Angriff 4.0: Die Cybergefahr für die Industrie

Knapp 70 Prozent der deutschen Unternehmen und Institutionen sind in den Jahren 2016 und 2017 ins Visier von Hackern geraten – jeder zweite Angriff war erfolgreich. Die Tendenz: steigend. Die Hacker werden raffinierter, Systeme immer vernetzter und dadurch angreifbarer.

Er war einzigartig, gefährlich und lange Zeit geheim: Stuxnet, der Computerwurm, der 2010 in die Geschichte einging als der erste bekanntgewordene virtuelle Kampfstoff. 2016 erlangte er noch größere Bekanntheit, als der US-Regisseur Alex Gibney dem Wurm einen Dokumentarfilm widmete. Stuxnet stellte Experten auf der ganzen Welt vor ein Rätsel, als das Schadprogramm Steuerleitsysteme von Siemens angriff.

Als Störungen im iranischen Atomprogramm bemerkt wurden – der Iran besaß die größte Anzahl der infizierten Computer –, lagen Vermutungen über das wahre Ziel des Angriffs nahe. Der Deutsche Ralph Langner half, den Code zu entschlüsseln. Über die Motivation hinter dem Angriff sagte er: „Man will nicht, dass der Iran eine Bombe baut. Der wichtigste Posten dort für die Entwicklung von Atomwaffen ist die Uran-Anreicherungs-Anlage in Natanz. Stört man hier die Echtzeit-Kontrollsysteme, kann man eine Menge Probleme verursachen.“ Stuxnet fand einen Weg in diese Systeme und sabotierte die Atomanlage. Wer dahinter steckte, kam offiziell nie heraus. Es kursierten Vermutungen über die Beteiligung von Programmierern aus Israel und den USA.

Dunkelziffer der Cyberopfer: unbekannt

Ein Fall, der viele Unternehmen wachrüttelte. Wie häufig Industrieanlagen tatsächlich ins Visier von Cyberangreifern geraten, ist in keiner Statistik verzeichnet. Im Juli 2015 trat in Deutschland ein neues IT-Sicherheitsgesetz in Kraft, das eine Meldepflicht von Angriffen auf kritische Infrastrukturen vorsieht. Der Status quo zwei Jahre später: 34 Meldungen sind eingegangen, 18 aus der Informationstechnik und Telekommunikation, elf aus dem Bereich Energie, drei bei Wasser und zwei im Sektor Ernährung – Dunkelziffer unbekannt. Und das Risiko wächst.

„Sicherheitsgerichtete Automatisierungslösungen in Industrieanlagen müssen nicht mehr nur eine sichere Notabschaltung, sondern auch effektiven Schutz vor Cyberangriffen bieten.“
Dr. Alexander Horch,
Vice President Research, Development & Product Management bei HIMA

Im Lagebericht zu IT-Sicherheit in Deutschland schreibt das Bundesamt für Sicherheit in der Informationstechnik: „Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern.“

Spionage und Sabotage als Gründe für einen Angriff

Sabotage aus wirtschaftlichen Gründen erfuhr auch das Wasserwerk in Springfield im US-Bundesstaat Illinois. Russische Hacker drangen im November 2011 in ein externes Kontrollsystem ein und manipulierten das Werk. Eine Wasserpumpe schaltete sich unkontrolliert ein und aus und brannte letztlich wegen Überlastung durch. Die Mitarbeiter hatten keine Chance einzugreifen. Hacker, die nicht über Erpressung an Geld gelangen wollen, werden häufig von Konkurrenten oder Staaten angeheuert, um dem Unternehmen Schaden zuzufügen. Ob das im Fall des Wasserwerks zutrifft, ist ungeklärt.

Ein weiterer Grund für Cyberangriffe: Industriespionage. So gab das US-Sicherheitsunternehmen McAfee bekannt, dass mehrere globale Öl-, Energie- und Petrochemie-Unternehmen Opfer von Hacker-Attacken wurden. Die Cyberangreifer kamen so an wertvolle Unternehmensunterlagen.

Unternehmen fürchten einen Imageschaden

Oft dringen wenige Informationen über die Motive und Folgen der Attacken an die Öffentlichkeit. So meldete beispielsweise der Luft- und Raumfahrtkonzern EADS der Bundesregierung einen schwerwiegenden Angriff, schwieg aber zu den genauen Hintergründen. Das liegt zum einen daran, dass Hacker immer raffinierter werden, hochkomplexe Tools nutzen und kaum Spuren hinterlassen. Zum anderen fürchten die gehackten Unternehmen einen Imageschaden. Wer macht schon gerne Geschäfte mit einer Firma, deren Systeme nicht sicher scheinen? Eine weltweite Studie unter Computernutzern ergab: 59 Prozent würden ihre Kundenbeziehungen zu einem Unternehmen aufkündigen, sollte es dort einen Fall von Datendiebstahl geben.

Die Angriffsmethoden müssen dabei nicht immer über Sicherheitslücken in der Software des Unternehmens erfolgen. Häufig nutzen Hacker recht subtile Möglichkeiten, um Schadsoftware in einem System zu platzieren. Mit „Social Engineering“ nutzen Hacker vor allem die menschliche Gutgläubigkeit aus, um in fremde Systeme einzudringen. Phishing-Mails oder USB-Sticks mit infizierten Dateien, sowie Nachrichten von vermeintlichen Kollegen in sozialen Netzwerken oder der Anruf eines unechten Service-Mitarbeiters: Die beste Firewall nützt nichts, wenn die Mitarbeiter im Unternehmen die IT-Sicherheit nicht verinnerlicht haben. Mittels einer manipulierten E-Mail an einen Mitarbeiter konnten sich Angreifer 2014 so wichtige Zugänge zum Netz eines deutschen Stahlwerks verschaffen. Steuerungskomponenten und ganze Anlagen fielen aus, ein Hochofen konnte nicht mehr heruntergefahren werden. Massive Schäden waren die Folgen. IT-Sicherheit beginnt im Kopf, denn die Gefahren steigen ständig.

Exkurs: Stuxnet

Der Computerwurm Stuxnet öffnete der Welt 2010 die Augen in Sachen Cyber-Attacken. Das Schadprogramm war so komplex und so gefährlich wie keines seiner Vorgänger. Stuxnet hackte sich in das iranische Atomprogramm und sabotierte die Anlagen. Dass es sich nicht um einen herkömmlichen Angriff handeln konnte, war dabei schnell klar. Der Entwicklungsaufwand von Stuxnet war immens, die Kosten werden von Experten auf Millionen Dollar geschätzt. Vermutlich stecken israelische und US-amerikanische Organisationen dahinter, die mit ihren Aktionen staatliche Interessen verfolgten. Jedoch kam man den Urhebern nie auf die Schliche.

In den folgenden Jahren häuften sich die Meldungen über Cyberattacken: Inzwischen gibt es kaum noch ein Unternehmen, das noch nie angegriffen wurde. Die Hacker wollen in der Regel entweder Geld erpressen oder Fabriken sabotieren – und gehen dabei immer raffinierter vor.

Stuxnet ist Geschichte, aber es gibt schon einen Nachfolger: Duqu. Die Gefahr für Industrieunternehmen ist keineswegs geringer geworden, sie wächst. Wer sich heute nicht mit IT-Sicherheit befasst, hat morgen vielleicht die wichtigsten Daten schon verloren. Oder etwas noch Wichtigeres.

„Die Aufrechterhaltung und kontinuierliche Weiterentwicklung der Security für Anlagenbetreiber stellt häufig eine Herausforderung dar. Es empfiehlt sich daher, erfahrene Safety- und Security-Experten mit ins Boot zu holen, um gemeinsam effektive Konzepte zu entwickeln und implementieren.“
Heiko Schween,
Security-Experte bei HIMA

Diese Schadprogramme haben Unternehmen bereits viel Geld gekostet:

  • Slammer erschien 2003, infizierte in kürzester Zeit 200.000 Rechner und verursachte einen Schaden von 1,2 Milliarden US-Dollar. Auch ein US-Kernkraftwerk war betroffen.
  • Code Red gelangte 2001 durch eine Sicherheitslücke in die Systeme von Microsoft und war kurz darauf auf 400.000 Rechnern zu finden. Sein ursprüngliches Ziel verfehlte er: das Weiße Haus.
  • Mydoom verlangsamte 2004 das Internet um 10 Prozent, als er zwei Millionen Rechner infizierte und so 38 Milliarden US-Dollar Schaden verursachte.
  • WannaCry setzte sich 2017 in 230.000 Computern in 150 Ländern fest. Unter anderem die Deutsche Bahn und britische Krankenhäuser waren davon betroffen.