Sichere Industrie 4.0 : Industrielle Cyber Security: das müssen Sie für Ihr Unternehmen wissen

Die Industrie 4.0 hat eine Ära mit einem enormen Potenzial für Innovation und Wachstum eingeläutet. Sie bringt aber auch neue Risiken und Herausforderungen mit sich. Am deutlichsten wird dies in der heutigen Cyberlandschaft der produzierenden Industrie. Die Produktionsstätten sind weltweit verteilt und mittlerweile auch miteinander vernetzt. Daher kann ein Cyberangriff auf ein Unternehmen Auswirkungen auf die gesamte Lieferkette haben, mit kostspieligen Folgen.

Die Cyberkriminalität steigt von Jahr zu Jahr - mittlerweile gehört das schmutzige Geschäft zu den lukrativsten Zweigen der internationalen Kriminalität. Dennoch wird die Cybersecurity in den Unternehmen nach wie vor vernachlässigt, die Angreifer haben oft leichtes Spiel. Die Auswirkungen von groß angelegten Cyberangriffen, die zu Stillständen oder sogar zur Kompromittierung der zivilen Sicherheit führen können, beschäftigt längst auch die Gesetzgeber, die industrieweite Standards einführen, um die steigende Gefahrenlage einzudämmen.

Ransomware-Attacken in Österreich haben in den vergangenen zehn Jahren stark zugenommen. Bei jedem achten Unternehmen kommt es sogar fast jeden Tag zu einer Attacke. Ein weiteres Ergebnis des Cybersecurity-Reports von Deloitte und SORA ist, dass sensible Unternehmensdaten immer öfter verschlüsselt werden. Auf den Ernstfall vorbereitet ist die Mehrheit der heimischen Unternehmen jedoch nur unzureichend.

49 Prozent der befragten Unternehmen waren bereits von mindestens einer Ransomware-Attacke betroffen. Auf jeden Fall sollten Unternehmen sich bewusst machen, was zu tun ist, wenn Ransomware angegriffen wird, denn der wirtschaftliche Schaden, der dadurch entstehen kann, ist enorm. Ein falscher Klick kann so zum kompletten Stillstand führen. „Der wesentliche Unterschied liegt in der Schadenshöhe, die in der Industrie weitaus höher ist als im Rest der Wirtschaft. Im Durchschnitt gehen wir in der österreichischen Wirtschaft von einem Schaden von 1,2 Millionen Euro aus. Aber in der Industrie sehen wir in der Regel viel höhere Folgekosten“, so Georg Schwondra von Deloitte Österreich.

Neben dem finanziellen Schaden sind für jedes zehnte betroffene Unternehmen auch der Imageschaden und der Verlust wichtiger Informationen als Folge eines Cyberangriffs eine große Belastung. Nur 5 Prozent der Befragten haben laut eigenen Angaben im Fall einer Datenverschlüsselung Lösegeld bezahlt. Die Beratungspraxis zeigt allerdings, dass viele Betroffene nicht darüber sprechen, wenn sie auf die Forderungen von Angreifer eingehen. Schwondra geht daher von einer deutlich höheren Dunkelziffer aus.

Die Zahl der Cyber-Angriffe nimmt zu. Es stellt sich nicht mehr die Frage, ob ein Unternehmen Opfer einer Ransomware-Attacke wird, sondern wann und mit welchen Folgen. Für den Ernstfall verfügt derzeit nur jedes fünfte Unternehmen in Österreich über einen ausgearbeiteten Krisen- oder Notfallplan.

Die Zahlen sind deutlich: Die Anzahl von Phishingattacken ist in den vergangenen fünf Jahren weltweit um rund 1.500 Prozent gestiegen, bis 2031 soll die Kriminalität mit Schadprogrammen auf ein astronomisches Volumen von 224 Milliarden Euro wachsen. und trotzdem wird das Thema in der Industrie nach wie vor vernachlässigt.

Das bestätigt Christian Landström, Head of Managed Security Services bei G Data Advanced Analytics. In der Praxis habe man die Erfahrung gemacht, dass die Security auf die leichte Schulter genommen wird. "Es ist so lächerlich einfach, in Unternehmen einzudringen. Die Cybersicherheit in den Unternehmen ist grandios schlecht aufgestellt." Interessant ist, dass gerade in Industrieländern wie Deutschland oder Österreich das Thema stark vernachlässigt wird: "Die Wahrnehmung der Bedrohung ist in skandinavischen Ländern sehr viel realistischer als bei uns. Beim Thema Digitalisierung und damit auch Cybersicherheit sehe ich bei uns eine unglaubliche Arroganz und Hochnäsigkeit."

Landström sieht hinter der Tabuisierung ein kulturelles Problem. Nur wenige Fälle dringen in die Öffentlichkeit durch, die Dunkelziffer sei immens. "Die ganzen großen Angriffe auf die deutsche Industrie, sind nie in der Presse gelandet. Ich habe etliche davon betreut, darf aber natürlich nicht sagen, welche. Kein einziger Fall, hat es in die Presse geschafft. Ich habe einige Jahre bei Airbus in der Verteidigungssparte gearbeitet und habe bei Unternehmen Angriffe gesehen, wo ich heute sage, es ist klar, wieso darüber nicht geredet wird. Wenn das öffentlich würde, hätte das Folgewirkungen auf die Bundeswehr, die NATO-Ebene und darüber hinaus."

Cyberkriminelle haben Österreich schon längst als beliebtes Ziel für sich entdeckt - die Securitymaßnahmen sind oft unzureichend. Immer öfter dringen Informationen über solche Vorfälle an die Öffentlichkeit. Russische Hacker haben im Mai 2022 die Server des Landes Kärnten lahmgelegt und 250 Gigabyte Daten gestohlen. Aber auch aus der Industrie, die sich zu diesem Thema gerne verschweigt, werden zunehmend Attacken auf Industriebetriebe bekannt. Bisher wurde durch das Bekanntwerden solcher Angriffe ein Imageverlust befürchtet, doch Unternehmen wie Pilz haben einen Angriff zum Anlass genommen, um aus den eigenen Fehlern zu lernen und dieses Know-how weiterzugeben.

Mit der speziellen Ausgangslage für die Industrie beschäftigt man sich auch im Innenministerium. Die fehlenden Meldepflichten für den Großteil der Unternehmen auch geführt, dass es kaum zur Zusammenarbeit zwischen Behörden und Unternehmen gekommen ist: „Aus Sicht einer Sicherheitsbehörde ist die Dunkelziffer von Cyberangriffen immer noch sehr hoch, insbesondere wenn keine gesetzlichen Meldepflichten bestehen. Polizeibehörden werden von den Betroffenen leider selten als Unterstützung und Informationsquelle bei derartigen Angriffen gesehen, sondern häufig als zusätzlicher Aufwand. Oft wird nur eine Meldung an die Datenschutzbehörde durchgeführt, aber keine polizeiliche Anzeige erstattet, weswegen auch nicht alle Vorfälle in der Statistik aufscheinen“, so Ressortsprecher Harald Sörös.

Ein weiterer Faktor für die österreichische Kultur des Schweigens: In Deutschland gibt es seit 2019 eine eigene Bundesagentur, die sich mit Informationssicherheit beschäftigt. In Österreich hingegen gibt es eine ganze Reihe von Institutionen, die sich unter den Dächern des BKA, BMI und BMLV versammeln. Dieser Umstand dürfte die Meldefreude der betroffenen Unternehmen nicht wirklich fördern.

Die schier unüberschaubare Anzahl an verschiedenen Stellen in der österreichischen Verwaltung kritisiert auch Michael Krausz, Geschäftsführer und Chief Consulting Officer der i.s.c. Group: "Es bedarf eines One-Stop-Shop-Prinzips mit dedizierten Hotlines, Ansprechpartnern und Key Account Managern. Die Bündelung dieser Kompetenzen scheitert aber an der Realität. Es gibt immer wieder gegenseitige Eifersüchteleien oder es werden parteipolitische Interessen verfolgt."

Mehr dazu hier: Cyber Security in Österreich – Eifersucht und Parteipolitik

Dass die unterschiedlichen politischen Couleurs auch bei diesen Themen nicht zusammenarbeiten können, irritiert mich sehr. Man kann zwar nicht pauschal sagen, dass die verschiedenen Institutionen schlechte Arbeit leisten. Aber diese mangelnde Koordination ist einfach extrem produktivitätshemmend. Für die Zusammenlegung der Institutionen ist keine Verfassungsmehrheit erforderlich, die Umsetzung wäre also sehr einfach."

Das zweite Jahr in Folge ist die Fertigungsindustrie die am schnellsten wachsende Branche für Cyberangriffe. Allein im Jahr 2022 haben sich die Ransomware-Angriffe auf die industrielle Infrastruktur verdoppelt, was potenziell systemische Auswirkungen auf die Lieferketten hat. Ein aktuelles Beispiel ist der Ransomware-Angriff auf einen großen Zulieferer der Halbleiterindustrie, der Berichten zufolge im nächsten Quartal 250 Millionen US-Dollar kosten wird.

Zu den größten Bedrohungen des Sektors zählen Phishing-Angriffe, Ransomware, Diebstahl von geistigem Eigentum (IP), Angriffe auf die Lieferkette und Angriffe auf das industrielle IoT. Eine kürzlich veröffentlichte Studie hat außerdem ergeben, dass im Jahr 2021 25 Pozent der Vorfälle, die zu Erpressung führten, auf Opfer in der Fertigungsindustrie entfielen.

Industrieunternehmen sind ein lukratives und leicht zugängliches Ziel für Ransomware, da sie nur eine geringe Toleranz gegenüber Ausfallzeiten haben und im Vergleich zu anderen Branchen einen relativ geringen Cyber-Reifegrad aufweisen. Hinzu kommt, dass die Branche aufgrund der langen Produktionszyklen und der hohen Investitionen, die für die Umgestaltung von Fertigungsstraßen erforderlich sind, häufig nicht in die Cyber-Resilienz investiert.

Einige frühere Beispiele für groß angelegte Ransomware-Angriffe auf die Industrie sind die WannaCry-Ransomware aus dem Jahr 2017, die über 100 Länder betraf und die Produktion eines großen Automobilherstellers zum Stillstand brachte. Ein globaler Angriff von 2019 zielte auf einen Hersteller von Flugzeugkomponenten ab und legte die Produktion in Fabriken in vier Ländern lahm. Und die Ransomware LockerGoga, die im März 2019 einen großen Aluminiumhersteller in Norwegen angriff. Nicht zuletzt der Krieg in der Ukraine, wo die industrielle Infrastruktur der Ukraine zum strategischen Ziel der russische Kriegsführung geworden ist, veranschaulicht die gigantischen Ausmaße der industriellen Cybersecurity.

Der erhöhte Druck auf die Lieferketten macht die Fertigungsindustrie aus krimineller Sicht zu einem besonders potenten Wirtschaftszweig, da die hohen Anforderungen an die Betriebszeit, d. h. jede Sekunde, in der der Betrieb unterbrochen wird, Geld kostet, das Potenzial für Auszahlungen noch größer macht. Kriminelle haben es immer auf Unternehmen abgesehen, die zahlen müssen. Trotz alledem gibt es noch immer nur wenige klare globale Normen, Standards und Regeln zur Eindämmung und Verhinderung von Cyberkriminalität.

Die Ausgaben für Produkte und Dienstleistungen in den Bereichen Informationssicherheit und Risikomanagement werden den Prognosen zufolge um 11,3 Prozent steigen und im Jahr 2023 mehr als 188,3 Milliarden US-Dollar erreichen. Da sich Unternehmen zunehmend auf ESG, Drittparteirisiken, Cybersicherheitsrisiken und Datenschutzrisiken konzentrieren, prognostiziert Gartner, dass der Markt für integriertes Risikomanagement (IRM) bis 2024 ein zweistelliges Wachstum aufweisen wird, bis ein stärkerer Wettbewerb zu günstigeren Lösungen führt.

Aufgrund von Cloud-Services sehen sich Unternehmen mit erhöhten Sicherheitsrisiken sowie der Komplexität des Betriebs und der Verwaltung mehrerer Technologien konfrontiert. Dies wird laut Gartner zu einem Vorstoß in Richtung Cloud-Sicherheit führen, und der Marktanteil von Cloud-nativen Lösungen wird wachsen. Insofern ist es verständlich, dass die Ausgaben für Cloud-Security mit rund 81 Prozent in den vergangen Jahren den höchsten Wachstum hatte.

Nach zähen Verhandlungen ist Anfang 2023 die neue Cybersecurity-Richtlinie der Europäischen Union NIS2 in Kraft getreten. Die Mitgliedsstaaten haben für die Umsetzung 21 Monate Zeit. Die erste Stufe der Harmonisierung besteht in einer Ausweitung der betroffenen Sektoren. Durch die Einbeziehung der Postdienste, der Abfallwirtschaft, der chemischen Produktion und des Vertriebs sowie der Agrar- und Ernährungswirtschaft wird sich die Zahl der von der NIS2-Richtlinie erfassten Sektoren von 19 auf 35 erhöhen.

Unterauftragnehmer und Dienstleister mit Zugang zu kritischen Infrastrukturen, die in der ersten Fassung der Richtlinie nicht berücksichtigt wurden, werden ebenfalls der NIS2 unterliegen. Das liegt daran, dass Schwachstellen in der Infrastruktur eines Anbieters die Sicherheit der OES, für die er arbeitet, gefährden könnten. So werden beispielsweise im Energiesektor die Sicherheitsmaßnahmen nicht mehr nur den Stromerzeugern, -transporteuren und -verteilern auferlegt. Auch alle Unterauftragnehmer für kritische Infrastrukturen werden davon betroffen sein. Vor allem Dienstleister und andere Unternehmen, die digitale Dienste anbieten, werden verpflichtet sein, jeden Sicherheitsvorfall innerhalb von 72 Stunden zu melden, um die Ausbreitung des Angriffs einzudämmen.

Insbesondere schreibt die NIS 2 eine stufenweise Meldepflicht vor, wobei die erste Meldung ("Frühwarnung") innerhalb von 24 Stunden nach Bekanntwerden des bedeutenden Vorfalls erfolgen muss. Auf diese Frühwarnung folgen eine "Störfallmeldung" (innerhalb von 72 Stunden) und ein "abschließender" Bericht (innerhalb eines Monats nach Einreichung der Störfallmeldung).

Die NIS 2 sieht vor, dass die Mitgliedstaaten bei Nichteinhaltung der Vorschriften ähnliche Geldbußen verhängen wie nach der Datenschutz-Grundverordnung. Je nachdem, ob eine Einrichtung als "wesentlich" oder "wichtig" eingestuft wird, können die Geldbußen für die Nichteinhaltung folgendermaßen aussehen:

• höchstens 10 Mio. EUR oder höchstens 2 % des Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr; oder
• höchstens 7 Mio. EUR oder höchstens 1,4 % des Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.

Cyberbedrohungen sind eine allzu häufige Gefahr für Unternehmen in allen Branchen. In der Vergangenheit ging man davon aus, dass Finanzinstitute, Einzelhandelsketten und der medizinische Sektor am stärksten von Cyberangriffen bedroht sind. Mit der zunehmenden Abhängigkeit der produzierenden Industrie von Daten und Technologie ist jedoch auch die Gefahr von Cyberangriffen enorm gestiegen. Auch wenn die Angriffe immer ausgeklügelter werden, lassen sich die meisten Angriffe auf die fehlende Awareness von Mitarbeitern zurückführen, die leichtsinnig auf Emails klicken.