Cyberkriminalität: Industrie 4.0 und ihre Sicherheit
von Andreas Brillisauer Industrie 4.0 und ihre Sicherheit
Guten Morgen Trojanisches Pferd
Ein Szenario, das Ihnen sicher bekannt ist: Sie kommen montags zur Arbeit und öffnen zuerst Ihren Posteingang im Mailprogramm. Etliche E-Mails strömen in Ihr Postfach. Darunter eine Mail Ihres Bekannten – er schickt ihnen eine Rechnung ohne Textnachricht. Aber es befindet sich ein Dokument darin und schneller als Sie schauen können befindet sich der Trojaner auf Ihrer Festplatte. Sie erhalten eine dubiose Nachricht mit einer Bankverbindung: "Überweisen Sie 300 € an folgende Bankverbindung, um Ihren PC wieder freischalten zu können".
Herzlichen Glückwusch, alles ist lahmgelegt und die Arbeit wartet. Die Woche beginnt mit einem Horror-Szenario und Sie dachten, dass Ihr Unternehmen doch alle Vorkehrungen getroffen hat, um sich gegen derartige Angriffe von außen zu schützen.
Leider ist das beschriebene Szenario kein Einzelfall. Die Cyberattacken in Industrie und Handwerk nehmen stetig zu. Wie im Kampf gegen Doping hinken jedoch die Anti-Viren-Programme stets hinterher. Dies ist auch logisch, denn zunächst muss ein "Verbrechen" zu Buche stehen, bevor Maßnahmen dagegen getroffen werden können. Daher müssen vor allem auch die Anwender dringend geschult und sensibilisiert werden, um derartigen Angriffen Paroli bieten zu können.
Die Industrie 4.0
Die Sicherung der Qualität ist nicht nur für die Global Player in der Automobilwirtschaft, im Maschinen- und Anlagenbau von Bedeutung. Gerade mittelständische Betriebe müssen den Begriff "Made in Germany" vor Cyberangriffen aus dem Netz sichern, um national wie international konkurrenzfähig zu bleiben. Aus aktuellem Anlass sieht sich auch Stadler Treppen in der Pflicht, das deutsche Gütesiegel zu schützen.
Bevor wir aber Schutzmaßnahmen gegen Cyberattacken thematisieren, sprechen wir zunächst einige Begrifflichkeiten an: "Internet der Dinge", "Industrie 4.0" oder "Machine-To-Machine- (M2M-) Kommunikation" – darunter versteht man die Digitalisierung der Fertigungstechnik und Logistik. Ein Trend, der unaufhaltsam voranschreitet, um auf dem nationalen und weltweiten Markt konkurrenzfähig zu bleiben.
Längst ist jeder Arbeitsplatz mit einem Rechner ausgestattet, an immer mehr Maschinen sind blinkende Netzwerkstecker zu finden. Die Vernetzung schreitet voran. Dabei ist vor allem die Wartung und Steuerung von Maschinen aus der Ferne ein großer Vorteil. Es ist die Rede von der "intelligenten Fabrik", deren Gehirn in einer "Cloud" (also einem externen Rechenzentrum) gespeichert ist.
Deutsche Industrie im Visier von Verbrechern
Der Schaden der Cyberkriminalität an der deutschen Wirtschaft befindet sich mittlerweile im dreistelligen Millionenbereich. Weltweit trägt die deutsche Wirtschaft dabei den meisten Schaden davon – das deutsche Gütesiegel "Made in Germany" ist ein beliebtes Angriffsziel. Der Hintergrund für Hackerangriffe ist meist Industriespionage.
Gerade mittelständische Produktionsbetriebe, Spezialisten auf ihrem Gebiet, sind besonders anfällig für diese Art von Angriffen. Die deutsche Politik hat dies endlich erkannt (vermutlich durch den Druck der Gesellschaft und der deutschen Wirtschaft) und nimmt die Wirtschaft mit ins Boot. Im Sommer 2015 wurde ein Gesetz verabschiedet, das Firmen in die Pflicht nimmt und verlangt, dass diese bei Cyberattacken dies melden müssen.
In der Vergangenheit wurden Cyberattacken totgeschwiegen, um einen Imageverlust zu verhindern. Genau das macht aber den Kampf gegen Cyberkriminalität extrem schwierig. Daher heißt das Motto: "Raus aus der Opferrolle und mit gebündelter Kraft gegen Cyberkriminalität".
Sicherheit hat hohe Priorität - Problembewusstsein stärken
Die informationstechnische Entwicklung ist in den letzten Jahren mit einer unglaublichen Geschwindigkeit vorangeschritten. Mit dieser Entwicklung Schritt zu halten ist für jeden Einzelnen eine Herausforderung – gerade für "ältere" Mitarbeiter oft eine Hürde, die unüberwindbar scheint.
Die Verbraucherzentrale Nordrhein-Westfalen hat daher für den gesamtdeutschen Raum eine Informationsseite eingerichtet, die über Cyberangriffe aufklärt und informiert. Zudem können Sie sogenannte Phishing-Mails (Versuche, über gefälschte E-Mails, Internetseiten oder Kurznachrichten an persönliche Daten eines Intenet-Benutzers zu gelangen) an phishing@vz-nrw.de schicken; dort werden sie anonym bearbeitet.
Tipps der Verbraucherzentrale NRW
Die Verbraucherzentrale NRW hat einen Leitfaden zur Erkennung von Phishing Mails zusammengestellt; da viele betrügerische Mails täuschend echt erscheinen, erkennen Sie sie an folgenden Merkmalen:
- E-Mails mit Rechtschreib-und Grammatikfehlern sind meist nicht in Deutschland verfasst und fehlerhaft übersetzt worden.
- Englische oder französische Mails sind ebenfalls gut herauszufiltern – es sei denn, Sie halten mit dem betreffenden Kunden fremdsprachigen Kontakt.
- Ihr Name fehlt in der Anschrift: "Guten Tag sehr geehrter Kunde, …"
- Sie werden aufgefordert, möglichst schnell Ihr Passwort zu ändern oder einen Betrag zu überweisen. Dies ist meist mit einer Drohung gekoppelt.
- Sie werden gebeten, einen Link zu öffnen und dort Ihre E-Mail-Adresse mit Kennwort oder PIN einzugeben. Meist wird hierfür das Online-Zahlungsportal PayPal missbraucht.
- Sie werden aufgefordert, eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder alternativ über einen Link zum Download bereitsteht. Laden Sie in unerwarteten E-Mails eine solche Datei keinesfalls herunter und öffnen Sie sie keinesfalls: In der Regel beinhaltet diese Datei ein schädliches Programm wie ein trojanisches Pferd oder ein Virus.
- Üblicherweise senden Ihnen Banken Briefe statt E-Mails. Sollte Ihnen Ihre Bank dennoch E-Mails schicken, dann niemals mit Dateianhängen (z.B. Formulare zum Ausfüllen). Nur selten schicken Ihnen Banken und andere Dienstleister E-Mails, die Links enthalten.
- Löschen Sie die Mail umgehend, falls Sie nie E-Mails von Ihrer Bank erhalten, weil sie Ihre E-Mailadresse möglicherweise nicht kennt. Das gleiche gilt, wenn ein Dienstleister zu Ihnen Kontakt aufnimmt, mit dem keine Geschäftsbeziehung besteht.
- Manche Phishing-Mails scheinen durchaus vertrauenswürdig: Bekannter Absender, scheinbar sicherer Link, flüssige Formulierungen – und dennoch kann die E-Mail gefälscht sein, denn auch Absenderadressen sind nicht fälschungssicher.
Grundsätzlich gilt: Seien Sie vorsichtig und holen Sie sich gegebenenfalls Hilfe, wenn Sie sich nicht sicher sind. Nachfragen kostet nichts – das Trojanische Pferd wieder zu verjagen kann dagegen einen hohen Aufwand bzw. hohe Kosten nach sich ziehen.