Das größte Problem der deutschen Industrie steckt in einer Frage. Sie lautet: "Wie lange hält diese Maschine hier?" Der Ingenieur antwortet: "Mindestens zwanzig Jahre, eher länger". Der Programmierer sagt: "Bis zum nächsten Sicherheitsupdate in drei Monaten, vielleicht kürzer."

Deutschlands wirtschaftliche Stärke gründet auf seiner Industrie. Auto- und Maschinenbauer, Chemiker, Elektrotechniker und Metallverarbeiter geben Tausenden von Menschen Arbeit. Ihre Produkte stellen sie in Fabriken her, deren hochkomplexe Anlagen oft über Jahre oder sogar Jahrzehnte ohne Unterlass laufen und gleichbleibende Qualität abliefern. So war es bisher. Doch damit könnte schnell Schluss sein.

Die Industrie digitalisiert sich in rasender Geschwindigkeit. Maschinen lernen, miteinander zu kommunizieren – nicht nur innerhalb einer Fabrik, sondern über verschiedene Standorte und sogar über Grenzen hinweg. Roboter in der Produktion merken, wenn das Material zur Neige geht und funken eigenständig nach Nachschub. Oft wissen nur noch Computer, wo in den gigantischen Lagern das gesuchte Bauteil liegt. Längst ist von einer Revolution die Rede und von einem Schlagwort: Industrie 4.0. Es verspricht goldene Zeiten für mutige Unternehmer. Und für Kriminelle.

Denn noch nie war es so einfach, mit kriminellen Methoden bei vergleichsweise geringen Kosten und fast ohne Gefahr so viel Profit zu machen. So jedenfalls formuliert es ein Bericht von Intel Security, einem der führenden IT-Sicherheitsdienstleister. In die Systeme von Industrieunternehmen einzubrechen sei oft überraschend simpel, der Gewinn aus Erpressung und Wirtschaftsspionage gewaltig.

Ist das Panikmache einer Firma, die mit ihren Sicherheitsberatungen gutes Geld verdient? Oder doch nicht? Niemand weiß so genau, wie oft Fabriken von Hackern mit bösen Absichten angegriffen werden. Die Unternehmen erzählen es nicht, aus Angst vor dem Imageschaden. Manchmal merken sie es nicht einmal. Das Bundeskriminalamt schätzt, dass nicht einmal zehn Prozent aller Cyberattacken überhaupt bekannt werden. Der Maschinenbauerverband VDMA spricht von 30 Prozent seiner Mitgliedsunternehmen, die schon Vorfälle erlebt hätten. Zwar müssen deutsche Betriebe seit wenigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, wenn sie attackiert wurden. Doch es wird mindestens zwei Jahre dauern, bis aus diesen Meldungen ein halbwegs belastbares Lagebild entsteht.

In der IT-Sicherheitsbranche kursieren mittlerweile unzählige Geschichten über Hackerattacken. Allein Intel Security behauptet, von Hunderten Sicherheitsvorfällen berichten zu können. Eine dieser Geschichten handelt von dem Vorstand eines Großkonzerns, der während wichtiger Vertragsverhandlungen von der Gegenseite an die Wand gespielt wurde. Hacker hatten die Kommunikation des Unternehmens ausgespäht und die Gegenseite mit Insider-Informationen ausgestattet. Ein anderer Hackerangriff soll einen weltweit agierenden Ölkonzern getroffen haben. Der Chef der Firma soll hinter vorgehaltener Hand davon erzählt haben, dass das Unternehmen Hunderte von Millionen Dollar verliere, weil wichtige Daten über die Erschließung und Erforschung neuer Ölfelder gestohlen wurden.

Im Jahresbericht des BSI ist die Geschichte von einem deutschen Stahlwerk zu lesen, das einen Hochofen abschalten musste, weil Schadsoftware dessen Steuerungseinheit infiltriert und nachhaltig beschädigt hatte.