White-Hat-Hacke­r­an­griffe im pro­du­zie­ren­den Gewerbe

„Wir waren Gott in den IT-Sys­te­men“

Lassen sich kleine und mittelständische Betriebe im produzierenden Gewerbe von einem Hacker knacken? Der IT-Sicherheitsexperte Michael Wiesner hat es für den GDV versucht - und war erschreckend erfolgreich.

Wenn die Maschine die Fertigung selbst organisiert und intelligente Roboter Menschen bei der Fertigung zur Hand gehen, ist das Industrie 4.0. Und intelligente Lieferketten, die Material just in time dahin bringen, wo es benötigt wird, sind im produzierenden Gewerbe zunehmend so selbstverständlich wie intelligente Steuerketten, die wissen, wann sie das nächste Mal gewartet werden müssen. Doch wie gut sind die Maschinendaten vor Hackerangriffen geschützt? Sind Produktionsbetriebe bei der IT-Sicherheit genauso innovativ wie bei der Fertigung?

„Sagen wir es mal so: Die Eigenwahrnehmung in puncto Informationssicherheit unterscheidet sich bei sehr vielen Mittelständlern ganz eklatant von der Realität“, sagt Michael Wiesner. Als sogenannter White-Hat-Hacker wird er von Unternehmen beauftragt, um in simulierten Angriffen ihren tatsächlichen Schutz zu prüfen und auf Sicherheitslücken aufmerksam zu machen. Für den Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat er 40 kleine und mittelständische Unternehmen aus dem produzierenden Gewerbe einem mehrstufigen Stresstest unterzogen. „Das Ergebnis war insgesamt nicht schön, aber es hat mich auch nicht überrascht“, berichtet der IT-Sicherheitsexperte. 

„Nicht schön“ – das bedeutet im Klartext: Bei mehr als der Hälfte der Firmen konnten Wiesner und sein Team die Systeme hacken. Spielend leicht hätten sie Daten manipulieren und Maschinen übernehmen können. Ein verheerendes Fazit – vor allem, weil sich die Unternehmen freiwillig für den Test gemeldet hatten. Sie waren also vorgewarnt und hätten vorbereitet sein können. Dabei verhielten sich die IT-Sicherheitsspezialisten wie echte Cyberkriminelle, wenn sie es auf ein ganz bestimmtes Ziel abgesehen haben: Sie suchen den schnellsten Weg ins Herz der Systeme. Stufe Eins ist zunächst einmal ganz analog. Wie ist der Eingangsbereich des Unternehmens gesichert? Gibt es dort Möglichkeiten, leicht ins Netzwerk oder an Passwörter von Angestellten zu gelangen? In einer zweiten Stufe schickten die Experten Phishing-Mails an die ganze Belegschaft. Waren sie dann erst einmal in ein System eingedrungen, erfolgte der Angriff auf alle möglichen Datenbanken und Maschinensteuerungen der Unternehmen.

Unternehmen sind Eindringlingen schutzlos ausgeliefert

Die größte Schwachstelle ist noch immer der Mensch. Allein über Phishing-Mails und gefälschte Webseiten gelangte Wiesner an die Zugangsdaten von 200 Mitarbeiterinnen und Mitarbeitern aus 19 Firmen. In sieben weiteren Unternehmen gaben Angestellte zwar keine Daten preis – dafür klickten sie aber Links an, über die echte Cyberkriminelle leicht Schadsoftware im Firmensystem hätten installieren können. Eigentlich eine alarmierende Bilanz. Aber: „Dass Phishing so erfolgreich war, hat die wenigsten Unternehmen überrascht“, berichtet Wiesner von der Reaktion der Firmen. 

Geschockt zeigten sich einige Firmen immerhin über das, was dann folgte. „Wenn wir einmal in ein Netzwerk eingedrungen waren, konnten wir dort machen, was wir wollten - wir waren praktisch Gott in den IT-Systemen“, beschreibt der White-Hat-Hacker. Das heißt: Wenn ein Angreifer einmal drin ist, geben die Systeme auch dann keine Warnung aus, wenn Anomalien auftreten. „Nicht ein Unternehmen verfügte über reaktive Maßnahmen.“ 

Angesichts solch eklatanter Sicherheitslücken treten die wenigen positiven Ergebnisse der Untersuchung in den Hintergrund. So war die „physische Sicherheit“ bei den meisten Mittelständlern weitgehend gegeben. Netzwerk-Stecker in der Lobby oder ähnliche Einfallstore waren überwiegend gut gegen Eindringlinge abgeschirmt. Ebenfalls nur ein kleiner Lichtblick: In einigen Unternehmen gab es getrennte Kreisläufe für unterschiedlich sensible Bereiche. Im Fall eines Hackerangriffs kann das von existentieller Bedeutung sein. Gelingt es Cyberkriminellen etwa sich Zugriff auf den Mailserver zu verschaffen, könnten sie andernfalls nämlich Maschinen kapern und schlimmstenfalls die Produktion komplett stoppen. Allerdings: „Die Segmentierung der Sicherheitskreisläufe verbessert sich nur langsam“, sagt IT-Sicherheitsexperte Wiesner. „Inzwischen sehen wir sie immerhin in 20 bis 30 Prozent der Unternehmen.“

Drei zentrale Punkte machen Unternehmen schwach

Insgesamt bemängelt Wiesner die Geschwindigkeit, mit der sich der Sinneswandel in den Unternehmen vollzieht. Für ihn sind es drei zentrale Knackpunkte, die zu den wenig erfreulichen Ergebnissen der Studie führen: unklare Zuständigkeiten, mangelhafte Risikoeinschätzung und fehlende Ressourcen. Wenn es darum geht, wer für die Datensicherheit in der Produktion zuständig ist, schieben sich die Abteilungen nach Erfahrung des Experten die Verantwortung zu häufig gegenseitig zu. Das liege nicht zuletzt an der zunehmenden Digitalisierung der Produktionsprozesse. IT und produktionsnahe Steuerung verschmelzen also immer stärker. „In der Praxis führt das oft zu einem Kompetenzvakuum“, erläutert Wiesner. „Die IT fühlt sich nicht für die Maschinensicherheit verantwortlich und die operativen Mitarbeiter fühlen sich nicht als IT-Spezialisten.“ 

Doch sind es längst nicht die Mitarbeitenden, die in mit ihrem Verhalten für die in vielen Betrieben noch immer mangelhafte IT-Sicherheit sorgen. „Dem Management fehlt nach wie vor zu häufig die Expertise, um die richtigen Schritte in der IT-Sicherheit zu gehen“, urteilt Wiesner. Teils mangele es bei den Verantwortlichen an Vorstellungskraft, wie kreativ Cyberkriminelle sind. Und diese Fehleinschätzung bestehender Risiken hat nach Erfahrung des Experten wiederum fatale Folgen für das IT-Budget – personell wie finanziell. „Wenn Sicherheitslücken bestehen, hat das nicht zwingend mit einer mangelnden Kompetenz der IT-Mitarbeiter zu tun – sondern vielmehr mit fehlendem Personal und einer zu geringen finanziellen Ausstattung.“ 

Bei den untersuchten Unternehmen kommt im Schnitt eine IT-Kraft auf 87 Mitarbeitende. Für Mittelständler mit 200 Beschäftigten bedeutet das, sie haben 2,2 Angestellte, die sich um die gesamten IT-Systeme des Betriebes inklusive des Maschinenparks kümmern und alles am Laufen halten müssen – für Prävention und die ständige Verbesserung der IT-Sicherheit bleibt dann kaum noch Zeit. Je kleiner das Unternehmen, desto größer übrigens das Problem: Ein Drittel der untersuchten Betriebe beschäftigt gar keine eigenen IT-Kräfte – alle diese Firmen haben weniger als 100 Mitarbeiter.

Zu oft steht Sicherheit nur auf dem Papier

Was können kleine und mittelständische Unternehmen tun, um der wachsenden Gefahr durch Cyberangriffe zu begegnen? Sie müssen IT-Sicherheit leben – und das bedeutet, IT-Sicherheit muss Managementaufgabe sein, meint White-Hat-Hacker Wiesner. Ein so genanntes Information Security Management System (ISMS) kann hier ein sinnvolles Instrument sein. Ein solches Konzept definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu gewährleisten. Ganz zentral dabei: Es verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Ein ISMS nützt allerdings wenig, wenn es nur auf dem Papier steht, wie auch die aktuelle Untersuchung zeigt. Nach eigenen Angaben besitzen nämlich sechs der 40 Unternehmen Grundzüge eines ISMS, eines betreibt sogar ein vollständiges. „Ausgerechnet eines dieser Unternehmen war es, in das wir am leichtesten eindringen konnten“, sagt Wiesner.

Ob mit ISMS oder ohne – schon mit eigentlich selbstverständlichen technischen Maßnahmen lässt sich eine verbesserte Sicherheit gegen Hacker erzielen. „Zum Beispiel, indem Unternehmen ihre Betriebssysteme aktuell halten, regelmäßig Sicherheitsupdates einspielen und eine Zwei-Faktor-Authentifizierung für ihre Mitarbeitenden einführen“, zählt Wiesner auf. Und auch wenn die finanziellen Mittel gerade in kleineren Produktionsbetrieben endlich seien, sei IT- und Maschinensicherheit gut umsetzbar: „Ein wichtiger Faktor neben mehr Geld und mehr Personal und Konzepten wie einem Informationssicherheitsmanagementsystem ist: die Kommunikation.“ 

Hier sind alle Mitarbeitenden gefragt. Regelmäßige Phishing-Kampagnen beispielsweise könnten Belegschaften für die Gefahren, die dort lauern, sensibilisieren. „Und: Geschäftsführung und IT-Verantwortliche müssen mehr miteinander reden.“ Managemententscheidungen können nur so gut sein, wie die Informationen, auf denen sie beruhen. „In zu vielen Unternehmen lebt noch das Klischee von den IT-Mitarbeitenden, die im Keller sitzen und Pizza bestellen und ansonsten die Bürotür am liebsten geschlossen halten.“

Text: Simon Frost


Dieser Artikel stammt aus dem Report „Cyberrisiken im produzierenden Gewerbe“. Den vollständigen Bericht können Sie sich als PDF kostenfrei herunterladen. 

Zur Startseite
Auch inter­essant