Rechenzentrum Telekom

Fahrzeuge, Materialien, Werkzeuge und Komponenten müssen in der vernetzten Fertigung durch den gesamten Produktionskreislauf verfolgt werden. - Bild: Telekom

Im Gegenzug wird der Staat die Meldungen auswerten, um Muster in den Angriffen zu erkennen und dann Gegenmaßnahmen einzuleiten. Doch viele Verantwortliche bezweifeln, dass IT-Sicherheit überhaupt möglich ist.

Gerade Maschinenbauer schauen voller Sorge auf das Internet. Einerseits wollen sie dem derzeitigen Industrie-4.0-Trend folgen und ihre Anlagen für den Zugriff über das Netz öffnen. Andererseits fürchten sie die Angriffe von Produktfälschern und Spionage. "Der Verlust sensibler Daten kann schwere wirtschaftliche Folgen haben, etwa wenn Patente verletzt oder Produkte kopiert werden", unterstreicht BITKOM-Präsident Dieter Kempf: "Systeme zur Früherkennung von Angriffen, Sicherheitsvorkehrungen gegen Datendiebstahl und insbesondere die Verschlüsselung wichtiger Informationen machen es Angreifern deutlich schwerer."

"Die Hardware ist leicht zu kopieren. Jeder Produktpirat kann sich eine Maschine aus unserer Produktion kaufen, sie auseinandernehmen, die einzelnen Komponenten nachbauen und zu einer neuen Maschine zusammensetzen", sagt der Sicherheitsexperte eines großen deutschen Anlagenbauers: "Das was unsere Produkte einmalig macht, ist die Steuerung, die Software, die Intelligenz, die Codierung." Tatsächlich verschieben sich im Zuge der Digitalisierung Hardware- und Software-Kosten. Früher lagen die Entwicklungskosten für die Hardware bei 80 Prozent und 20 Prozent für die Software. Dies hat sich inzwischen in das Gegenteil verkehrt.

Gezielte Angriffe machen Sorgen

Doch wie kann der Anlagenbauer seine Software schützen, wenn die Maschinen mit dem Web verbunden sind? Kann das neue Sicherheitsgesetz die Gefahren minimieren? Für die Verantwortlichen aus der Politik ist das ein langer Prozess, der gerade erst begonnen hat. "Uns fehlt tatsächlich der systematische Überblick über die Angriffe. Sorgen machen uns dabei vor allem die gezielten Angriffe", führt Martin Schallbruch, IT-Beauftragter des Bundesministeriums des Innern (BMI) aus. "Denn Angreifer entwickeln verstärkt spezifische Angriffsarten für bestimmte Branchen oder ausgewählte Unternehmen." Über die im Gesetz vorgeschriebene Meldepflicht wolle man die technischen Mittel der Angreifer und deren Angriffsformen kennenlernen. "Daraus entwickeln wir Anforderungen, die dann in die Kriterien mittel- und langfristig mit einfließen."

Und dabei wird es nicht bleiben. Denn der Gesetzentwurf sieht vor, dass die Unternehmen innerhalb eines Audits die Sicherheit nachweisen. Ziel sei es, durch diesen Kreislauf eine sichere Infrastruktur aufzubauen. Doch bei der Planung der Sicherheitsgesetze haben die Verantwortlichen einen wichtigen Faktor eben nicht berechnen können – nämlich die Zahl und die Motivation der Menschen, die in sogenannten "Cyberarmeen" organisiert sind und aus dem Ausland angreifen. "Es gibt keine belastbaren Zahlen", sagt Sandro Gaycken, Director des Digital Society Institute an der ESMT European School of Management and Technology. "Wir wissen kaum, wie die Staaten arbeiten und wie viele Angreifer es gibt. Wir wissen nicht, welche Angreifer kriminell und wie viele militärisch organisiert sind."

Autor: Christian Raum

IT-Sicherheit
Volumen des Weltmarktes für Internetsicherheit im Jahr 2013 und Prognose bis 2020 (in Milliarden US-Dollar). - Bild: Statista