Cybersecurity1
| von Claas Berlin

Im März dieses Jahres wurde der Aluminiumhersteller Norsk Hydro Ziel eines Cyberangriffs. Den Tätern war es gelungen, eine Schadsoftware namens LockerGoga in das Unternehmensnetz des weltweit tätigen Konzerns einzuschleusen und zu aktivieren. Zahllose Schriftstücke, Präsentationen und Exceltabellen auf den Servern und Arbeitsplatzrechnern von Norsk Hydro wurden verschlüsselt, so dass die betriebliche Tätigkeit massiv beeinträchtigt war. Wie es heißt, konnten die meisten der 35.000 Konzernmitarbeiter nicht mehr arbeiten. Noch fast einen Monat später, am 12. April, war einem Unternehmensbulletin zufolge in drei von fünf Unternehmensbereichen die IT nur eingeschränkt funktionsfähig. In vielen Fällen liefen Prozesse immer noch nicht vollständig nach Plan und mussten manuell nachgearbeitet oder komplett von Hand durchgeführt werden. Man weiß das in dieser Detailfülle, weil Norsk Hydro mit ungewöhnlicher Offenheit auf den Angriff reagiert hatte: Die Geschäftsleitung ging an die Öffentlichkeit und machte ihr Vorgehen weitgehend transparent.

Die Automobilindustrie ist im Vergleich zu dem norwegischen Leichtmetallhersteller eher weniger mitteilsam. Vor gut zwei Jahren wurde Renault Opfer eines ähnlichen Angriffs, seinerzeit mit dem Verschlüsselungstrojaner WannaCry. Bekannt wurde nur, dass der französische Autobauer mindestens einen Tag lang eine seiner größten Fertigungslinien anhalten musste, um den Cyberschädling aus seinen IT-Anlagen zu entfernen. Renault hielt es wie praktisch alle OEMs: Geht es um die Frage von Cyberrisiken, gibt sich die Branche auf eine verdruckste Art verschlossen-optimistisch – der meistgehörte Satz in diesem Zusammenhang lautet: „Unsere IT ist sicher.“ Dabei ist die Vorstellung, dass ausgerechnet die Autoindustrie von Cyberattacken ausgespart bleiben würde, nicht mehr als ein frommer Wunsch.

Die Aktivitäten der Malware-Dunkelmänner nehmen beständig zu, wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jüngsten Lagebericht vermerkt. Eine Rolle spielt dabei die Verfügbarkeit einfach zu bedienender Schadsoftwaregeneratoren im Darknet sowie die Möglichkeit, sich als interessierter Krimineller dort mit wenigen Tastenklicks ein maßgeschneidertes Attackenpaket zusammenzustellen. Der Angriff wird dann automatisiert über gemietete Botnetze ausgeführt – gewissermaßen „Hacking as a Service“. Das steigert die Produktivität der Dunkelmänner erheblich. In den Jahren 2016 und 2017 wurden laut BSI 70 Prozent aller Unternehmen in Deutschland Opfer von Cyberattacken. Neuere Zahlen liegen nicht vor, doch hat diese Zahl sicherlich eher zu- als abgenommen. Definitiv angewachsen ist die Zahl verfügbarer Schadwareprogramme, gleichzeitig nimmt Malware heute ein immer größeres Spektrum von IT-Ressourcen aufs Korn..

Gezielt angegriffen wurden die für die Autobranche typischen komplexen, hochgradig vernetzten und IT-gesteuerten Fertigungsanlagen bislang nur selten. Auch der Produktionsstillstand bei Renault war nach Einschätzung von Experten eher ein zufälliger „Beifang“ gewöhnlicher Erpresser als das Ergebnis einer ausgetüftelten Attacke. Doch sollte sich die Branche deswegen nicht in Sicherheit wiegen. Mit zunehmender Digitalisierung nimmt die Exposition solcher Anlagen für Cyberangriffe zu. „Die Anzahl der IP-Adressen in der Autoproduktion steigt zurzeit rapide an“, sagt Jens Wiesner, der sich beim BSI als Referatsleiter dem Thema Produktionsanlagen widmet. Die Zunahme der IP-Adressen ist eine Folge der steigenden Vernetzung vor allem in den Bereichen Sensorik und Aktorik in der Fertigung.

Und wo es viele IP-Adressen gibt, da bieten sich auch viele Ziele für zwielichtige Zeitgenossen. Die Cyberangriffe müssen nicht einmal direkt gegen die Fertigung gerichtet sein, um Fließbänder zum Stillstand zu bringen. Denn, so Wiesner, die Digitalisierung und Vernetzung der Prozesse führe dazu, dass die Robustheit der Anlagen sinke. „Probleme in der Business-IT schlagen so schneller in die Produktion durch“, sagt der Fachmann. Beispiel Norsk Hydro: Dort führte der Cyberangriff dazu, dass die Rechner für die Lagerhaltung ausfielen. Die Produktion litt darunter, auch wenn sie nicht das Primärziel war.

Es ist gut möglich, dass wir gerade die Stille vor dem Sturm erleben. Denn die IT-Infrastruktur auf Shopfloor-Ebene ist tatsächlich extrem anfällig für Angriffe. Darauf deuten Zahlen von Kaspersky Lab hin, einem der größten Anbieter von Software für den Schutz gegen Cyberattacken. Nach einer zur Hannover Messe veröffentlichten Statistik des Unternehmens wurde im vergangenen Jahr fast die Hälfte aller Industrierechner attackiert. Kaspersky zufolge war die wichtigste Ursache dafür eine mangelnde „Sicherheitshygiene“ – die Schadsoftware wurde fahrlässig oder versehentlich aufgespielt.

Insider sprechen davon, dass die Betriebssysteme und Anwendungssoftware der verbauten Steuerungsrechner häufig Sicherheitslücken aufweisen, weil sie veraltet sind, nicht mehr aktualisiert werden und die Hersteller auch keine Sicherheitsupdates mehr anbieten. Das ist die Kehrseite der langen Betriebslebensdauer solcher IT-Systeme. Während in der Office-IT Server und Rechner alle vier bis fünf Jahre ausgetauscht werden, sind in den Industrieanlagen nicht selten PCs zu finden, die vor fünfzehn Jahren zum ersten Mal eingeschaltet wurden. Dazu kommt der Umstand, dass die Lieferkette der Autobranche überdurchschnittlich fragmentiert ist.

Zwar haben die OEMs selbst ein hohes Sicherheitsbewusstsein entwickelt, wie BSI-Experte Wiesner bestätigt. Das sei etwa daran abzulesen, dass Roboterstraßen bei allen Fahrzeugherstellern eine einheitliche IT-Architektur aufweisen, bei der Cybersicherheit berücksichtigt sei. Das Risiko lauere vielmehr bei den Zulieferern, speziell bei den kleineren Unternehmen. „Die haben oft nicht die Kapazität und die Ressourcen, für entsprechende Maßnahmen zu sorgen“, sagt Wiesner. Zwar bauen ihre Kunden, die OEMs, bereits Druck auf, dass auch sie ihre Produktionslandschaft absichern. Doch hier, erklärt Wiesner, „besteht akuter Handlungsbedarf“.

Bilder: Audi, Photocase/przemekklos, Illustration: Andreas Croonenbroeck