Kolumne : Cyber Security:
Please change a running system - now!

Grafik
© WEKA

Ist Ihr Unternehmen auch schon einmal Ziel eines Hackerangriffs geworden? Wenn ja, wissen Sie vielleicht, wie es sich anfühlt, wenn langsam klar wird, dass Sie einzelne Anlagen nicht mehr steuern können. Sie kennen vielleicht auch den Moment, in dem man realisiert, dass selbst das Einspielen des Backups Tage dauern wird, in denen Ihre Anlagen nicht oder nur teilweise nutzbar sind. Und Sie wissen, dass die Gegenseite sehr professionell unterwegs ist.

Über den Autor: Factory-Kolumnist ist neuer ÖWGP-Präsident

Falls nein, dann sind Sie entweder sehr gut auf Cyberangriffe vorbereitet – und damit Teil einer glücklichen Minderheit im Produktionsumfeld. Oder aber es ist vermutlich nur eine Frage der Zeit, bis Sie die Erfahrung eines Hackerangriffs machen werden.

Letztes Jahr hatte ich die Gelegenheit, mit Frank Rieger – einem der Proponenten des deutschen Chaos Computer Clubs über das Risiko von Hackerangriffen im industriellen Umfeld zu sprechen. Er war der festen Überzeugung, dass dieses seine vollständige Dimension noch lange nicht erreicht hat. Er nannte dafür folgende Gründe: Erstens liegt der Fokus der Angreifer heute vor allem auf den kundennahen Unternehmensbereichen – Marketing und Vertrieb. Diese bieten vielfältige Angriffsflächen und sind sehr einfach über Modifikationen der Office-IT zu erreichen.

Wenn man sich allerdings die IT-Umsetzung in den meisten Produktionsbereichen anschaut, dann lässt sich nichts Gutes ahnen. Immer noch finden wir hier eine toxische Kombination vor – bestehend aus veralteten Programmen und Betriebssystemen, für die teilweise schon lange keine Updates bereitgestellt werden. Dazu kommt dann teilweise noch ein auf Zuverlässigkeit abgestelltes Mindset der Verantwortlichen („Never change a running system…“).

Sicherheit stellt persönlich wie beruflich eine Basisanforderung dar, die erfüllt sein muss, damit wir die Verheißungen im Bereich der Produktion in die Umsetzung bringen können.
Sebastian Schlund

Noch kritischer wird diese Kombination, wenn man bedenkt, dass die virtuelle und die physische Produktionswelt immer stärker zusammenwachsen. Zweifelsohne ermöglicht die digitale Vernetzung vielfältige neue Nutzungsmöglichkeiten. Gleichzeitig ist es natürlich gefährlich, weil so neben dem Risiko angegriffen zu werden auch die potenzielle Schadensschwere steigt. Denken Sie nur an das Zusammenwachsen von Datensicherheit (Security) mit der Personensicherheit (Safety) in vernetzten Produktionsumgebungen.

Verstehen Sie mich bitte nicht falsch; ich möchte Ihnen in meiner ersten Kolumne keine Angst machen. Mir ist das Thema jedoch überragend wichtig. Sicherheit stellt persönlich wie beruflich eine Basisanforderung dar, die erfüllt sein muss, damit wir die Verheißungen im Bereich der Produktion in die Umsetzung bringen können. Damit steht und fällt auch der Wirtschaftsstandort Österreich und eine erfolgreiche Zusammenarbeit der Industrie mit uns Forschenden an Universitäten und Forschungseinrichtungen.

Hier braucht es mehr als wir heute tun. Projekte wie beispielsweise das #safeseclab von TÜV Austria und der TU Wien helfen dabei. Dazu braucht es aber heute schon ein aktives Gegensteuern der Unternehmen und auch mehr Transparenz über die aktuelle Bedrohungslage. Hier geht beispielsweise oben genannter Frank Rieger davon aus, dass die Dunkelziffer von Cyberangriffen und Cyber-Lösegeldzahlungen schon heute beachtlich hoch ist.