Sorgloser Umgang mit Produktionsdaten kann teuer werden

Gerade im Mittelstand zögern viele Betriebe noch mit der Einführung solcher Managementsysteme. Sie unterschätzen aber, wie lange es dauert, die Strukturen im Unternehmen so anzupassen, dass sowohl die IT als auch die Produktionsdaten geschützt sind.

Erinnern Sie sich noch an Stuxnet? Das ist die Malware, die 2010 für großes Aufsehen sorgte, weil sie physische Infrastruktur lahmlegte und das Atomprogramm des Irans empfindlich störte. Stuxnet war kein Zufallstreffer, sondern die erste im Regierungsauftrag entwickelte Cyberwaffe. Seitdem sind viele Jahre und unzählige Cyberangriffe ins Land gegangen – nicht nur mit Stuxnet.

Täglich greifen Kriminelle weltweit Regierungen, öffentliche Einrichtungen und Unternehmen mit Ransomware, DDOS-Attacken und Co. an. Auch in Deutschland. Der Digitalverband Bitkom hat mehr als 1.000 Unternehmen aller Branchen befragt und ermittelt, dass der deutschen Wirtschaft durch Diebstahl von Hardware und Daten, digitale und analoge Industriespionage sowie Sabotage jährlich ein Schaden in Höhe von 206 Milliarden Euro entsteht. Den größten Anteil haben dabei Cyberattacken mit 148 Milliarden Euro. Mit der NIS2-Richtlinie will die EU daher künftig das Cybersicherheitsniveau und die Zusammenarbeit auf organisatorischer Ebene in Europa stärken.

Betroffen sind nicht nur große Konzerne und Dienstleister, sondern auch mittelständische Unternehmen des produzierenden Gewerbes. So gelang es Hackern in den vergangenen Monaten, die Firmenserver eines Holzverarbeitungsbetriebs in Bayern mit Schadsoftware zu infizieren und sie zu verschlüsseln. Bis ein Daten-Backup eingespielt werden konnte, war ein Arbeiten nur im Notbetrieb möglich. Auch ein Unternehmen für Antriebstechnik, Automobilzulieferer, ein Druckmaschinenhersteller, Maschinenbauer, ein Verpackungshersteller und Werften waren in diesem Jahr bereits von Cyberangriffen betroffen, berichtet das Marktforschungsunternehmen Konbriefing.

Auch Firmen mit nur 50 Mitarbeitenden zählen nun zur kritischen Infrastruktur

Sechs von zehn Unternehmen gehen inzwischen davon aus, dass die Angriffe auf das Konto der organisierten Kriminalität gehen, so die Bitkom-Umfrage. Und auch der Verfassungsschutz bestätigt, dass die deutsche Wirtschaft ein attraktives Angriffsziel geworden ist. Bei der Industriespionage zielen Hacker zunehmend auf die digitale Sabotage von Systemen oder Betriebsabläufen: Neben der IT haben sie also längst auch die operative Technologie (OT) im Visier.

Doch obwohl 82 Prozent der befragten Unternehmen in den kommenden zwölf Monaten mit mehr digitalen Angriffen rechnen, klammern vor allem Mittelständler den Produktionsbereich beim Thema Cybersicherheit noch immer gerne aus. Dabei sind gerade Fertigungslinien bis hin zu kompletten Fabriken in den vergangenen Jahren durch den Einsatz von Digital Twins, Automatisierungslösungen und nicht zuletzt Künstlicher Intelligenz immer digitaler geworden. Und Maschinen, die miteinander oder mit dem Internet kommunizieren, übertragen große Datenmengen in Echtzeit – und sind anfällig für Hackerangriffe.

Warum also gehen viele Unternehmen nach wie vor sorglos mit der Sicherheit ihrer OT um, während es in der IT üblich ist, einen Virenschutz auf dem Computer zu installieren und regelmäßige Sicherheitsupdates durchzuführen?

Zum einen ist es für viele Ingenieure schwierig, eine Maschine mit einem langen Lebenszyklus zu schützen, die nachträglich über eine Schnittstelle mit dem Internet verbunden wurde. Die vernetzten Geräte verwenden in der Regel völlig andere Protokolle und Formate, was einen Schutz „aus einem Guss“ nahezu unmöglich macht. Zudem müssen die Anlagen durchgehend laufen und dürfen auf keinen Fall ausfallen. Ein weiterer Grund, der einen effizienten Schutz durch Sicherheits-Updates erschwert, ist das Thema Produkthaftung.

Im Gegensatz zur bisherigen Gesetzgebung für kritische Infrastrukturen wurden mit der NIS2 Richtlinie die staatlich regulierten Sektoren deutlich ausgeweitet: Mehr Unternehmen sind künftig verpflichtet, Sicherheitsvorkehrungen gegen Cyberangriffe zu treffen und ihr Risikomanagement deutlich zu verbessern. So fallen bereits Unternehmen mit 50 Mitarbeitenden und einem Umsatz von mehr als zehn Millionen Euro unter NIS2. Zudem wurde auch das produzierende Gewerbe als kritischer Sektor eingestuft, beispielsweise chemische Betriebe, aber auch Maschinenbauer sowie Zulieferer von Autoteilen oder Elektronik.

Aufbau eines Risikomanagements bis Ende 2024

Mittelfristig werden Unternehmen die größten Effizienzpotenziale heben, wenn sie den Schutz von IT und OT zusammen denken und die Sicherheitsaktivitäten in einer gemeinsamen Abteilung bündeln. Kurzfristig müssen sie aufs Tempo drücken. Die Bundesregierung hat bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Bis dahin müssen Unternehmen sicherstellen, dass zumindest die Mindestanforderungen für mehr Cybersicherheit umgesetzt sind. Im ersten Schritt bedeutet das, Maßnahmen zum Aufbau eines Risikomanagements zu ergreifen, was neue Strukturen im Unternehmen erfordert und Zeit kostet.

So müssen Konzepte zur Risikoanalyse und Sicherheit der IT-Systeme sowie Notfallpläne entwickelt werden. Unternehmen müssen festlegen, wie das Krisenmanagement zur Bewältigung von Sicherheitsvorfällen und der Aufrechterhaltung des Geschäftsbetriebs ablaufen soll. Darüber hinaus sind Sicherheitsmaßnahmen für die Beschaffung, Entwicklung und Wartung von IT- und OT-Systemen erforderlich. Es sind Konzepte für die Zugriffskontrolle und das Management von Anlagen zu entwickeln und Authentifizierungs-Lösungen für Sprach-, Video- und Textkommunikation zu etablieren. Nicht zuletzt müssen die Mitarbeitenden für alle Abläufe sensibilisiert und geschult werden.

Vielen Unternehmen, insbesondere im Mittelstand, verfügen jedoch nicht über die notwendigen Kapazitäten, um diese Herausforderungen zu meistern. Sie benötigen externe Hilfe von Dienstleistern, die sich sowohl mit IT als auch mit OT auskennen. Die Experten können ihnen mit einem Check-up helfen, herauszufinden, wo sie in Sachen Cybersicherheit stehen, wie sie ihre Prozesse anpassen müssen, um sich vor Hackerangriffen zu schützen und wie sie messen können, ob sie ihre Ziele erreicht haben.

Eines sollten Mittelständler jedoch nicht tun: Weiterhin glauben, sie seien zu klein oder ihre Daten zu unbedeutend für Cyberangriffe, und deshalb die Hände in den Schoß legen. Denn eine sorglose Haltung wird im Schadensfall mit NIS2 nicht nur teuer, sondern kann sogar existenzbedrohend sein.