf. „Pro Sekunde kommen vier neue Schädlinge hinzu“, berichtet Dirk Kollberg, leitender Sicherheitsforscher von Kaspersky. Auf jährlich 50 Mrd. € belaufe sich, so die Bitkom-Studie, der Gesamtschaden, der durch Cyberkriminalität angerichtet werde. „Zwei von drei Industrieunternehmen in Deutschland sind in den vergangenen zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden“, konstatierte Bitkom-Präsidiumsmitglied Winfried Holz zur it-sa. Betroffen sind hauptsächlich Maschinen- und Anlagenbauer, Chemie- und Pharmaunternehmen sowie Automobilbauer.

Speziell im Hinblick auf Industrie 4.0 sei die Situation ernst, weiß Schönbohm. Die Medaille hat zwei Seiten. Zwar biete sie den Unternehmen große Chancen. Doch je mehr die Internetvernetzung mit Lieferanten, Kunden und Dienstleistern in der Produktion voranschreite, desto gefährlicher werde es. „Die zunehmende Digitalisierung vergrößert die Angriffsfläche für Cyberkriminelle“, so Schönbohm. Ohne IT-Sicherheit werde es eine Digitalisierung nicht geben.

Grund genug, bereits im Referenzmodell (Rami) für Industrie 4.0 diverse Sicherheitsebenen vorzudenken. „Wichtig“, so ergänzt Symantec-Mann Hemker, „wäre ein sicheres Protokoll für den Datenaustausch.“ Aktuell müsse das noch über Verschlüsselung geschehen. Medienbrüche und damit geringere Automatisierungsgrade seien die Folge. Der Sicherheitsexperte wird nicht müde, Mindestanforderungen zu verlangen. Viele gingen davon aus, dass neue IT-Systeme sicher seien, dabei würden u.a. Webcams vom Discounter integriert, deren Webserver schon beim Kauf veraltet sind. „Das ist wie wenn ich ein Türschloss verkaufe und schon jetzt weiß, dass dafür ein Nachschlüssel existiert.“

 Kaspersky versucht Unternehmen die Sicherheitslage mit einen Spiel nahezubringen. Angriffe und Sicherheitsmaßnahmen sollen „erfahrbar“ werden. Es gelte, sagt Holger Suhl, Geschäftsführer DACH bei der Kaspersky Labs GmbH, „Entscheider an einen Tisch zu bringen, sich über die Bedrohungslage klar zu werden und darüber, wofür man das Geld ausgibt“. Und sein Kollege Kollberg hält noch einen einfachen Tipp parat: Ähnlich wie bei Piloten sollten Unternehmen ein Dokument vorhalten, in dem geregelt ist, wie im Schadensfall vorzugehen ist. „Es sollte aber weder in der Cloud noch auf dem Server liegen“, fügte er schmunzelnd hinzu.

Intel Security betont die sogenannte Threat-Intelligence und damit die Hintergründe der Bedrohung. Nur allzu oft, so Bauer, hätten Firmen eine Firewall vom Anbieter A, einen Virenschutz von B und eine Intrusion-Detection (System, das Eindringlinge erkennt) von C. „Optimaler Schutz wird nur erreicht, wenn alles zusammenarbeitet – und zwar über Hersteller-, Geräte- und Softwaregrenzen hinweg.“ Eine offene Plattform, zu der Intel Security auch Wettbewerber einlädt.

Die auf der it-sa ausstellenden Unternehmen stimmen indes mit Bitkom-Mann und Atos-CEO Holz überein: „Grundsätzlich sollte die Sicherheit bereits während der Produktentwicklung berücksichtigt werden.“ Das Stichwort heißt „Security by Design“. Je mehr Sicherheit bereits in den Basistechnologien wie der fünften Mobilfunkgeration integriert ist, desto besser.

Noch müssen sich alle Anbieter auf der Nürnberger Messe it-sa nämlich eines eingestehen: 99,9 % Sicherheit seien erreichbar, aber die restlichen 0,1 % können ein Unternehmen ruinieren.

stellenangebote

mehr