In den überwiegenden Fällen erfolgt die Verbreitung von Schad-Software ungerichtet. Der Angreifer bemüht sich um maximale Verbreitung und nimmt mit, was sich durch die Ausnutzung bekannter Systemschwächen oder leichtsinniger Nutzer infizieren lässt.
In einigen Fällen folgt auf den Malware-Befall eine Analyse der Opfer und, falls es interessant genug ist, eine gezielte Bearbeitung. Das Ausspähen von sensiblen Unterlagen, Konstruktionsdaten und Passwörtern sind klassische Beispiele, da diese sich gut zu Geld machen lassen. Der Ingenieursverband VDI geht von jährlich gut 100 Milliarden Euro Schaden durch Wirtschaftsspionage in Deutschland aus. Ein Punkt, der auch beim NSA-Skandal permanent mitschwingt. Ebenso hat der sich verschärfende Wettbewerb immer mehr maßgeschneiderte Angriffe, sogenannte targeted attacks, zur Folge.
Für Experten ist diese Situation nicht neu, allerdings überrascht der immense Aufwand der Angreifer. Entsprechend wichtig ist es, diesen Bemühungen auch mit umfassenden IT-Sicherheits- und Compliance-Konzepten zu begegnen. Einzelmaßnahmen wie UTM-Appliances am Internetzugang oder ein paar Virenscanner auf den Arbeitsplätzen reichen heute nicht mehr aus. Natürlich müssen auch die Produktionssysteme geschützt werden, selbst wenn sie nicht direkt an den Netzwerken des Unternehmens hängen. So hat sich Stuxnet über USB-Sticks von Maschine zu Maschine verbreitet – in einer gründlich überwachten Uran-Anreicherungsanlage.
Die zunehmende Vernetzung in der Produktion erhöht die Risiken immer weiter. Eine zentrale Führung der Produktionssysteme über WLANs mag zwar komfortabel sein, ist aber aus IT-Sicht ein Albtraum. Auch Trendthemen wie die allgegenwärtige Cloud oder B.Y.O.D. bereiten Admins regelmäßig Kopfschmerzen. Einer der immer wieder erfolgreichen Angriffe erfolgt über das Erlangen von Passwörtern für Firmennetzwerke oder Online-Accounts. Mitarbeiter wollen sich keine komplexen Passwörter merken, kleben Notizzettel an die zu schützenden Systeme und verwenden auch die Passwörter Ihrer privaten Accounts. Nicht selten ist sogar eine dreiste Frage nach Zugangsdaten erfolgreich.
Genauso einfach und effizient wie der Angriff ist allerdings auch die Abhilfe. Systeme zur Zwei-Faktor-Authentifizierung ergänzen das Passwort des Nutzers durch den Besitz eines Hardware-Tokens oder durch Einmalpasswörter. Die meisten Schwachpunkte klassischer Nutzeranmeldungen sind somit Geschichte. Ein relativ kleiner Aufwand verbessert den Komfort und die Sicherheit. Beispielsweise bremsen Esets ressourcensparende Virenscanner sogar betagte Produktionsrechner kaum aus.
IT-Sicherheit ist ein zentraler Prozess im Unternehmen und der Produktion. Investitionen in geschulte Mitarbeiter und Unterstützung durch professionelle Lieferanten sind hier ganz sicher nachhaltig.