Talk-Panel: Datensicherheit im internationalen Geschäft
Dass Maschinen sich selbstständig machen und ihren menschlichen „Gebietern“ nicht mehr gehorchen, klingt wie eine Mischung aus Horror-Streifen und Science-Fiction-Film. Doch soweit von der Realität entfernt ist ein solches Szenario nicht. „Wir stellen verstärkt fest, dass Angriffe aus dem Internet auch Industrieanlagen als Ziel haben“, sagt Prof. Dr. Marko Schuba, Direktor des Aachener Instituts für IT-Sicherheit in Industrial Control Systems (ISICS). Werden solche Anlagen infiziert, kann plötzlich die gesamte Produktion stillstehen. „Das ist bereits im großen Stil vorgekommen, und ich kenne auch mehrere Beispiele aus NRW“, so der Wissenschaftler. Steuercomputer regeln heutzutage die Arbeit von Maschinen. Sie öffnen oder schließen Ventile, werfen Motoren an oder stoppen sie, erhöhen oder verringern die Drehzahl, um nur einige wenige Beispiele zu nennen. „Wer auf diese Mechanismen Zugriff hat und Böses im Schilde führt, kann verheerende Schäden verursachen“, erklärt Schuba. Um sich das auszumalen, braucht es nicht viel Phantasie: In einem Kessel steigt der Druck, doch das Ventil bleibt zu, weil es einen entsprechenden Befehl bekommt. Irgendwann knallt es dann. Besonders perfide: „Die Angreifer können sogar dafür sorgen, dass die Kontroll-Anzeigen die richtigen Daten anzeigen“, erklärt der Fachmann aus Aachen. Die Arbeiter an der Maschine sind also völlig arglos. „Die vielzitierte Industrie 4.0 ist eine Riesenchance - aber sie ist eben auch mit Risiken verbunden.“
Mittelstand ist auch bedroht
Solche Fälle von Sabotage sind natürlich Extrembeispiele. Doch die Gefahr ist da, und sie wird nach wie vor unterschätzt. Um es salopp zu formulieren: Im Internet wird spioniert und geklaut, was das Zeug hält. Die Angreifer kommen häufig aus dem Ausland. Aufpassen muss man auch auf Geschäftsreisen. Smartphones oder Laptops sind ideale Angriffspunkte. Das Stemmeisen oder der Dietrich von gestern sind heute IT-Kenntnisse. Sie ermöglichen lohnende „Einbrüche“ ganz ohne Gewaltanwendung. Im Visier der Online-Kriminellen ist vor allem der Mittelstand. „Bei mir gibt´s doch gar nichts zu holen“ - dieser Satz ist längst ein Klassiker. Und er zeigt ein falsches und gefährliches Denken in Unternehmensleitungen. Denn Passwörter, Adressen, Korrespondenz und technische Produktdaten lassen sich weltweit zu Geld machen. Wer keine Schutzmechanismen ergreift und den Hackern somit auf digitalem Weg Tür und Tor öffnet, handelt fahrlässig. „Es geht schon längst nicht mehr darum, ob ein Unternehmen von Cyber-Attacken betroffen ist, sondern wann ein solcher Angriff erfolgreich ist“, betont Prof. Dr. Marko Schuba.
Moderne Kommunikationsmittel und -wege werden - im privaten wie im beruflichen Alltag - ganz selbstverständlich genutzt. Wir surfen im Internet, per Smartphone auch von unterwegs, tauschen Fotos aus und spielen gegeneinander auf weite Distanz Computerspiele. Vernetzung ist das Zauberwort - leider auch im Wortschatz der Kriminellen. „Wer einen Rechner infiziert hat, kann agieren, als säße er persönlich vor dem jeweiligen Monitor im Büro“, so der Forscher aus Aachen. Per Phishing-Mail kommen Profis leicht hinter die Firewall. Dafür müssen nicht zwingend dubiose Mails geöffnet werden. „Auch der Besuch von präparierten Seiten im Internet kann eine Schadsoftware auf dem Rechner zur Folge haben.“
Sicherheit kostet Geld
Was also ist zu tun? „Es gibt eine ganze Reihe von Schutzmaßnahmen, nicht nur technische, sondern auch organisatorische“, sagt der Experte. Am Anfang der langen Liste stehe die Erkenntnis, dass es eine Bedrohung gibt. Dann müssen Zeit und Ressourcen für dieses Thema bereitgestellt werden. „Sicherheit, die nichts kosten darf, ist keine Sicherheit“, sagt Prof. Dr. Marko Schuba. Schließlich müsse sich das Verhalten der gesamten Belegschaft ändern, und zwar von der Chefetage angefangen. „Der Kampf gegen digitale Angriffe muss so selbstverständlich werden wie der Arbeitsschutz. Was passiert, wenn eine Hand in ein rotierendes Teil einer Maschine gerät, kann sich jeder plastisch vorstellen. Aber auch unsichtbare Cyber-Attacken können dramatische Folgen haben.“
„Datensicherheit im internationalen Geschäft“ lautet der Titel eines Talk-Panels beim 10. IHK-Außenwirtschaftstag NRW am 20. September 2018 in Aachen. Teilnehmer sind Prof. Dr. Marko Schuba Institutsdirektor des ISICS – Institut für IT-Sicherheit in Industrial Control Systems, @-yet Industrial IT Security GmbH, Aachen, Henning Voß, Ministerium des Innern des Landes Nordrhein-Westfalen Abteilung Verfassungsschutz, Düsseldorf, Wolfgang Wiele, Geschäftsführer, KEB Automation KG, Barntrup. Die Moderation übernimmt Andreas Henkel, Geschäftsführer Fachbereich Vekerh, Innovation, Kommunikation und Außenwirtschaft der Industrie- und Handelskammer Lippe zu Detmold. Weitere Informationen und die Möglichkeit der Anmeldung finden Interessenten unter www.ihk-aussenwirtschaftstag-nrw.de.