Netzattacken: Das Internet der Dinge birgt enorme Sicherheitsrisiken
Sie stellt Fragen, hört geduldig zu, nimmt Fotos auf und kann stundenlang spielen, ohne müde zu werden: Rein äußerlich unterscheidet sich das Modell Cayla nicht von anderen Puppen, doch hinter den Glupschaugen verbirgt sich ein technologisches Wunderwerk, das mittels Mikrofon, Spracherkennung, Lautsprecher und Kamera auf Teufel komm raus mit den Kleinen im Kinderzimmer kommunizieren kann – und Cayla lässt sich zudem via Bluetooth und Handy steuern. Diese Eigenschaften haben Datenschützer auf den Plan gerufen, die Puppe wurde in Deutschland als „verbotene Sendeanlage“ eingestuft, und Eltern wurden aufgefordert, das Ding zu vernichten. Der Grund: Von außen könnte jederzeit auf das vernetzte Spielzeug zugegriffen werden, die Verbindung zu Smartphones oder anderen Geräten sei ungesichert. Damit könnte theoretisch jeder hören, was im Kinderzimmer gesprochen wird, und die Puppe sogar sprechen lassen – eine unheimliche Vorstellung. Weltweit wurden vom amerikanischen Hersteller allerdings bereits mehr als eine Million der kleinen Spioninnen verkauft, in Österreich gibt es keine Sicherheitsbedenken seitens der Behörden.
Vernetzt, digitalisiert, ferngesteuert – was bei Spielzeugen gespenstisch klingt, wird in der Industrie gerade zum Standard: Unter den Stichworten Industrie 4.0 und Internet der Dinge wird die nächste Revolution oder zumindest Evolution ausgerufen. Durch die Kombination von Sensortechnik und IT mit herkömmlichen Maschinen werden sogenannte cyber-physische Systeme geschaffen, das sind Netzwerke von kleinen, miteinander verbundenen Computern. In der Industrie bedeutet das ganz neue Geschäftsmodelle und neue Herausforderungen für den Arbeitsmarkt, aber durchaus auch Chancen für ein Hochlohnland wie Österreich. Wie bei der Puppe Cayla könnte die Euphorie über die technischen Möglichkeiten aber bald einer Ernüchterung über die Schattenseiten dieser totalen Vernetzung weichen: Die Sicherheit ist das größte Risiko bei der digitalen Transformation. Das Internet of Things werde zum Internet of Risks, warnte das Beratungsunternehmen Deloitte vor Kurzem gar. „Es besteht ein gewisser Druck, neuartige Technologien einzusetzen“, beschreibt Deloitte-Experte Gilbert Wondracek den Grund, weshalb derzeit mit einer Horuck-Mentalität möglichst viele Geräte vernetzt und Produktionsabläufe digitalisiert werden. Dies bringt nämlich Vorteile für Unternehmen in Sachen Effizienz, Kosten und Personalaufwand, wie zum Beispiel durch die Fernwartung von Maschinen: Techniker müssen nicht unbedingt vor den Anlagen stehen, um diese zu überprüfen, das lässt sich bequem von außerhalb erledigen.
Vernetzung und Automatisierung machen Einrichtungen anfälliger für Hacker-Attacken
Das Problem: Die Vernetzung und die Zugriffsmöglichkeiten lassen sich nicht mehr mit herkömmlichen Abwehrmethoden der klassischen IT kontrollieren. Nach Ansicht von Helmut Leopold, Chef des Center for Digital Safety & Security am AIT (Austrian Institute of Technology), gehe es nun darum, dass man „mit dem Wissen von früher heute nicht mehr weit kommt“. Wondracek sieht das Problem im segmentierten Sicherheitswissen: „Im Office-Umfeld gibt es nämlich andere Verantwortlichkeiten als in anderen Bereichen.“ Was für den Schutz der klassischen IT mit Excel und SAP vielleicht ausreicht, ist für Industrie-4.0-Anwendungen mit Sicherheit zu wenig. In der Smart Factory sind Hunderte Sensoren an Abläufen beteiligt, damit besteht die konkrete Gefahr einer Industriespionage, warnt Wondraceck.
Dies betrifft nicht nur Unternehmen, sondern auch öffentliche Infrastruktur – aus diesem Grund hat die deutsche Fraunhofer-Gesellschaft Anfang des Jahres ein „Lernlabor Cybersicherheit“ in Görlitz eröffnet, bei dem Verfahren zur IT-Sicherheit von Anlagen wie Wasserwerken oder Kraftwerken entwickelt und erprobt werden sollen. Vernetzung und Automatisierung würden diese heiklen Einrichtungen nämlich anfälliger für Hacker-Attacken machen, heißt es in der Begründung. Und vor Kurzem haben Fraunhofer-Forscher neue Verfahren zur Absicherung von Industrie-4.0-Produktionsanlagen vorgestellt. Deren Grundidee: Ein selbstlernendes System soll Sicherheitsmängel und akute Attacken auf Fertigungsanlagen erkennen; Hardware-basierte Module sollen etwaige Manipulationsversuche sofort aufspüren und melden.
Das Thema Sicherheit ist der Kernaspekt von Industrie 4.0.
Das sind erste Schritte, doch das Grundproblem liegt anderswo. In einer Studie im Auftrag des Bundesministeriums für Verkehr, Innovation und Technologie sowie der FFG (Forschungsförderungsgesellschaft) wurden die derzeitigen Kenntnisse und Einstellung zur Digitalisierung in der Industrie untersucht. Dabei wird die Datensicherheit als größte Barriere für Industrie 4.0 in Österreich bezeichnet – und zwar aus zwei Gründen: Erstens steigt die Komplexität und zweitens ist das Risiko in diesem Umfeld nur schwer messbar. Roland Sommer, Geschäftsführer der Plattform Industrie 4.0, sagt: „Das Thema Sicherheit ist von enormer Bedeutung bei der fortschreitenden Integration vertikaler und horizontaler Wertschöpfungsketten – das ist ja der Kernaspekt von Industrie 4.0.“ Derzeit arbeitet diese Plattform, in dem Akteure aus Wirtschaft, Wissenschaft und Politik vernetzt werden, an einem Leitfaden zu Datenschutz und -sicherheit; zudem sollen konkrete Forschungsfragen zur Sicherheit formuliert werden. Das Bewusstsein, dass das Internet der Dinge nicht nur Vorteile bringt, ist bei IT-Experten zwar vorhanden, in der Führungsebene vieler Industrieunternehmen indes nicht wirklich angekommen.
Sicherheit kostet zunächst etwas und produziert kein einzelnes Stück extra.
Diskrepanz zwischen Lage und Sicherheitsgefühl der Führungskräfte
Eine Studie von Cisco zur Lage der IT-Sicherheit in Österreich beweist die Diskrepanz zwischen tatsächlicher Lage und Sicherheitsgefühl der Führungskräfte: Zwei Drittel machen sich keine Sorge, dass es Cyberattacken auf ihr Unternehmen geben könnte. Nach Ansicht von Achim Kaspar, General Manager von Cisco Austria, müsste die IT-Sicherheit aber eine „wesentlich höhere Priorität einnehmen“, sprich auf Chefebene angesiedelt sein. Das passt zur Forderung der Industrie-4.0-Experten, laut denen die neue Bedrohungslage nicht nur technische Maßnahmen, sondern vor allem auch organisatorische Umstrukturierung verlangt: Es geht eben nicht mehr nur um ein paar Windows-Rechner im Büro und die firmeneigenen Laptops für das mobile Arbeiten, sondern um die komplette Vernetzung Hunderter oder Tausender Kleinstgeräte in der gesamten Produktion – jedes einzelne ein potenzielles Einfallstor für Hacker und Schadprogramme. „Sicherheit kostet natürlich zunächst etwas und produziert kein einzelnes Stück zusätzlich. Daher kommt die Einstellung: Es wird schon nichts passieren“, meint Gilbert Wondracek.
Welche Cyber-Gefahren drohen überhaupt jenen Unternehmen, die ihre Produktionsabläufe mittels Vernetzung, Digitalisierung und Automatisierung aufrüsten, aber nicht ausreichend sichern? Daten könnten gestohlen, ganze Netzwerke von Maschinen und Computern lahmgelegt, Firmen erpresst werden – im Prinzip gleichen die Bedrohungspotenziale jenen, die wir aus der sonstigen IT und dem Internet kennen. „Dass irgendjemand mit meiner Maschine kommunizieren kann, mag gut für die Fernwartung sein, kann aber in der Praxis gefährliche Folgen haben. So könnten etwa sensible Daten kopiert werden“, nennt Gilbert Wondracek ein Beispiel. Dazu kommt als weitere Gefahr die mangelnde Verfügbarkeit der Systeme, etwa wenn plötzlich Updates heruntergeladen werden – Fernsteuerung im schlimmsten Wortsinn.
Ein weiteres Problem ist jene Software, die auf Maschinen zum Einsatz kommt und eigentlich nicht für eine Vernetzung vorgesehen war – hier laufen zum Teil Betriebssysteme, die vor beinahe 20 Jahren entwickelt wurden und für die es oft gar keine Unterstützung mehr gibt. Auch Authentifizierung der Anwender oder passende Sicherheitsprogramme für solche Maschinen waren gar nicht eingeplant, denn eigentlich sollte das Ding ja alleine, abgeschottet von irgendwelchen Netzen, in einer Fabrik seine Arbeit verrichten. Doch derzeit wird alles, das nicht niet- und nagelfest ist, teils überhastet verbunden. Neben den Kosten sind es vor allem die Standards, die Unternehmen bei der Sicherheit zu schaffen machen, genauer gesagt: das Fehlen von Standards. So fordert die internationale Organisation IEC, die sich um elektrotechnische Normen kümmert, eine entsprechende Standardisierung, um das Internet der Dinge zu ermöglichen; dabei gehe es vor allem um die Sammlung von Daten (was wird wie gesammelt?) und das Zusammenspiel einzelner Objekte (Interoperabilität). Auf diese Weise soll es möglich sein, dass die Industrie die Freude am Umgang mit den vernetzten Maschinen nicht verliert.
***
16 Milliarden Geräte sind Schätzungen zufolge weltweit über das Internet vernetzt – diese Zahl wird in den nächsten Jahren rasant steigen.
29 Prozent jener Unternehmen, die von einer Cyberattacke betroffen waren, haben dadurch Umsatzeinbußen erlitten, zeigt eine Studie von Cisco. Jedes dritte Unternehmen berichtet gar von einem Umsatzminus von rund einem Fünftel.
44 Prozent der österreichischen KMU hatten in den vergangenen zwei Jahren ein Problem mit der IT-Sicherheit. Angst vor Kosten und fehlendes Wissen sind die wichtigsten Gründe, weshalb nicht mehr für die IT-Sicherheit getan wird.
43 Prozent der deutschen IT-Unternehmen bieten bereits Produkte rund um Industrie 4.0 an.
***