Produktion schutzlos gegen Cyber-Angriffe

Die Industrie muss die global vernetzte Produktion besser vor Cyber-Angriffen schützen, mahnt jetzt der VDE. Ansonsten haben Kriminelle leichtes Spiel, in die Anlagen einzudringen und dort großen Schaden zu verursachen.

Vernetzte Sensoren, Maschinen und Anlagen in der Industrie 4.0 schaffen neue Angriffsflächen für Cyber-Kriminelle. Die größten Gefahren drohen durch Infektionen mit Schadsoftware, Erpressung mittels Trojanern oder Ransomware, Einbrüche über Fernwartungszugänge und nicht zuletzt durch menschliches Fehlverhalten. Zu diesem Ergebnis kommt der »VDE Tec Report 2018«, für den der Technologieverband VDE www.vde.com 1.350 Mitgliedsunternehmen und Hochschulen der Elektro- und Informationstechnik befragt hat. »Produktionsbetriebe brauchen modernste, hochflexible IT-Sicherheitsmaßnahmen, um die Vorteile der Industrie 4.0 wie Effizienzgewinne, flexiblere Fertigung oder «Localized Production on Demand« voll ausschöpfen zu können«, sagt VDE-CEO Ansgar Hinz.

68 Prozent der Befragten halten eine Infektion mit Schadsoftware für die größte Bedrohung in diesem Bereich. Mithilfe von Schadsoftware können Kriminelle beispielsweise die sensiblen Produkt- und Produktionsdaten stehlen, die Produktion sabotieren oder das Unternehmen erpressen. Jedes zweite Unternehmen schätzt vor allem die Erpressung mit Hilfe von Trojanern oder Ransomware als eine große Bedrohung ein.

Gefahr durch Fernwartung und Fehlverhalten

Fast die Hälfte der Befragten halten (49 Prozent) betrachten »Einbrüche« über Fernwartungszugänge als ernsthafte Bedrohung. Die Fernwartung (Remote Monitoring & Predictive Maintenance) zählt zu den bedeutenden Dienstleistungsangeboten, die auf global vernetzten Betriebsmitteln und Anlagen basieren. 45 Prozent der Befragten sehen in Angriffen auf unzureichend geschützte Netzwerkkomponenten eine Gefährdung und ebenfalls 45 Prozent befürchten Attacken auf Steuerungskomponenten, die mit dem Internet verbunden sind. »Vernetzte Produktionsanlagen müssen mit technischen, organisatorischen und personellen Schutzmaßnahmen, sprich einer systemischen IT-Security, abgesichert werden«, so Hinz. Für rund jedes dritte Unternehmen zählen Angriffe über das Unternehmensnetzwerk zu den ernstzunehmenden Bedrohungen. Jedes vierte Unternehmen fürchtet unberechtigte Zugriffe auf IT-Ressourcen, DDoS-Attacken oder gezielte Sabotage. Ein besonders hohes Risiko geht nach Ansicht der Befragten von menschlichen Fehlverhalten aus, das 59 als Gefahr für die IT-Sicherheit ansehen.

Gefährliche Sparsamkeit

Vier von zehn Unternehmen und Hochschulen waren bereits von Cyber-Attacken betroffen und ebenso viele wissen nicht, ob sie angegriffen worden sind. Der Verband geht von einer hohen Dunkelziffer bei den Unternehmen und Institutionen aus. Als Gründe für erfolgreiche Cyber-Angriffe machen die Befragten Sicherheitsdefizite in der eigenen Organisation aus. 75 Prozent sind davon überzeugt, dass es den Mitarbeitern an Sensibilität für das Risiko von Cyber-Attacken fehlt. Daran ist auch die mangelnde Aufklärung seitens der Arbeitgeber Schuld: 30 Prozent geben an, dass die Mitarbeiter zu Themen der IT-Sicherheit nicht ausreichend und nicht systemisch geschult werden. Gut jeder Zweite kritisiert zudem, dass IT-Angriffe zu spät oder gar nicht bemerkt werden. Und 45 Prozent sagen, dass die IT-Systeme nicht ausreichend geschützt sind und den Angriffen nicht standhalten können.

»Werden Cyber-Attacken nicht schnell erkannt, haben Cyber-Kriminelle leichtes Spiel, sich in den IT-Systemen der Unternehmen festzusetzen, Daten abzusaugen oder diese zu manipulieren«, so Hinz. Ein Grundproblem ist, dass Cyber-Security in vielen Unternehmen nach wie vor als Kostentreiber und nicht als Notwendigkeit gesehen wird. Dieser Aussage stimmt fast jeder dritte Befragte zu. 61 Prozent der Unternehmen und Hochschulen wollen ihre Investitionen in die Abwehr von Cyber-Attacken jedoch steigern. Allerdings sind 79 Prozent der Befragten der Ansicht, dass viele Unternehmen aufgrund der wachsenden Anforderungen an die IT-Sicherheit finanziell und personell überfordert sind.