ONLINE-SPECIAL: Cybercrime und IoT

Warum IoT nicht nur den Umsatz treibt
Wer alte Produkte ins Internet hebt, wird zum Sicherheitsrisiko. Nicht nur für das eigene Unternehmen. Was Digitalchefs bei IoT-Konzepten mitdenken sollten.
TEXT: Eva Rossner

8,4 Milliarden vernetzte Geräte werden noch in diesem Jahr online sein, fast ein Drittel mehr als im vergangenen Jahr: Zu diesem Ergebnis kommen die Analysten des Marktforschers Gartner in einer kürzlich veröffentlichten Studie. Den Umsatz solcher Internet-of-Things(IoT)-Geräte und darauf basierender Serviceleistungen beziffern sie auf 2 Billionen US-Dollar. Doch das ist erst der Anfang, bereits 2020 vermuten die Analysten 20,4 Milliarden Geräte auf dem Markt, Umsatzentwicklung dementsprechend steigend.

Cyberrisiko I: alte Geräte ins Internet heben

Das Gros der Marktdynamik erzeugt bislang das Konsumentengeschäft, die Zahl der IoT-Geräte im B2B-Kontext steigt weniger schnell. Zum einen liegt das daran, dass digital veredelte Geräte mit Internetanbindung in der Industrie noch nicht massentauglich sind. Außerdem werden nicht zwangsläufig mehr Geräte gebraucht. Industrieunternehmen können mit den vorhandenen Sensoren schon heute mehr Analysen fahren. 

Wenn der Digitalchef diese Ergebnisse seinem CEO präsentiert, dürfte der erfreut sein. Und das wäre nicht einmal unberechtigt. Doch so verheißungsvoll das im industriellen Kontext auch klingen mag: Hier werden oftmals keine internetfähigen Geräte entwickelt. Gerade in der produzierenden Industrie wurden Maschinen einst für sehr spezielle isolierte Tätigkeiten ausgestattet. Damals ging es nicht darum, unterschiedliche Systeme miteinander zu vernetzen und durch Updates ständig neu zu konfigurieren. „Bislang hatten die meisten produzierenden Unternehmen eine IT-Abteilung, die sich um die Sicherheit interner Dienste gekümmert hat. Diese Unternehmen gehen heute jedoch mit Produkten an den Markt, die digitalisiert sind. Dann muss IT-Sicherheit auch anders gedacht sein“, sagt Matthias Maier, Senior Produktmanager bei Splunk. Das US-amerikanische Softwareunternehmen bietet eine Industrieplattform für Operational Intelligence – also eine Lösung für die Analyse von Maschinendaten.

Bei neuen Geräten sei der Aspekt der Sicherheit von Grund auf mitgedacht worden. Maier nennt das „Security by Design“. Dazu zählt er alles, was in den vergangenen vier bis fünf Jahren auf den Markt gekommen ist. Allerdings tauschen Unternehmen ihre Maschinen in der Regel nicht alle zwei bis drei Jahre aus, sie haben vielmehr Laufzeiten von 15 bis 20 Jahren. Ihnen sei daher daran gelegen, mit möglichst geringem Budget und Investmentaufwand zu digitalisieren. Das führe häufig dazu, dass sie alte Systeme ins Netzwerk heben, die dafür jedoch nicht konzipiert worden seien. „Wenn Systeme, die vor zehn Jahren gekauft wurden, nun auf den einfachen Weg digitalisiert werden, dann sind Sicherheitsbedenken angebracht“, warnt Maier. 

Cyberrisiko II: industrielle Kontrollsysteme als Einfallstor

Die Zahl der über das Internet verfügbaren Komponenten für Industrial-Control-Systems (ICS) steigt mit jedem Jahr. Bedenkt man, dass viele ICS-Lösungen und -Protokolle ursprünglich für isolierte Umgebungen entwickelt wurden, bietet eine solche Verfügbarkeit einem Angreifer aufgrund mangelnder Sicherheitskontrollen eine Vielzahl von Möglichkeiten, um die Infrastruktur hinter dem jeweiligen ICS zu manipulieren. Das russische Softwareunternehmen Kaspersky Lab hat kürzlich auf die erhöhten Sicherheitsrisiken aufmerksam gemacht: In einer Untersuchung, die sich mit Cybergefahren für industrielle Systeme und kritische Infrastrukturen beschäftigt, identifizierten die Experten insgesamt 188.019 Hosts von ICS-Komponenten, die über das Internet verfügbar waren. Nach Angaben von Kaspersky Lab nutzen ganze 91,6 Prozent dieser extern verfügbaren ICS-Geräte unsichere Internetverbindungsprotokolle. 

Zudem ergab die Untersuchung, dass rund 13.000 dieser per Internet erreichbaren ICS-Hosts großen Organisationen bzw. Unternehmen aus den Bereichen Energie, Industrie, Luft- und Raumfahrt sowie Finanzen oder Behörden zugeordnet werden können. Hiervon würden über 90 Prozent Schwachstellen aufweisen, die aus der Ferne ausgenutzt werden könnten. Wie Kaspersky angibt, sind ICS-Umgebungen per se eine Mischung aus verschiedenen miteinander verbundenen Komponenten, die meist ans Internet angebunden sind. Je größer Infrastrukturen industrieller Kontrollsysteme sind, desto größer ist auch das Risiko empfindlicher Sicherheitslücken.

Cyberrisiko III: Safety und Sicherheit verschmelzen

Kontrolle ist auch das Stichwort mit Blick auf die Produktion. Roboter in der Produktion beispielsweise merken zwar, wenn das Material zur Neige geht und funken eigenständig nach Nachschub. Doch wer sie steuert, das wissen sie nicht. „Aktuell verschmilzt das Thema Security mit dem Thema Safety“, sagt Maier. Gerade in einer von Robotik automatisierten Arbeitswelt sei Arbeitsschutz essentiell. In manchen Fällen ließen sich Anlagen aus weiter Entfernung steuern, selbst wenn sie vermeintlich ausgeschaltet seien. „Hier sprechen wir von großen Sicherheitsrisiken, denn in diesem Kontext sind Menschenleben in Gefahr.“ Nun ist Splunk eine Softwarefirma; IT-Sicherheit ist ein Verkaufsargument. Doch zugleich hat das Jahr 2016 gezeigt, dass viele IoT-Geräte so schlecht gesichert sind, dass sie sich sogar ohne professionelles Hackerkenntnisse manipulieren lassen. 

Konkrete Belege, dass dies schon geschehen ist, sind aber bislang in der Öffentlichkeit Mangelware. Die Hacker-Geschichten aus dem Industrieumfeld handeln bislang vorzugsweise von Großkonzernen, die in Vertragsverhandlungen durch die Gegenseite ausgeschaltet wurden, da sich diese vorab relevante Informationen von den Servern des Verhandlungspartners gezogen hatte. Oder es handelt sich um Spionagetätigkeiten und Datenklau, die aber auch ohne die Vernetzung aller Geräte im Internet der Dinge funktionierten. Allerdings veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2016 einen Bericht, wonach aufgrund einer Cyberattacke bei einem deutschen Stahlwerk die Steuerelemente ausfielen und sich ein Stahlofen nicht mehr herunterfahren ließ. Wie der Konzern mitteilte, seien die Attacken nach einer sechsmonatigen Abwehrschlacht erfolgreich abgewehrt worden, „einige Datensätze“ konnten die Hacker stehlen. Besonders kritische Sparten seien vom Angriff nicht betroffen gewesen. Dazu gehören etwa die Produktions-IT der Hochöfen und Kraftwerke oder die Marine Systems, die die deutsche und israelische Marine mit U-Booten ausstattet.  

Cyberrisiko VI: wenn Daten lügen

Doch ist die Schlagkraft eines Cyberangriffs eine andere, wenn der Grad der Vernetzung höher ist. Daher werden IoT-Geräte in der Industrie vorzugsweise mit dem Ziel attackiert, sie zu übernehmen und zum Teil eines ferngesteuerten Rechnernetzwerks zu machen, zu einem Botnetz. Damit können Angreifer „Distributed Denial of Service(DDoS)“-Attacken starten – Attacken, bei denen Server mit massenhaften Anfragen aus dem Internet überschwemmt werden. Das Zielgerät wird lahmgelegt – oder mit der Lahmlegung gedroht. „Erpressungen führen schneller zum Erfolg“, erklärt Oliver Kuklok, Partner und Cyber Security Lead bei der Wirtschaftsprüfungsgesellschaft Ernst & Young. 

Eine vernetzte Fabrik beispielsweise anzugreifen und mit der Bedrohung von Menschenleben zu drohen, die von den dort tätigen Robotern angegriffen werden könnten – die Angriffsflächen für solche Szenarien werden immer größer. „Die Daten bewegen sich nicht innerhalb einer Burgmauer, sie werden ausgetauscht“, betont Kuklok. Innerhalb eines Werks gehe man beispielsweise davon aus, dass der Datensender wahre Daten versendet. Sobald Unternehmen aber horizontal arbeiteten, also Wertschöpfungsketten über verschiedene Partner hinweg vernetzen, könnten sie nicht mehr vom Wahrheitsgehalt der Daten ausgehen. So würden sich beispielsweise Daten, die im Zuge von Predictive-Maintenance-Diensten eines Gleisbetreibers gesammelt werden, verändern lassen. So könnte einem Stellwerk suggeriert werden, dass die Weichen richtig eingestellt seien – was jedoch nicht der Fall sei. Ein Unternehmen wie die Bahn wäre so erpressbar. „Eine Plausibilitätsprüfung ist unabdingbar. Jede Fertigungsstraße muss Daten hinterfragen. Sobald die Anfrage kein positives Ergebnis erzielt, sollte die Produktion eher angehalten werden als fehlerhafte Daten weiterzureichen“, empfiehlt Kuklok. 

Vor allem der bedenkenlose Umgang mit dem Thema Sicherheit beschäftigt Kuklok. Es gibt beispielsweise Kommunen, die den Stromverbrauch öffentlich machen. Start-ups wiederum sammeln diese Daten, um Steuerungsunterstützung für die Kommunen abzuleiten und ihnen so den optimalen Stromverbrauch zu signalisieren. „Manche stellen das als einfache Datei ins Netz“, erklärt er. In größeren Mengen kann man die Planungsgrundlage für den Netzausbau aber verändern. Das kann eine ganze Region schwächen. Kukloks Rechnung: „Angenommen zehn Jahre lang wird zu wenig Strom nach Bayern geliefert, dann überlegen Unternehmen, wo sie hingehen, um zu produzieren.“ 

Cyberrisiko V: neue Geschäftsmodelle

„Wirklich gefährlich sind aber die passenden Geschäftsmodelle“, argumentiert Kuklok. Er spricht von Unternehmen, die derzeit regelrechte Menükarten anbieten. Ein Kunde könne sich dort beispielsweise 200.000 Social Bots kaufen, um ein Unternehmen über Tage hinweg mit Mailanfragen zu beschäftigen. In dem Trubel falle gar nicht auf, dass der Angreifer noch für einen weiteren Menüpunkt bezahlt habe und zur gleichen Zeit die F&E-Abteilung anbohre. „Das ist gefährlich. Das sind Organisationen, die man bekämpfen muss.“ Gerade aber große Industrieunternehmen sind anfällig, solche Angriffe nicht einmal zu bemerken. „Meist arbeiten Unternehmen in einzelnen Silos: IT, Business-IT, Produktions-IT, Werksschutz. In diesen Silos lassen sich Angriffe natürlich nicht kombiniert erfassen.“

Für Matthias Maier wird es spannend, nicht nur wenn es um Industrie 4.0 geht – also die Produktion innerhalb eines Werks. „Sprechen wir vom Internet der Dinge, dann sprechen wir über Geräte und Produkte, die zum Endkonsumenten kommen und von ihm verwendet werden. Hier muss man Zugänge überwachen.“ In Zukunft seien die Hersteller des IoT-Produkts verantwortlich dafür, die Sicherheit über den gesamten Lebenszyklus des Produkts zu managen und sicherzustellen. Ansonsten könnten sie das IoT-Gerät wegschmeißen. „Die digitale Sicherheit muss Teil der Risikostrategie eines Unternehmens sein“, argumentiert Maier. An der Einführung von Sicherheitsbenchmarks und relevanten Kennzahlen führe kein Weg vorbei. „Das muss sein, aber das können sie nur mit dem Entscheider definieren.“