Digitalisierung birgt Risiken: Im Visier der Hacker

Cyber-Angriffe Digitalisierung birgt Risiken: Im Visier der Hacker

14.02.2022 Ein Gastbeitrag von Bettina Bhend und Stefan Jermann

Anbieter zum Thema

ESTA Apparatebau GmbH & Co. KG

KOHLER Maschinenbau GmbH

evopro systems engineering AG

Bystronic Laser AG

Cyber-Angriffe auf Unternehmen nehmen weltweit zu. Im Fokus der Hacker stehen besonders Betriebe, die ihre Maschinen, Geräte und Geschäftsprozesse miteinander vernetzen. Deshalb lohnt es sich, in die Cyber-Security zu investieren.

Es ist die größte Lösegeldsumme, die Hacker bisher nach einem Angriff auf ein Unternehmen gefordert haben: 50 Mio. Dollar. Im Juli 2020 schlug die Hacker-Gruppe REvil beim US-amerikanischen Softwarehersteller Kaseya zu. Die Millionenforderung erfolgt, nachdem die Hacker die Systeme von Kaseya lahmgelegt hatten – und damit auch tausende weitere Firmen außer Betrieb setzten, die mit der Software der Amerikaner arbeiteten.

Hacker sind zur Mafia des digitalen Zeitalters geworden. Sie blockieren Systeme, stehlen sensible Daten und erpressen Geld. Sie agieren längst nicht mehr als Einzelpersonen im Hinterzimmer, sondern als professionell organisierte Gruppen, die technologisch top ausgerüstet sind. Zu ihren Angriffszielen zählen sowohl internationale Konzerne als auch mittelständische und kleine Unternehmen.

Bildergalerie

Um sich gegen Cyberangriffe zu schützen, gibt es einige Maßnahmen, die gerade auch mittlere und kleinere Unternehmen ohne hohe Ausgaben und mit geringem Aufwand realisieren können.

Sicherheit in der Smart Factory

Info

Unternehmen, die ihre Maschinen, Mitarbeitenden und Anwendungen intelligent und sicher vernetzen wollen, sollten die Cyber-Sicherheit von Anfang mitdenken. Experten sprechen bei dieser Vorgehensweise von «Security by Design» - um möglichst viele Sicherheitslücken zu vermeiden.

Folgende Sicherheitsmassnahmen sind für Industriebetriebe geeignet:

Zentrales Management-Tool: Die zentrale Steuerung aller Maschinen und Anlagen bietet einem Unternehmen jederzeit den Überblick über sämtliche Anwendungen. So lässt sich auf einen Blick erkennen, auf welche Teile eines Netzwerks wann und wo zugegriffen wird. Zudem kann ein Betrieb so alle IoT-Geräte über eine Anwendung verwalten und überwachen.

Nicht jeder darf alles: Jeder Mitarbeitende, jede Maschine und Anlage benötigen individuelle Benutzerkonten und Zugriffsrechte. Damit erhält jeder Akteur nur Zugang zu den Daten, die für seinen Arbeitsbereich relevant sind. Bei Cyberangriffen kann so der potentielle Schaden minimiert werden.

Daten-Überwachung: Mit einem zentralen Management-Tool kann eine Firma alle ihre Daten sammeln, visualisieren und analysieren. Damit werden verdächtige Vorgänge sichtbar. Zu den sicherheitsrelevanten Ereignissen, die aufgezeigt werden können, zählen inkorrekte Passworteingaben, Ressourcenüberlastung, unbefugte Zugriffe oder Änderungen in Konfigurationsdateien.

IoT-Anwendungen sind von Sicherheitslücken betroffen

Heute kann jeder Betrieb zur Zielscheibe von Hackern werden. Das gilt besonders für Firmen, die ihr Geschäft durchgängig digitalisieren. In diesen Unternehmen kommunizieren Geräte, Maschinen und Computer häufiger autonom miteinander. Neben den vielen Vorteilen der Digitalisierung wächst dadurch auch das Risiko für Cyber-Angriffe. Denn schon ein einziges Gerät, das per Internet mit einem Netzwerk verbunden ist, kann großen Schaden anrichten.

Das zeigt ein Beispiel aus Las Vegas: Dort haben Cyberkriminelle die vermeintlich gut gesicherte Finanzabteilung eines Casinos gehackt. Schuld waren die Fische eines Aquariums – oder besser gesagt, der Internetanschluss dieses Aquariums. Es verfügte über eine Anwendung, die via Internetverbindung die Fische füttert und die Wasserqualität überprüft. Dieses System enthielt eine Sicherheitslücke, durch welche die Hacker ins Netzwerk eindrangen.

Das Aquarium ist kein Einzelfall. Weltweit sind Millionen von webbasierten Geräten – sogenannte „Internet der Dinge“-Anwendungen (IoT) – von Sicherheitslücken betroffen, sagen Forscher der US-amerikanischen Sicherheitsfirma Forescout. Unter dem Namen „Amnesia: 33“ haben sie 2020 die 33 häufigsten Schwachstellen identifiziert. Sie stellten fest: Bei rund der Hälfte aller untersuchten Fälle, waren IoT-Geräte wie Kameras, Sensoren, smarte Lichtschalter, Barcode-Lesegeräte, Drucker oder Audioanlagen betroffen.

Gerade Industriefirmen setzen immer häufiger IoT-Geräte ein. Im Zeitalter der Industrie 4.0 vernetzt das Internet der Dinge die Betriebsprozesse in der Fertigungshalle immer stärker mit der IT. Digitale Technologien sind im Herzen von Industrieunternehmen angekommen. Sie stecken in der Steuerung von Maschinen und Anlagen, in Kontrollsystemen oder auch in der Gebäudetechnik. Das bedeutet: Die Systeme, Sensoren und Software aller Geräte und Maschinen kommunizieren über gemeinsame Netzwerke. Damit entstehen viele neue Schnittstellen, die Angriffsfläche für Cyber-Attacken bieten.

IoT-Geräte sind beliebte Hacker-Ziele

Geht es um die Sicherheit, sind IoT-Geräte deshalb so anfällig auf Schwachstellen, weil sie rund um die Uhr online, oft schlecht gewartet und selten überwacht sind. Was das genau heißt, zeigt eine Studie des US-Softwareunternehmens Symatec: Sie kommt zum Schluss, dass heute zwei Drittel aller internetfähigen Geräte Usernamen wie „admin“ und Standard-Passwörter wie „12345“ haben. Zudem wird bei Geräten wie etwa Druckern häufig vergessen, Updates einzuspeisen.

Solche Schwachstellen spielen den Hackern in die Hände. Für Industriefirmen, die mit der Digitalisierung ihres Betriebs zunehmend IoT-Geräte einsetzen, können diese Sicherheitslücken schwerwiegende Folgen haben:

Ausfall in der Produktion: Verschaffen sich Cyberkriminelle Zugriff auf eine vernetzte Fertigungsanlage, können sie Schadsoftware installieren und die Produktion stoppen. Bis das betroffene Gerät identifiziert wird, fallen durch nicht verfügbare Dienste Ausfallzeiten an.

Diebstahl von geistigem Eigentum: Hacker entwenden Patente und geistiges Eigentum. Verkaufen sie diese Daten etwa im Darknet weiter, kann ein hoher finanzieller Schaden für das Unternehmen entstehen.

Publikmachen sensibler Daten: Cyberkriminelle suchen nach heiklen Daten, die sie veröffentlichen können. Besonders Firmen mit sensiblen Personaldaten tragen ein hohes Risiko, einen wirtschaftlichen und reputationsbezogenen Schaden mit allfälligen strafrechtlichen Folgen zu erleiden.

Die Beispiele zeigen: Die Verwundbarkeit von Unternehmen ist gross. Deshalb wird die Cyber-Security für Firmen immer unverzichtbarer. Doch während es für die Sicherheitsverantwortlichen eines Betriebs klar ist, dass man sich gegen physische Einbrecher schützen muss, fehlt es in vielen Betrieben häufig an wirksamen digitalen Sicherheitsschranken.

Einfache Masche: Erst Eindringen ins System, dann erpressen

Fehlen die digitalen Schranken, haben Hacker leichtes Spiel, mit ihren erpresserischen Handlungen an Geld zu kommen. Dabei gehen sie folgendermaßen vor:

1. Schritt: Eindringen

Als erstes suchen sich Cyberkriminelle ihr Angriffsziel aus. Ist es identifiziert, versuchen sie, in das Netzwerk des ausgewählten Unternehmens einzudringen. Am häufigsten versenden Hacker dazu Phishing-Emails an Mitarbeitende. Eine Studie der internationalen Cybersicherheitsfirma Proofpoint zeigt: Zwei Drittel der befragten Unternehmen in Deutschland, Frankreich, Großbritannien, Australien, Japan und den USA waren im Jahr 2020 von Phishing-Attacken betroffen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die Phishing-Emails enthalten meistens einen Link oder eine Datei. Klickt der Mitarbeitende darauf, wird im Hintergrund eine Schadsoftware auf den Computer geladen – damit steigen die Angreifer ins Firmennetzwerk ein. Dort suchen sie nach interessanten Daten, mit denen sie die Unternehmen erpressen können. Dabei sind sie besonders an sensiblen Kundendaten, geistigem Eigentum oder anderen geheimen Unterlagen interessiert.

2. Schritt: Erpressen

Oft ziehen die Angreifer die sensiblen Daten aus dem Firmennetzwerk ab, verschlüsseln diese und fordern dann ein Lösegeld. Zahlt die Firma, stellen die Erpresser eine Software bereit, mit der das Unternehmen die Daten wieder entschlüsseln kann. Wie das Nationale Zentrum für Cybersicherheit der Schweiz in seinem jüngsten Bericht festhält, gehen die Erpresser dabei immer dreister vor: Viele von ihnen setzen Verschlüsselungstrojaner ein, auch Ransomware genannt. Um Druck auf ihre Opfer auszuüben, greifen die Cyberkriminellen auch zum Telefon. So sollen sie die betroffenen Unternehmen anrufen und ihnen drohen, etwa Journalisten über die Sicherheitslücken im Firmennetzwerk zu informieren oder sensible Daten auf Data-Leak-Seiten zu veröffentlichen.

Solche Repressalien scheinen bei den Opfern zu wirken: Wie die internationale Studie von Proofpoint zeigt, hat über die Hälfte der erpressten Unternehmen 2020 die Lösegeldforderung bezahlt, um wieder auf die eigenen Systeme und Daten zugreifen zu können.

Schon einfache Schutzmaßnahmen können helfen

Um sich gegen Cyberangriffe zu schützen, gibt es einige Massnahmen, die gerade auch mittlere und kleinere Unternehmen ohne hohen Ausgaben und mit geringem Aufwand realisieren können:

Mehr sensibilisieren: Schulungen sind wichtig, damit Mitarbeitende Phishing-Emails besser als solche erkennen und nicht öffnen. Diese Sensibilisierungsarbeit braucht es über alle Bereiche eines Unternehmens hinweg, um den Umgang mit Firmendaten möglichst sicher zu gestalten.

Sicherheitsstandards einhalten: Was selbstverständlich klingt, ist sogar bei grossen Firmen nicht immer der Fall. Viele Mitarbeitende verwenden oft jahrelang das gleiche Passwort. Geräte lassen sich so einfacher hacken.

Risikoanalyse machen: Mit einer Analyse werden die digitalen Sicherheitslücken sichtbar. Gerade für Betriebe, deren IT-Netzwerk organisch gewachsen ist, kann eine solche Analyse sinnvoll sein – da die Cyber-Sicherheit im Wachstumsprozess häufig nicht von Anfang an berücksichtigt wurde. Auf dieser Basis kann ein Unternehmen dann ein Schutzkonzept erstellen (siehe Box „Sicherheit in der Smart Factory“).

Cyber-Security ist Chefsache: Damit ein Unternehmen die Sicherheitsmassnahmen über alle Geschäftsprozesse hinweg implementieren kann, braucht es ein starkes Bekenntnis der Geschäftsleitung. Sie sollte das Thema zum Teil der Unternehmenskultur machen.

Gemeinsam mit allen für Sicherheit sorgen

Wirksame digitale Sicherheitsschranken sind für jedes Unternehmen zwingend – das zeigt die besorgniserregende Entwicklung bei Cyber-Angriffen. In der neuen Realität der cyberkriminellen Bedrohung geht es für Betriebe primär darum, ein digitales Sicherheitskonzept zu erstellen, das den Risiken aus dem Netz zuverlässig Rechnung trägt. Dazu gehört insbesondere auch, dass sich alle Mitarbeitenden den Gefahren bewusst sind und sich entsprechend vorsichtig verhalten.

Trotzdem: Eine hundertprozentige Sicherheit gegen Angreifer gibt es nicht. Auch darüber sollten sich Firmen im Klaren sein. Vielmehr geht es für sie darum, auf dem Weg zum digitalen Betrieb im Gleichschritt mit der technologischen Aufrüstung die nötigen Sicherheitsschranken zu errichten.

Das gelingt Firmen in der Industrie 4.0, wenn sie neben dem internen Kulturwandel für mehr Sicherheitsverantwortung auch bei externen Entscheidungen auf Sicherheit setzen. Will heißen: Auf der einen Seite sollten Betriebe Cyber-Security-Faktoren bereits bei der Wahl ihrer Partner berücksichtigen. Auf der anderen Seite müssen IoT-Hersteller die Cyber-Security in die Entwicklung ihrer Lösungen integrieren. Die smarte Vernetzung wird nur dann zum Erfolg, wenn neben der Performance auch der Schutz der digitalen Infrastruktur stimmt.

Das Competence Center Cutting von Bystronic in Niederönz in der Schweiz. (Bystronic)

Die 5 Top-Gefahren