Schöne neue IOT-Welt – vernetzt und angreifbar

Die Nachrichten von Cyberangriffen begleiten inzwischen unseren Alltag. Immer wieder werden Unternehmen zum Ziel von Hackerattacken. Dafür gibt es verschiedene Motivationen. Zum einen die Industriespionage: Hacker wollen sich Informationen des Ziel-Unternehmens aneignen. Zum anderen das Lahmlegen durch Wettbewerber: Hacker wollen dem Unternehmen konkret schaden und die Produktion zum Erliegen bringen. Eine weitere, immer mehr aufkommende Motivation ist die digitale Erpressung: Hacker wollen ein Unternehmen erpressen, indem sie sich Zugang zu Daten oder Steuerungsmodulen verschaffen und drohen, essenzielle Unternehmensabläufe zu stören. Genau hier liegt auch eines der grössten Risiken für die Gesellschaft, denn sind sensible Unternehmen, etwa aus der Gesundheitsbranche, Ziel eines solchen Angriffs, geraten schnell auch Unbeteiligte ins Visier.

Durch das Industry Internet of Things (IIoT) sind nicht nur Bauteile, Industrieanlagen und Fertigungsstrecken miteinander vernetzt und kommunizieren. Auch alltägliche Produkte bieten Hackern Einfallstore. Herzschrittmacher oder Insulinpumpen sind heute über WLAN steuerbar. Für Angreifer ist es mitunter ein Leichtes, sich Zugriff zu verschaffen, wenn diese Geräte nicht «by Design» vor solchen Angriffen geschützt sind. Auch beim Thema Mobilität spielt Cybersecurity eine entscheidende Rolle. Inzwischen verzichten Automobilhersteller zum Teil auf klassische Datenkabel im Fahrzeug und greifen aus Kostengründen auf kabellose Lösungen zurück. In der Folge sind einige, moderne Autos mit einem kleinen WLAN-Netzwerk ausgestattet, dessen Sicherheitssysteme für Hacker selten eine wirkliche Hürde darstellen. Das Radio oder die Scheinwerfer an- und ausschalten sind dabei noch harmlose Optionen. Längst sind Angriffsmethoden beschrieben worden, bei welchen Hacker im dichten Verkehr plötzlich das Gaspedal durchdrücken oder auf der Autobahn eine Vollbremsung auslösen können – vieles kann nach gewaltsamem Eindringen von aussen gesteuert werden.

Einzelpersonen sind jedoch selten Ziel der Angreifer. Cyberkriminelle haben vielmehr Firmen im Visier, die sie mit ihrem Handeln erpressen können. So könnten Hacker sich in Produktionsprozesse einklinken und Fertigungen manipulieren. Schnell kann zum Beispiel unbemerkt eine Legierung durch einen Hacker-Angriff von aussen verändert werden. Das Endprodukt fängt dadurch schneller an zu rosten, bereitet dem Hersteller einen irreparablen Imageschaden und verursacht enorme Kosten. Man stelle sich nur vor, dass ein Produzent von spezifisch angefertigten Implantaten oder ein Hersteller von sicherheitsrelevanten Bauteilen Opfer eines solchen Erpressungsversuchs wird.

Unternehmen müssen aber nicht zwingend eine vernetzte IIOT-Struktur vorweisen, um von Cyberrisiken betroffen zu sein. Die Wirtschaft und ihre Geschäftsmodelle sind heute stärker denn je vom Internet abhängig – allein in der Schweiz trifft dies auf 72 Prozent aller Unternehmen zu. Das geht soweit, dass auch ihr künftiges Wachstum an einen abgesicherten Online-Zugang gekoppelt ist. Ein wirksamer Schutz gegen Angriffe aus dem Internet ist daher existenziell (siehe Abbildung).

 

Das Wachstum der Wirtschaft ist von einem sicheren Internet abhängig (Quelle: Accenture, Studie «Securing the Digital Economy, Reinventing the Internet for Trust», 2019).

 

Wirksamer Schutz vor Cyberrisiken?

Unternehmen sind sich dieser Gefahrenlage immer mehr bewusst und arbeiten an Schutzmassnahmen für ihre IT. Dennoch bleiben Sicherheitslücken bestehen. Einer der Gründe dafür: Das IIOT wird immer mehr zum Gerüst von neuen Betriebsmodellen. Ein guter Schritt für viele Unternehmen in Richtung Industrie 4.0, doch gleichzeitig auch von Cyberkriminellen dankend angenommene neue Angriffsvektoren. Unternehmen haben hier vorrangig das Problem, dass sie sich meist in einem umkämpften Preis-Wettbewerb befinden. Stückzahl und Fertigungsrate sind dann entscheidende Erfolgsfaktoren. Die relevante Absicherung dieser Prozesse wird jedoch oftmals als zweitrangig wahrgenommen. Dies ist insofern erstaunlich, als dass bei diesen Firmen wohl niemand die Notwendigkeit von Feuerlöschanlagen ernsthaft in Frage stellen würde. Aber auch hier zeigt sich, dass nicht direkt sichtbare Gefahren, oftmals nicht als solche wahrgenommen und darum auch nicht bekämpft werden. «Security by Design» ist eine Lösung, doch fehlt es oft am nötigen Fachwissen und der Bereitschaft frühzeitig in Sicherheitsmassnahmen zu investieren.

Die Komplexität von Cybersecurity macht es für viele Unternehmen schwierig, das Thema ganzheitlich zu betrachten und daraus die richtigen Schlüsse zu ziehen. Als Beispiel kann hier die Automobilbranche herangezogen werden. Für die fahrenden Computer-Systeme kommt die Fahrzeug-IT von verschiedenen Herstellern aus der ganzen Welt – und alle Komponenten müssen untereinander kompatibel sein und kommunizieren können. Die Qualitätssicherung in Sachen Cybersecurity wird dadurch ungleich schwerer. Noch spannender wird das Thema, wenn die Elektronik den Fahrer nicht nur unterstützt, sondern in naher Zukunft selbstständig und autonom das Fahrzeug steuern soll. Sicheres, autonomes Fahren wird noch ein Vielfaches an Code-Zeilen benötigen. Dies alles gegen Hacker-Zugriffe abzusichern ist eine Mammutaufgabe.  Stellvertretend für den gesamten IIOT-Sektor zeigt das Beispiel aus dem Automotive-Bereich, dass das Thema Cybersicherheit noch nicht zu Ende gedacht ist. Doch die Investitionen in diesen Bereich steigen massiv und auch die Zusammenarbeit zur Härtung von IIOT-Systemen nimmt stark zu.

Angriffe abwehren oder gar nicht erst entstehen lassen

Gerade Unternehmen mit IIOT-Systemen müssen sich frühzeitig mit modernen Cybersecurity-Massnahmen auseinandersetzen. Nur so können sie wirksame Schutzkonzepte entwickeln und ihre IIOT-Architektur und IT-Landschaften gegen Hackerangriffe schützen. Denn klassische Cyberabwehrmassnahmen und Firewalls reichen heute nicht mehr aus.

Zuallererst muss aber das Problem erkannt und die damit verbundenen Aufgaben angenommen werden. Hier muss von oberster Stelle im Unternehmen auch die Cybersecurity mit entsprechender Priorität behandelt werden. Dabei dürfen sich die Unternehmenslenker nicht allein auf eine technologische Lösung konzentrieren, sondern müssen einen ganzheitlichen Ansatz finden und Cybersicherheit von Anfang an mitdenken. Nur so werden sie auf der einen Seite die Vorteile eines vernetzten Industry Internet of Things haben und gleichzeitig ihre Geschäftsmodelle schützen können.

 

Uwe Kissmann

Uwe Kissmann ist Geschäftsführer von Accenture Cyber Security Services in Europa.