Sie sind hier: HomeSteuerungsebeneSafety & Security

Cyber-Risiken: Management unterschätzt die Gefahren

Nie war es für kriminelle Angreifer leichter, sich Zugang zum Unternehmensnetzwerk zu verschaffen und an wertvolle Daten zu gelangen. Und trotzdem: In der Industrie – und dort insbesondere im C-Level-Management – wird die Gefahr von Cyberangriffen zum Teil massiv unterschätzt.

C-Level-Management, TÜV Süd Bildquelle: © TÜV Süd

Einer aktuellen Studie des Bitkom zufolge haben bei mehr als acht von zehn Industrieunternehmen die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen – aufsehenerregende Vorfälle wie ‚Stuxnet‘ sind längst keine Einzelfälle mehr. Üblicherweise verläuft ein Angriff mehrstufig und lässt sich nach dem von Lockheed Martin entwickelten Cyber-Kill-Chain-Modell in verschiedene Phasen untergliedern, die einem klassischen Einbruch ähneln: Das Angriffsziel – also das Unternehmen und sein IT-Netzwerk – wird über einen längeren Zeitraum beobachtet und auf Schwachstellen untersucht, bis schließlich ein gezielter Angriff erfolgt. In nahezu allen Fällen gelingt die Infiltration des Netzwerks über unzureichend gesicherte Schnittstellen, Social Engineering oder kompromittierte Wechseldatenträger. Zudem ist eine starke Professionalisierung der Angriffe zu beobachten – sie sind oft von langer Hand geplant und staatlich subventioniert. 

In jüngerer Vergangenheit führten genau solche Szenarien dazu, dass Unbefugte sich über lange Zeit unbemerkt im Unternehmensnetzwerk ausbreiten konnten. Vor Kurzem gelang es Angreifern, sich bis in das Kontrollnetzwerk der Produktion vorzuarbeiten und auf die Steuerungselemente zuzugreifen. Da sie es ausschließlich auf das geistige Eigentum des Unternehmens abgesehen hatten, kam es nicht zu direkten Auswirkungen auf die funktionale Sicherheit der Anlage. Eine Manipulation der Steuersysteme mit gravierenden Auswirkungen wäre jedoch problemlos möglich gewesen. Der Angriff wurde durch Zufall bemerkt und von einem externen Incident-Response-Team behandelt. Obgleich die Produktion bei dem Angriff nicht direkt betroffen war, verursachte der Vorfall letztlich einen wirtschaftlichen Schaden in Millionenhöhe durch Inanspruchnahme notwendiger Dienstleistungen und interner Aufwände zur Bereinigung der betroffenen Systeme. Hinzu kommt der nicht zu beziffernde Schaden durch den Abfluss von Informationen, die einen Wettbewerbsvorteil darstellen. 

Beispiele wie diese zeigen, warum der konsequente Schutz industrieller Anlagensysteme unerlässlich ist. Obgleich die Implementierung eines wirksamen In-Depth-Schutzes – also der koordinierte Einsatz verschiedener ineinandergreifender Sicherheitsmaßnahmen – zunächst mühsam und kostspielig erscheint, so sind doch der wirtschaftliche Rückschlag und der Reputationsverlust im Schadensfall unverhältnismäßig größer.