Frank Giebel

Was zunächst publik wurde, weil es prominente Kraftwerksanlagen mit Steuerungskomponenten eines namhaften deutschen Herstellers betraf, birgt nicht nur für große Hersteller neue Angriffsflächen. Auch die »heimische« Industrie im klassischen Mittelstand ist gefährdet.

Anders als bei großen Konzernen und bei den meisten Mittelständlern investieren mittelständische Firmen noch immer weniger als 0,5 Prozent ihres Umsatzes in IT-Sicherheit. Dabei sind es gerade kleinere und mittlere, aber hochflexible Unternehmen im Hightech-Umfeld, deren gesamtes Kapital auf speziellem Know-how und/oder der Fertigung von hochspeziellen homogenen Dienstleistungen und Gütern bestehen.

Drohte früher »nur« Gefahr von internen und externen Angriffen auf die IT-Infrastruktur oder auf Betriebs- und Geschäftsgeheimnisse, sind heute gezielte Sabotageakte ohne direkten Zugriff oder Anwesenheit vor Ort eine neue, unbemerkt zuschlagende Gefahr. Ein USB-Stick als Werbegeschenk reicht völlig aus, um ein Unternehmen in massive Schwierigkeiten zu bringen.

Produktionsanlagen im industriellen Umfeld sind mittlerweile ebenso stark vernetzt wie im Bereich der Bürokommunikation. Während Großkonzerne bereits Gegenmaßnahmen getroffen haben, verfügen KMUs mangels Personal oftmals nicht über das nötige Wissen, diesem neuen Gefahrenpotential effektiv zu begegnen. Insbesondere, wenn sie zukunftsweisende Produktionsverfahren entwickelt haben, nur mit wenigen Wettbewerbern konkurrieren und (dabei) international agieren, ist die Gefahr groß, dass es neben ungewollten Informationsverlusten auch zu plötzlichen Stillständen – oder teurer – großen Ausschuss-Produktionen kommt.

Wenn das wirtschaftliche Gefüge auch leichte Schwankungen vielleicht noch wegsteckt – größere Stillstände oder gar Ausschuss verkraften die wenigsten. Von den Folgen erholen sich nicht alle wieder, denn ist die Charge erst mal vernichtet, bedeutet das unersetzlichen Verlust. Schadcode wie »Stuxnet« hat bewiesen, wie anfällig damit auch Produktionsanlagen für Angriffe sind. Dabei kann auch in einem Fertigungsbetrieb auf recht einfache Weise das Sicherheitsniveau angehoben werden. Dazu wird der Status quo zu verschiedenen Standards aus IT-Sicherheit und Datenschutz ermittelt, um darauf aufbauend zunächst rein organisatorische Maßnahmen, wie Sicherheitsrichtlinien, zu erlassen. Diese werden durch Mitarbeiter-Schulungen und, wo es notwendig ist, um besondere technische Maßnahmen ergänzt, damit die IT-Infrastruktur und insbesondere die Gateways zu den vernetzten Fertigungssystemen gesichert wird.

Busher kann überall sein.