Die Mail erschien völlig unverdächtig: „Recruitmentplan“ lautete der Betreff, angehängt war eine gleichnamige Excel-Datei. Selbst die Mitarbeiter der amerikanischen Sicherheitsfirma RSA gingen von einem authentischen Personalbeschaffungsplan aus und öffneten den Anhang. Die dadurch ausgeführte Schadsoftware ermöglichte Hackern Zugriff auf die RSA-Rechner. Der Schaden in Form von abgegriffenen vertraulichen Informationen summiert sich allein in diesem Fall auf geschätzte 60 Millionen US-Dollar. „Wir dürfen bei allen Chancen, die in der intensiveren Vernetzung der industriellen Wertschöpfungskette liegen, die Risiken aufgrund unzureichender Datensicherheit nicht unterschätzen“, sagt Dr. Robert Bauer, Vorstandsvorsitzender der Sick AG im süddeutschen Waldkirch. Schon die Berufsausbildung solle für das Thema sensibilisieren. Die Mahnung kommt nicht von ungefähr. Auf Basis einer weltweiten Befragung hat das IT-Unternehmen Kaspersky errechnet, dass der durchschnittliche wirtschaftliche Schaden durch eine einzelne erfolgreiche Cyberattacke 720.000 US-Dollar beträgt. Die Einfallstore sind vielfältig. So gehören zu den zehn größten Bedrohungen für Steuerungssysteme in industriellen Anlagen (ICS) laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mehr nur die klassischen IT-Security-Risiken wie der Einbruch in Kundendatenbanken. Heute kommen neue Angriffspunkte hinzu, da Steuerungen in Industrieanlagen immer häufiger mit dem Internet verbunden sind. Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), eine Unterabteilung des US-amerikanischen Department of Homeland Security, registriert einen sprunghaften Anstieg der Schwachstellen in solchen Steuerungssystemen: Von den derzeit rund 850 Sicherheitslücken waren bis 2011 erst 20 Prozent bekannt. Allein im vergangenen Jahr kamen 85 hinzu.
Dennoch wollen und können gerade deutsche Unternehmen auf die Chancen, die die vierte industrielle Revolution eröffnet, nicht verzichten. Für das Jahr 2025 prognostiziert das Fraunhofer-Institut für Arbeitswirtschaft und Organisation immerhin zusätzliches Wertschöpfungspotenzial von 78 Milliarden Euro. „Deshalb ist es wichtig, dass die Entwicklung der Konzepte für die Selbststeuerung der Produktion und Logistik Hand in Hand geht mit der Entwicklung der Datensicherheitskonzepte“, fordert Bauer. Das sieht auch die Bundesregierung so. „Bei Industrie-4.0-Kooperationen mit anderen Ländern werden wir immer wieder sorgfältig darauf achten müssen, dass weder Wissen kopiert wird noch sicherheitsrelevante Daten abfließen“, äußerte sich jüngst Bundesforschungsministerin Johanna Wanka. Folgerichtig bildet die IT-Sicherheit in der von der Bundesregierung formulierten Hightech-Strategie einen Schwerpunkt. Ein Aktionsfeld stellt der sichere Datenaustausch zwischen den Unternehmen dar. Dazu hat die Fraunhofer-Gesellschaft die vom Bundesministerium für Bildung und Forschung geförderte Initiative „Industrial Data Space“ ins Leben gerufen. Der ZVEI gehört zu den Gründungsmitgliedern. Zwölf Institute entwickeln das Konzept eines sicheren Datenraums, zu dem die Unternehmen aller Branchen und Größen Zugang haben und der die Eigentumsrechte an den Daten sichert. Bauer ist von diesem Ansatz überzeugt: „Das Alleinstellungsmerkmal an dem Modell ist, dass es von keinem Anbieter abhängt.“ Das Internet habe sich letztlich deshalb durchgesetzt, weil es nicht von einem oder wenigen Unternehmen betrieben werde.
Ein wichtiges Ziel ist es, Abwehrstrategien gegen Cyberangriffe auf Produktionsanlagen zu entwickeln, die auch von kleinen und mittleren Unternehmen umsetzbar sind. „Die sogenannte Container-Technologie bietet einen guten Ansatz“, glaubt der Sick-Chef. Dabei werden die für den Datenaustausch vorgesehenen Daten zu einem Paket zusammengefasst. Dieses wird vom Absender verschlüsselt. Die Empfänger können nur zugreifen, wenn sie den Schlüssel kennen, und beispielsweise nur innerhalb eines gewissen Zeitfensters. „Bei Unternehmen, deren Maschinen permanent mit der Außenwelt vernetzt sind, verlieren die auf zentrale Strukturen ausgerichteten Firewalls an Wirksamkeit“, so Bauer. Das Container-Konzept sei vollkommen skalierbar – für ihn eine der zentralen Voraussetzungen, um Industrie 4.0 in der Breite auszurollen. Er warnt allerdings auch: „Die Container-Technologie muss ein Verfahren sein, das von einer unabhängigen Stelle zertifiziert wird. Es darf nicht sein, dass große Marktteilnehmer faktisch einen Standard setzen können und sich so in der Praxis selbstzertifizieren.“
Als Zertifizierer bieten sich aus seiner Sicht private Unternehmen an, die ihrerseits – ähnlich wie die Technischen Überwachungsvereine hierzulande – amtlich überwacht werden. „Innerhalb Europas ist das kein Problem“, sagt Bauer. Mit Blick auf die USA erkennt er jedoch „eine hochpolitische Frage“. Denn der Europäische Gerichtshof hat im Oktober letzten Jahres den Safe-Harbor-Pakt der Europäischen Kommission mit den USA aus dem Jahr 2000 kassiert. Auf dessen Grundlage war es möglich, sensible Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Damit folgten die Richter den Argumenten der Datenschützer. Sie bezweifeln, dass der Datenschutz jenseits des Atlantiks europäischen Maßstäben genügt. „Wir brauchen aber eine vertragliche Grundlage auf hoher Ebene“, insistiert Bauer. „Sonst ist ein problemloser technischer Datenaustausch schlicht nicht möglich.“