+49 (0) 421 9600-10

Im Gespräch mit Stefan Menge vom Bremer Security Forum

Kabel im Netzwerk
IT-Sicherheit bedeutet Schutz der eigenen Daten und Sicherheit vor Attacken © WFB/Stockphoto

Ein spektakulärer Fall ging im vergangenen Jahr durch das Netz: Eine kanadische Keksfabrik war Opfer einer Cyberattacke geworden. Das Unternehmen hatte die Gefahr unterschätzt. Die Ingenieure waren sich sicher, dass selbst im Falle eines erfolgreichen Angriffs kaum Schaden entstehen könne – eine gestoppte Produktion könne neu angefahren werden. Doch dann trat der Ernstfall ein. Hacker drangen ins System und brachten die SPS-Maschinensteuerung durcheinander. Folge: Die Produktion stoppte, Keksteig blieb in den Rohren und Maschinen stecken, wurde hart und konnte nicht mehr entfernt werden. Resultat: Die Rohre mussten ausgetauscht werden, der Schaden war nicht mehr abzuwenden.

Kein seltener Fall: In Deutschland wurde Ende 2014 ein Stahlwerk durch einen Cyberangriff stark beschädigt, Hochöfen konnten nicht mehr geregelt heruntergefahren werden. Angreifer gelangten über das Büronetz in das Unternehmen und konnten sich bis zur Produktionssteuerung vorarbeiten, wo sie Schaltungen manipulierten.

Einfallswege durch vernetzte Komponenten

Durch die zunehmende Digitalisierung wird es immer einfacher, von außen bis in das Herz eines produzierenden Unternehmens vorzudringen. „In der klassischen Automatisierungstechnik sind die einzelnen Ebenen der Produktionssteuerung, die Maschinensteuerung, das Produktionsleitsystem, ERP-Planungssysteme sowie die Büro-IT voneinander getrennt. Mit der Vernetzung durch Industrie 4.0-Prozesse lässt sich nun von überallher – auch vom Smartphone – auf das gesamte Produktionssystem bis zu den Sensoren zugreifen“, verdeutlicht Stefan Menge vom Freien Institut für IT-Sicherheit in Bremen das Problem. Das verspricht einerseits höhere Effizienz und größtmögliche Verfügbarkeit – öffnet aber auch neue Wege für Angreifer.

Stefan Menge
Stefan Menge © IFIT/Menge

Faktor Mensch einbeziehen

So auch für das Stahlwerk: Angreifer gelangten über klassische Phishing-Methoden in das Unternehmen – gefälschte E-Mails. Ein Klick genügte, um Zutritt zu gewähren. „Ist der Angreifer einmal im System, schützt keine Firewall mehr. Versierte Hacker können sich von einer Computersteuerung zur nächsten vorarbeiten und hinterlassen dabei kaum Spuren“, so Menge. Dabei werden Unternehmen ganz gezielt angegriffen, Schadsoftware passgenau geschrieben und Zielpersonen ausfindig gemacht, die besonders angreifbar sind. Social Engineering nennt sich das. Gegen sie hilft keine Firewall: Der liegen gelassene USB-Stick oder der falsche Haustechniker, der Zugang zum Serverraum möchte, sind nur einige Beispiele.

Mittelstand mit Nachholbedarf

Gerade mittelständische Unternehmen sind besonders häufig angreifbar. Denn deren Produktionsanlagen haben lange Lebensdauern, oftmals laufen sie zehn bis fünfzehn Jahre auf demselben Computersystem, das zuletzt hoffnungslos veraltet ist. Werden solche Systeme auch noch im Sinne von Industrie 4.0 fit gemacht - eng mit der restlichen Produktion vernetzt – potenzieren sich die Sicherheitslücken. „Es gibt heute im Netz Suchmaschinen, mit denen sich gezielt online zugängliche SPS-Maschinensteuerungen auffinden lassen“, verdeutlicht Menge die Gefahr. Zusätzlich gibt es kein ausreichendes Bewusstsein für das Gefahrenpotenzial. Experten der Produktions- und Automatisierungstechnik wissen häufig nicht genug über mögliche Einfallswege aus dem Internet, IT-Experten nicht genug über die besonderen Verfügbarkeitsbedürfnisse von Automatisierungsanlagen. Kein Wunder, dass IT-Sicherheit als größte Herausforderung bei der Umsetzung von Industrie 4.0 gesehen wird, so der Cyber Security Report 2015.

Imageverlust droht

Zudem ist das Thema häufig ein Tabu. „Niemand spricht offen darüber, wenn er Opfer einer Cyberattacke wurde“, erzählt Menge, es droht Imageverlust. Nicht zuletzt deshalb hat die Bundesregierung 2015 auch das IT-Sicherheitsgesetz auf den Weg gebracht, das kritische Infrastrukturen, wie Energie- oder Wasserversorger, zur Meldung von Cyberattacken verpflichtet. Aber auch innerhalb eines Unternehmens wird oftmals geschwiegen. „Risiken werden gerne verdrängt, einerseits aus der Mentalität ‚Bisher ist ja noch nichts passiert‘ heraus, andererseits, weil der richtige Zugang zum Thema fehlt“, so Menge.

Grafik IRMA
Zu einer sicheren IT-Infrastruktur gehört der planerische Überblick über alle ausgehenden und eingehenden Verbindungen © IFIT

Risiken abwägen, sichere Strategie finden

IT-Sicherheit sei deshalb häufig Aktionismus, so der Sicherheitsexperte. Werde eine Lücke bekannt oder liege ein Angriff vor, versuche man zu retten, was noch zu retten ist. Dabei setzt eine gute Sicherheitsstrategie auf den sinnvollen Umgang mit Risiken: Diese müssten im Unternehmen identifiziert, bewertet und entsprechend behandelt werden. Der erste Schritt sollte sein, sich zunächst einen genauen Überblick über alle Komponenten zu machen: Welche IT-Strukturen gibt es wo im Unternehmen? Wer greift auf welche Informationen zu? Gibt es ungesicherte Netzzugänge, alte und nicht mehr genutzte Benutzerkonten? In einem zweiten Schritt kann dann über die richtige Sicherheitslösung nachgedacht werden.

Bremer Security Forum zur Sicherheit von Automatisierungsanlagen

„Eines ist klar“, sagt Menge, „IT-Sicherheit ist immer eine Investition – sowohl finanziell als auch in Ressourcen. Und sie ist häufig nicht komfortabel“. Zwar mag es beispielsweise bequem sein, auch vom privaten Smartphone auf die Produktion zuzugreifen, sicherer ist jedoch die Installation von zwei getrennten Betriebssystemen oder die Verwendung von mehreren Geräten. Diese und weitere Tipps und Hinweise sind auch Thema der BremSec Foren zur IT-Sicherheit, die das Freie Instituts für IT-Sicherheit IFIT in regelmäßigen Abständen veranstaltet. Die Bremer Security Foren sind seit 2004 Kommunikationsplattform für Sicherheitsexperten und –Interessierte in Bremen und laden zum Austausch und zur Weiterbildung. Weitere Infos zum IFIT und zu den kommen Foren auf: http://ifitev.de/

Mehr Infos zur Cybersecurity in unserem Guide: Zwölf Schritte auf dem Weg zu mehr IT-Sicherheit

Weitere Artikel


Digital Leadership: Führung in der Digitalisierung
Digitalisierung / Industrie 4.0
18. Januar 2017

Digital Leadership: Führung in der Digitalisierung

Die Digitalisierung verändert unsere Arbeit. Hierarchien werden flacher – die Rolle der Führungskräfte wandelt sich. Wie wir Arbeit und Unternehmen in Zukunft organisieren, erläutern Dorothee Schäfer und Dr. Erika Voigt im Interview. Sie sagen: Menschen, nicht Technologien, sind der Schlüssel zur erfolgreichen Digitalisierung.

Mehr lesen...
Wie 3D-Druck aus Bremen die Produktionstechnologie revolutioniert
Digitalisierung / Industrie 4.0
11. Januar 2017

Wie 3D-Druck aus Bremen die Produktionstechnologie revolutioniert

Ob Lebensmittel, technische Bauteile oder Zahnprothesen – durch die 3D-Druck-Technik können die verschiedensten Dinge erstellt werden. Das Land Bremen gilt als Hochburg für 3D-Druck – sowohl in der Produktion als auch in der Forschung. Und das schon seit 30 Jahren.

Mehr lesen...
Berufsausbildung 4.0: Der Ausbildungsplatz in der digitalen Zukunft
Digitalisierung / Industrie 4.0
14. Dezember 2016

Berufsausbildung 4.0: Der Ausbildungsplatz in der digitalen Zukunft

In der Digitalisierung müssen wir kreativ sein und Empathie zeigen. Professor Sven Voelpel von der Jacobs University beschreibt im Interview, auf welche Kompetenzen wir sowohl in der Berufsausbildung als auch in Unternehmen und Schulen besonderen Wert legen müssen.

Mehr lesen...