Das größte Problem der deutschen Industrie steckt in einer Frage. Sie lautet: "Wie lange hält diese Maschine hier?" Der Ingenieur antwortet: "Mindestens zwanzig Jahre, eher länger". Der Programmierer sagt: "Bis zum nächsten Sicherheitsupdate in drei Monaten, vielleicht kürzer."

Deutschlands wirtschaftliche Stärke gründet auf seiner Industrie. Auto- und Maschinenbauer, Chemiker, Elektrotechniker und Metallverarbeiter geben Tausenden von Menschen Arbeit. Ihre Produkte stellen sie in Fabriken her, deren hochkomplexe Anlagen oft über Jahre oder sogar Jahrzehnte ohne Unterlass laufen und gleichbleibende Qualität abliefern. So war es bisher. Doch damit könnte schnell Schluss sein.

Die Industrie digitalisiert sich in rasender Geschwindigkeit. Maschinen lernen, miteinander zu kommunizieren – nicht nur innerhalb einer Fabrik, sondern über verschiedene Standorte und sogar über Grenzen hinweg. Roboter in der Produktion merken, wenn das Material zur Neige geht und funken eigenständig nach Nachschub. Oft wissen nur noch Computer, wo in den gigantischen Lagern das gesuchte Bauteil liegt. Längst ist von einer Revolution die Rede und von einem Schlagwort: Industrie 4.0. Es verspricht goldene Zeiten für mutige Unternehmer. Und für Kriminelle.

Denn noch nie war es so einfach, mit kriminellen Methoden bei vergleichsweise geringen Kosten und fast ohne Gefahr so viel Profit zu machen. So jedenfalls formuliert es ein Bericht von Intel Security, einem der führenden IT-Sicherheitsdienstleister. In die Systeme von Industrieunternehmen einzubrechen sei oft überraschend simpel, der Gewinn aus Erpressung und Wirtschaftsspionage gewaltig.

Ist das Panikmache einer Firma, die mit ihren Sicherheitsberatungen gutes Geld verdient? Oder doch nicht? Niemand weiß so genau, wie oft Fabriken von Hackern mit bösen Absichten angegriffen werden. Die Unternehmen erzählen es nicht, aus Angst vor dem Imageschaden. Manchmal merken sie es nicht einmal. Das Bundeskriminalamt schätzt, dass nicht einmal zehn Prozent aller Cyberattacken überhaupt bekannt werden. Der Maschinenbauerverband VDMA spricht von 30 Prozent seiner Mitgliedsunternehmen, die schon Vorfälle erlebt hätten. Zwar müssen deutsche Betriebe seit wenigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, wenn sie attackiert wurden. Doch es wird mindestens zwei Jahre dauern, bis aus diesen Meldungen ein halbwegs belastbares Lagebild entsteht.

In der IT-Sicherheitsbranche kursieren mittlerweile unzählige Geschichten über Hackerattacken. Allein Intel Security behauptet, von Hunderten Sicherheitsvorfällen berichten zu können. Eine dieser Geschichten handelt von dem Vorstand eines Großkonzerns, der während wichtiger Vertragsverhandlungen von der Gegenseite an die Wand gespielt wurde. Hacker hatten die Kommunikation des Unternehmens ausgespäht und die Gegenseite mit Insider-Informationen ausgestattet. Ein anderer Hackerangriff soll einen weltweit agierenden Ölkonzern getroffen haben. Der Chef der Firma soll hinter vorgehaltener Hand davon erzählt haben, dass das Unternehmen Hunderte von Millionen Dollar verliere, weil wichtige Daten über die Erschließung und Erforschung neuer Ölfelder gestohlen wurden.

Im Jahresbericht des BSI ist die Geschichte von einem deutschen Stahlwerk zu lesen, das einen Hochofen abschalten musste, weil Schadsoftware dessen Steuerungseinheit infiltriert und nachhaltig beschädigt hatte.

Die Hälfte aller Unternehmen wurde schon angegriffen

Und in Großbritannien ging ein Softwarehersteller bankrott, weil Hacker sein Forum kompromittiert hatten, in dem sich Entwickler von Kunden Hilfe holen konnten. Die Hacker hatten wahllos Daten und Maschineneinstellungen gelöscht, nachdem der Softwarehersteller nicht auf ihre Lösegeldforderung eingegangen war.

Sind das nun alles Einzelfälle, oder zeichnet sich eine gefährliche Entwicklung ab? Michael Waidner arbeitet am Fraunhoferinstitut für Sichere Informationstechnologie (SIT) in Darmstadt. Es gilt als eine der führenden Forschungseinrichtungen der Welt, wenn es um IT-Sicherheit geht. Waidner schätzt, dass mindestens die Hälfte aller Industrieunternehmen – vor allem mittelständische Firmen  – schon einmal Opfer digitaler Industriespionage wurde. "Große Konzerne haben eine hohe Marktmacht und können ihre Sicherheitsrichtlinien bei ihren Zulieferern durchsetzen", sagt Waidner, "das schützt sie etwas mehr". Mittelständische Betriebe, unter ihnen viele Spezialisten und oft Weltmarktführer ihres Fachs, arbeiteten hingegen oft für viele verschiedene Kunden und müssten häufig sehr unterschiedliche Standards bedienen. Da seien Fehler programmiert.

Erpressung, Spionage, Sabotage

Erpressung, Spionage, Sabotage. Diese drei Tatmotive hat Waidner beobachtet. Die Täter drohen damit, Anlagen zu beschädigen oder Daten zu zerstören und verlangen Lösegeld. Sie brechen in Datenbanken ein und stehlen geheime Verträge, Forschungsergebnisse, Patente oder Designentwürfe, manchmal im Auftrag, manchmal um sie an den Meistbietenden zu verkaufen. Gerne nehmen sie auch unveröffentlichte Geschäftsberichte, mit denen sich die Finanzmärkte manipulieren lassen. Sie dringen in Anlagen ein und verändern die Konfigurationen von Maschinen oder die Zusammensetzung von Rezepturen, um die Qualität des jeweiligen Produkts herabzusetzen. Sie platzieren Schadsoftware in elektronischen Bauteilen, mit der sie dann wiederum die Kunden ausspähen oder schädigen können, die diese Teile kaufen.

Beliebtestes Ziel solcher Angriffe ist die Fertigungsindustrie, hat der amerikanische Telekommunikationskonzern Verizon ermittelt. Rund 60 Prozent aller Spionageversuche richten sich gegen Firmen dieser Branche. Und sie nehmen massiv zu. Im vergangenen Jahr hat sich die Zahl der Angriffe auf solche Betriebe im Vergleich zu 2013 verdreifacht.

Deutsche Autos gelten als die sichersten der Welt, deutsche Maschinen als besonders zuverlässig. Wie kann es da sein, dass ausgerechnet die Industrie so anfällig ist für digitale Attacken? Bei Siemens, dem größten deutschen Elektronikkonzern, beschäftigt man sich schon seit zwanzig Jahren mit IT-Sicherheit. Heute leitet Rolf Reinema bei Siemens Corporate Technology das Technologiefeld IT-Security. Also: Herr Reinema, was ist da los?

Uralte Betriebssysteme

"Die zunehmende Digitalisierung führt dazu, dass Systeme, die früher abgekapselt waren, miteinander vernetzt und nach außen geöffnet werden. So werden plötzlich Systeme zugänglich, die die Produktion über Jahre oder sogar Jahrzehnte hin sicher steuern, die aus Sicht der IT-Sicherheit aber manchmal hoffnungslos veraltet sind."

Haben die Unternehmen also die Entwicklung verschlafen? "Überhaupt nicht. Ein Kraftwerk, das konstant Energie produziert, oder eine Anlage, die ein bestimmtes Bauteil, eine Komponente fertigt, läuft oft viele Jahre lang. Die Ingenieure, die sie bauen, haben nur ein Ziel: Die Sache muss funktionieren, ohne Unterbrechung, möglichst fehlerfrei. Wenn dieses Ziel einmal erreicht ist, verändern sie so wenig wie es geht, um keine neuen Fehler zu produzieren."

Aber worin liegt dann das Problem? "In den unterschiedlich schnellen Entwicklungszyklen. Ein Beispiel: Sehr viele große Anlagen laufen immer noch auf dem Betriebssystem Windows XP. Solange die Anlage keine Verbindung nach außen hat, ist das auch kein Problem. Doch Windows XP wird von Microsoft nicht mehr aktualisiert, Sicherheitslücken werden nicht mehr geschlossen. Wenn die Anlage also ans Internet angeschlossen wird, ist sie gegen Angriffe völlig ungeschützt."

Gefährliche Wartungsarbeiten

Die Unternehmen sollten also öfters mal das Betriebssystem wechseln?

"Das ist leichter gesagt als getan. Solche Anlagen bestehen aus vielen verschiedenen Komponenten, die Software und Komponenten unterschiedlicher Hersteller kombinieren. Welches Teil da wie mit wem spricht, ist häufig nicht mehr richtig zu durchschauen oder mangelhaft dokumentiert. Manchmal verbindet eine Komponente sogar zwei Systeme miteinander, die eigentlich getrennt bleiben müssten, und baut dadurch unerwünschten Besuchern eine Brücke. Offenheit und Komplexität – das sind die Widersacher der IT-Sicherheit in der Industrie."

Der dritte Feind ist die Arbeitsteilung. So ist die Verwaltung moderner Unternehmen hoch vernetzt. Auftragsannahmen, Bestellvorgänge, Lagerverwaltung, Auslieferungen – alles ist digital verbunden. Doch die dafür nötigen Office-Programme sind beliebte Eingangstüren für Hacker. Sind sie irgendwo mit der Produktionssoftware verbunden, vielleicht auch nur, weil ein WLAN-Netz über die ganze Fabrik ausgebreitet wurde und ein Techniker eine Maschine hineingehängt hat, ist die Schutzmauer schon gebrochen.

Vergessene Hintertüren

Oder die Wartung. Fast kein Betrieb kauft mehr alle Maschinen, die er benutzt. Viele werden gemietet oder geleast. Das bedeutet, dass die Verantwortung für diese Maschinen beim Hersteller liegt. Dessen Techniker können nicht überall sein und warten die Maschinen deshalb oft aus der Ferne. Dazu benötigen sie einen Zugang. Der kann geknackt werden. "Das mietende Unternehmen lässt eine Zone im eigenen Haus zu, die es selbst nicht mehr beeinflussen kann", sagt Waidner. "Da stellt sich schnell die Frage: Wie tief kann der externe Techniker eigentlich in das System schauen? Und wie gut ist er selbst abgesichert?"

Schließlich passieren noch viele menschliche Fehler. Da muss es nicht einmal gleich um Social Engineering gehen, also um Kriminelle, die aus einzelnen Mitarbeitern durch geschicktes Charmieren Passwörter oder andere Zugangsdaten herauslocken. Programmierer bauen sich beispielsweise während der Entwicklungsphase oft Hintertüren in Systeme, um leichter zugreifen zu können. Was aber, wenn einer vergisst, diese Tür wieder zu schließen? Kunden wiederum konfigurieren Steuerungssoftware neu, um sie an ihre Systeme anzupassen, und heben dabei Schutzmechanismen auf.

Die Lösung des Dilemmas verbirgt sich in einem vielzitierten Wort: Kulturwandel. Der muss zuerst bei den Erneuerern der industriellen Welt einsetzen, bei Programmierern, Systemadministratoren, IT-Fachleuten. Sie müssen lernen, dass Betriebssicherheit genauso wichtig ist wie Datensicherheit.

Das bedeutet aber auch, dass man ein befallenes System nicht einfach abstellen und den Fehler suchen kann. Vielmehr müssen sie differenzieren: Welches System muss kontinuierlich verbessert werden? Welche Anlage muss abgekapselt werden, weil Sicherheitsupdates die Produktion beeinträchtigen könnten? Welche Abteilungen müssen scharf getrennt werden, Forschung und Produktion beispielsweise oder Fertigung und Verwaltung?

Es bedeutet auch: Selbst in einer 4.0-Industrie muss nicht jeder Sensor mit der ganzen Welt kommunizieren können. Und wer heute einen hypermodernen Verschlüsselungsalgorithmus etabliert, muss ihn so einbauen, dass man ihn auch in zwanzig Jahren noch leicht ersetzen kann.

"Außerdem brauchen Sie digitale Rauchmelder, um Angriffe möglichst frühzeitig erkennen zu können", sagt Reinema. Denn letztlich geht es um Risikomanagement. "Wenn Sie für totale Sicherheit sorgen, kann sich das Unternehmen nicht mehr bewegen. Aber ohne Freiheit ist niemand arbeitsfähig." Besser sei es, die Bedrohungslage zu kennen. Wer Angriffe bis zu einem gewissen Grad zulässt und sie genau beobachtet, der lernt, wie die Angreifer denken und was sie suchen. Dann ist es viel leichter, die wirklich wichtigen Dinge zu schützen.

Die größte Schwachstelle aber bleibt der Mensch – ob nun rachsüchtiger Mitarbeiter oder treuseliger Plauderer. Dagegen hilft nur: Grenzen setzen. Wer lediglich auf den Teil eines Netzwerks zugreifen kann, den er wirklich für seine Arbeit braucht, kann auch weniger Schaden anrichten. Vielen Mitarbeitern ist das vermutlich sogar ganz recht so.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.