Mit einem Rucken setzt sich der silbrig-orangefarbene Greifarm in Bewegung, hebt ein Metallteil in die Höhe und stellt es auf ein Laufband. Die Maschine wird bei Volkswagen in der Fahrzeugherstellung eingesetzt, ohne Roboter und Computer geht dort nichts mehr. Hunderte Male hat der Greifarm den Befehl korrekt ausgeführt. Plötzlich stockt er, fährt scheinbar planlos hin und her, bleibt schließlich stehen. Vergeblich versucht ein VW-Mitarbeiter, die Maschine wieder zum Laufen zu bringen. Doch was der Roboter tut, entscheidet nun ein Hacker. Er hat die Kontrolle übernommen.

Diesmal nur zur Demonstration. Denn der Hacker ist kein Verbrecher, sondern ein Mitarbeiter der Konzernsicherheit von Volkswagen. Auf einer Industriemesse führte er im Frühjahr 2018 vor, wie einfach digitale Attacken auf Produktionsanlagen sein können. Dazu reicht eine Software aus dem Internet. Kriminelle betreiben dort Plattformen, auf denen sie Informationen über Sicherheitslücken und Schadsoftware tauschen oder verkaufen. Der eigentliche Angriff läuft dann fast automatisch ab.

Für Online-Kriminelle sind gerade Mittelständler einfache Ziele

Der jüngst bekannt gewordene Hackerangriff auf Prominente und Politiker zeigt, wie leicht Kriminelle sensible Daten stehlen und manipulieren können. Im Internet soll ein 20-Jähriger zahlreiche private Informationen seiner Opfer veröffentlicht haben. Auch Unternehmen fürchten um ihre vertraulichen Dokumente, Ideen und Patente. In vielen Betrieben gibt es heute kaum noch Computer oder Maschinen, die nicht mit dem Internet verbunden sind.

Aus dem aktuellen Fall könne die Wirtschaft lernen, sagt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland. "Für Unternehmen ist ein fahrlässiges Verhalten im digitalen Raum, etwa von Mitarbeitern, sehr riskant. Da jeweils das schwächste Glied in der Kette zählt, sind über unvorsichtige Angestellte selbst hochgerüstete IT-Sicherheitsstrukturen überwindbar." Der Cyber-Sicherheitsrat will den IT-Schutz in Deutschland verbessern, Unternehmen, Bundesländer und Kommunen gehören zu den Mitgliedern. Für Cyberkriminelle und ausländische Nachrichtendienste seien gerade Mittelständler attraktiv.

Schon seit Langem ist die deutsche Industrie das Ziel von Hackern. Die Zahl der Angriffe steigt permanent, den Schaden hierzulande beziffert das Beratungsunternehmen Deloitte auf 50 Milliarden Euro pro Jahr. "Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele", sagt Peter Wirnsperger, Leiter der Abteilung Cyber Risk bei Deloitte. "Angreifer streben nach Informationen über Produkte und Geschäftsprozesse, um aus erbeuteten Informationen Profit zu schlagen."

Wenn solche Daten abfließen oder sogar veröffentlicht werden wie jüngst auf Twitter, dann müssen Betroffene möglichst schnell darauf reagieren können, sagt Wirnsperger. "Der aktuelle Fall zeigt, wie wichtig es für Unternehmen ist, Social-Media-Monitoring zu betreiben, also genau zu überwachen, wo welche sicherheitsrelevanten Informationen auftauchen, wo vielleicht sogar Ideen und Innovationen aus der Firma gehandelt werden. Das kann Auswirkungen auf den Ruf und den Bestand des Unternehmens haben und gehört daher zu den nötigen Sicherheitsmaßnahmen." Hier besteht bei vielen Mittelständlern durchaus Nachholbedarf.

Fast 70 Prozent aller Unternehmen und Institutionen in Deutschland sind nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle sei es den Angreifern auch gelungen, in die IT-Systeme ihrer Opfer einzudringen. Und jede zweite erfolgreiche Attacke habe zu Produktionsausfällen geführt.

So auch beim Maschinenbauer KraussMaffei. Das Unternehmen aus München wurde am 21. November von Hackern attackiert. Die bislang unbekannten Täter legten Rechner des Konzerns lahm, der 5.000 Menschen beschäftigt und weltweit zu den größten Anbietern von Maschinen zur Kunststoff- und Gummiherstellung zählt. Sie schleusten eine Schadsoftware ein, die Teile der Produktion lahmlegte – und forderten ein Lösegeld, um sie wieder freizugeben. KraussMaffei wandte sich an die Behörden und schweigt über die Höhe der Lösegeldforderung.

Das BSI hat viele ähnliche Fälle registriert. Allein Ende 2018 habe das Amt "eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten". Die meisten Attacken gehen auf Emotet zurück, eine Schadsoftware, die von organisierten Hackergruppen eingesetzt wird, die im Auftrag ausländischer Geheimdienste arbeiten sollen. "In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen", teilt das BSI mit.

KraussMaffei kann zum möglichen Schaden noch nichts sagen. Das Unternehmen teilt auf Anfrage lediglich mit, von einer Ransomware angegriffen worden zu sein. Dieser Softwaretyp verschlüsselt die Dateien auf attackierten Computern. Ohne Entschlüsselungscode kann darauf nicht mehr zugegriffen werden. KraussMaffei konnte mit einem Backup wichtige Computer wieder zum Laufen bringen. Dennoch habe das Unternehmen bis heute mit den Auswirkungen zu kämpfen. "Drei Viertel der betriebsrelevanten Systeme laufen mittlerweile wieder", sagt ein Sprecher. "Das ist keine triviale Geschichte, das war ein massiver Cyberangriff."

VW lässt die Datenströme in den Fabriken dauernd überwachen

Viele kleine und mittelgroße Unternehmen haben oft keine Notfallpläne, IT-Beauftragten und manchmal nicht einmal Backups. BSI und Deloitte berichten davon, dass gerade solche Firmen ihren eigenen Schutz als unzureichend beschreiben. Um das zu ändern, fördert die Bundesregierung ein Sicherheitsprojekt namens IUNO. Zum Netzwerk gehören die Technische Universität Darmstadt, verschiedene Fraunhofer-Institute, Mittelständler und Konzerne wie Siemens und VW. Gemeinsam forschen sie, um die IT-Sicherheit der Wirtschaft insgesamt zu verbessern. VW begegnet den Attacken mittlerweile mit einem virtuellen Security-Leitstand.

Dahinter verbirgt sich eine Software, die in Echtzeit alle Datenströme in der Produktion überwacht, analysiert und anzeigt. Auf ihren Bildschirmen sehen die Mitarbeiter der Konzernsicherheit, wenn Fehlkommandos im System auftauchen. Ein Alarm wird beispielsweise ausgelöst, wenn zwei Maschinen miteinander kommunizieren, die nie zuvor Daten ausgetauscht haben. Oder wenn ein Roboter plötzlich Befehle empfängt, die er zum Erledigen seiner Routinearbeit gar nicht benötigt. Im digitalen Leitstand sollen solche Anomalien automatisch erkannt und gemeldet werden. So fallen Eindringlinge im Unternehmensnetz schnell auf – im besten Fall, bevor sie Rechner und Anlagen manipulieren können.