Experte: Handwerkliche Fehler wohl Grund für Cyber-Attacke

Experte: Handwerkliche Fehler wohl Grund für Cybe...

Hacker haben die Industrie für sich entdeckt. Die Angriffe richten sich gezielt gegen Industrieanlagen, und die Kriminellen haben immer öfter Erfolg. Wie der BSI-Sicherheitsbericht 2014 offenbart, wurde 2014 ein Stahlwerk in Deutschland erfolgreich attackiert.

Verwandte Inhalte

 

Viel verrät das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht über das Opfer der Attacke, aber liefert eine verblüffend detaillierte Darstellung über das Vorgehen der Hacker. „Gezielter Angriff auf ein Stahlwerk in Deutschland“, heißt es auf Seite 31 des IT-Sicherheitsberichtes. Die Cyber-Kriminellen hatten sich laut dem Bericht über Social Engineering und Spear-Fishing die Zugangsdaten für das Büronetzwerk des Stahlwerkes besorgt.

„Wenn bereits die Zugangsdaten zum Büronetz ausreichen, damit man damit in der Produktion Schäden anrichten kann, dann liegt hier bereits ein handwerklicher Fehler vor. Beide Netze sind dann wohl zu engmaschig miteinander verwoben. Hier braucht es eine striktere Trennung zwischen Büro und Produktion, damit letztere nicht so einfach angreifbar ist“, sagt Stefan Hölzner, Senior Manager bei KPMG. Bei internationalen Konzernen mit Produktionsanlagen, wie beispielsweise in der Energiewirtschaft, sei es bereits gang und gäbe, dass die Verteidigung gestaffelt sei. Bricht ein Hacker in die erste Schicht eines Netzwerkes ein, dann sei er noch lange nicht bei den Kronjuwelen des Unternehmens oder den Steuerungsanlagen der Ölpumpen, so Hölzner weiter.

Der erfolgreiche Angriff verursachte Schäden im Stahlwerk: Einzelne Steuerungskomponenten oder ganze Anlagen im Werk selbst fielen immer wieder aus. Dies führte dazu, dass ein Hochofen nicht mehr geregelt heruntergefahren werden konnte. Die Anlage wurde stark beschädigt.

Hölzner dazu: „Das Problem ist sehr vielschichtig. Oftmals gibt es mehrere Zugänge in ein Produktionsnetz. Neben der hoffentlich strikt kontrollierten Schnittstelle zwischen Büro- und Produktionsnetz arbeiten üblicherweise auch Dienstleister in der Produktion, die haben ebenfalls Zugang. Dann existieren häufig Funkverbindungen, zusätzlich Schnittstellen zu Partnerunternehmen, und so wird die Sachlage schnell komplex.“

Bislang ist nicht klar, wie zahlreich und – vor allem – wie erfolgreich die Angriffe auf Unternehmen aus der Privatwirtschaft sind. Das Ministerium erklärt das damit, dass, anders als in der Bundesverwaltung, keine Meldepflicht für Angriffe besteht. Das soll sich jedoch mit dem neuen IT-Sicherheitsgesetz ändern.

Digitale Sorglosigkeit

Wie aus dem Bericht des BSI weiter hervorgeht, gibt es in Deutschland jeden Monat mehr als eine Million Infektionen durch Schadprogramme, die sich die Nutzer auf Computer, Notebook und neuerdings auch Tablets und Smartphones holen. Wie es weiter heißt, werden die Entwickler dieser Programme immer ideenreicher. So steigt die Zahl der Schadprogrammvarianten um 300.000 – jeden Tag!

Dem gegenüber stehen Benutzer, die laut BSI durch Medienberichte zwar sensibilisiert wurden. Die vielfältigen Möglichkeiten zum Schutz – wie etwa E-Mailverschlüsselungen – im privaten sowie im geschäftlichen Bereich nutzen sie jedoch kaum. Laut dem BSI scheuen sich die Nutzer davor, diesen Schritt unter anderem aus Komfortgründen zu machen.

„Als Unternehmen muss ich dem Mitarbeiter klarmachen, welchen Stellenwert Sicherheit hat. Es kommt hinzu, dass durch Industrie 4.0 die zunehmende Vernetzung im Produktionsbereich zur Steigerung der Effizienz immer wichtiger wird. Dieses Potential ist zweifelsfrei da, doch man muss es vorher gut absichern. Aus meiner Sicht kann Industrie 4.0 nur dann erfolgreich sein, wenn sie auf einem sicheren Fundament steht“, gibt Hölzner zu bedenken.

Redaktion: Moritz Ballerstädt

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform