Mit deutlichen Worten wendet sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit 2014 an die Wirtschaft: „Die aktuelle Gefährdungslage für die IT bleibt hinsichtlich des zu verzeichnenden Angriffspotenzials kritisch. Nicht nur die Anzahl schwerer Sicherheitslücken in den meistverbreiteten IT-Systemen rangierten auf sehr hohem Niveau. Auch die Werkzeuge zur Ausnutzung dieser Verwundbarkeiten stehen einer immer größer werdenden Anzahl an Angreifern zur Verfügung, die diese aus der Anonymität des globalen Cyber-Raums für ihre Zwecke einzusetzen bereit sind.“
Hochofen außer Kontrolle
Dass die Gefahr nicht nur eine rein theoretische ist, belegt der Bericht mit Beispielen von Angriffen auf private Bürger, staatliche Stellen, Forschungseinrichtungen – und auch auf die Industrie. Einer der gefährlichsten Eingriffe ereignete sich in einem Stahlwerk in Deutschland. Die Angreifer verschafften sich zunächst Zugang zum Büronetzwerk des Betreibers und konnten von dort in die Produktionsnetze vordringen. Die Cyberkriminellen ließen einzelne Steuerungskomponenten und ganze Anlagen ausfallen. Zeitweise verloren die Betreiber die Kontrolle über den Hochofen. Dieser konnte nicht mehr geregelt heruntergefahren werden und wurde massiv beschädigt.
Auch die Angriffe im Juni 2014 mit Hilfe des Schadprogramms Havex listet das BSI neben einigen weiteren auf. Havex wurde Anbietern von Software für Industriesteuerungssysteme untergeschoben, so dass Kunden bei der Installation der Programme zugleich auch den Schädling in ihre Systeme brachten. Er sammelte Informationen über eingesetzte Hard- und Software. Mit diesen Kenntnissen sollten vermutlich tiefergehende Angriffe direkt auf industrielle Produktionsnetze vorbereitet werden. Doch zusammen mit dem Bundeskriminalamt konnte das BSI die betroffenen Unternehmen warnen und vor weiteren Schäden bewahren.
Industrie muss nachrüsten
Systeme zur Fertigungs- und Prozessautomatisierung, zusammengefasst unter dem Begriff Industrial Control Systems, werden im Rahmen der Entwicklung von Industrie 4.0 immer stärker vernetzt. Doch oft fehlt es in den bestehenden Infrastrukturen an den nötigen Sicherheitskonzepten. Das BSI geht davon aus, dass die Angriffe in diesem Bereich zunehmen werden. Es empfiehlt deshalb, dass Staat und Wirtschaft bei der Einrichtung von Computer Emergency Response Teams – also Notfall-Teams für IT-Probleme – auch die Sicherheit industrieller Steuerungssysteme berücksichtigen und dass für diesen Bereich entsprechende Sicherheitsprofile und technische Mindeststandards entwickelt werden.
Jedes zweite Unternehmen betroffen
Nach einer Sicherheitsstudie, die der IT-Branchenverband Bitkom durchführte, ist jedes zweite der 1074 befragten Unternehmen von digitalen Angriffen betroffen. Die Schäden summieren sich auf mehr als 51 Milliarden Euro pro Jahr. Die Automobilindustrie, die als führend beim Einsatz von IT-Infrastrukturen in der Produktion gilt, ist dabei am stärksten betroffen. Aber auch Chemie und Pharma, Energie- und Wasserversorger sowie der Maschinen- und Anlagenbau sind häufig Ziel der Cyberkriminellen. Denen geht es nur zum Teil darum, Anlagen und Abläufe zu sabotieren. Interessanter sind Angriffe im Rahmen von Wirtschaftsspionage, bei denen wichtige elektronische Dokumente gestohlen werden, um auf das Know-how der Unternehmen zuzugreifen.
Aus Sicht des Bitkom sind neben technischen Vorkehrungen wie Virenscannern und Firewalls vor allem auch organisatorische Maßnahmen zu treffen, um die Zugriffe durch unberechtigte Personen, beispielsweise ehemalige Mitarbeiter, zu unterbinden. Zudem sollten die Angestellten stärker durch Schulungen sensibilisiert werden, um Bedrohungen rechtzeitig zu erkennen und nicht auf Social Engineering hereinzufallen. Bei dieser Methode geht es darum, Mitarbeiter zu manipulieren, um an bestimmte Informationen zu gelangen, die dazu beitragen, in Unternehmensnetzwerke einzudringen.