Cybercrime

Risiken der Vernetzung

Das Medienecho auf den von Islamisten lahmgelegten französischen Sender TV5 war enorm. Doch: Schon längst kapern Kriminelle ganz gezielt Webpräsenzen und Netzwerke von Unternehmen, alleine 117¿330-mal pro Tag im Jahr 2013. Gerade Mittelständler verkennen die Gefahr: Nur sechs Prozent der Betriebe sehen ein Risiko, 94 Prozent sind gegen Datenverlust nicht abgesichert.

Igor Stevanovic/istock

Netzattacke
30.04.2015
  • Von: Axel Stefan Sonntag

Mit mobilem Arbeiten, Home-Office, Cloud Computing, Big Data und erst recht Industrie 4.0 verschwimmen die Grenzen zwischen Arbeit und Freizeit immer mehr. Doch die Digitalisierung der Wirtschaft bietet eine weitere und mindestens ebenso große Gefahr: gezielte Cyberattacken und virtuelle Industriespionage.

Auf zwölf Milliarden Euro beziffert die Unternehmensberatung Corporate Trust den Schaden, den deutsche Betriebe in den Jahren 2012 und 2013 durch Spionageangriffe erlitten haben. Mehr als jede zweite Firma hat demnach eine Attacke beklagt oder einen entsprechenden Verdacht geäußert. Interpol-Chef Jürgen Stock beschreibt es gegenüber dem Magazin Spiegel so: »Inzwischen kann man Cybercrime-Aktivitäten im Netz als Dienstleistung einkaufen. Wir haben es nicht mehr mit pubertierenden Nerds zu tun, sondern mit hoch quali-fizierter organisierter Kriminalität.«

Und das im beginnenden Zeitalter von Industrie 4.0 – der vollständig vernetzten Fabrik mit riesigen Datenmengen. Werden diese abgegriffen, »kann ein mittelständisches Unternehmen seinen Wettbewerbsvorteil und damit seine Existenzberechtigung verlieren«, glaubt Reinhold Festge, Präsident des Verbands Deutscher Maschinen- und Anlagenbau.

Wie brisant die Bedrohung im Ernstfall sein kann, zeigt der Lagebericht zur IT-Sicherheit 2014 (Herausgeber: Bundesamt für Sicherheit in der Informationstechnik, BSI). Er berichtet von einem gezielten Angriff auf ein deutsches Stahlwerk. Bis in die Produktionsnetze hätten sich die Täter vorgearbeitet, ganze Anlagen lahmgelegt. »Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand«, heißt es.

Für Oliver Malchow, Bundesvorsitzender der Gewerkschaft der Polizei, ist »der Tatort Internet schon so alltäglich wie Körperverletzung und Wohnungseinbruch«. Auch die Bundespolitik hat die Brisanz der Lage erkannt: Noch vor der Sommerpause soll der Bundestag ein neues IT-Sicherheitsgesetz beschließen. »Der technische Fortschritt hat uns verwundbarer gemacht«, begründet Innenminister Thomas de Maizière sein Vorhaben. Kernstück des neuen Gesetzes ist es, Betreiber »kritischer Infrastrukturen« wie Krankenhäuser, Banken und Stromnetzgesellschaften zu verpflichten, ihre Computersysteme gegen Cyberangriffe besser zu schützen. Firmen sollen »sicherheitsrelevante Vorfälle« dem BSI melden und Mindeststandards zur IT-Sicherheit definieren.

»Die Bedrohung durch Angriffe aus der digitalen Umgebung ist uns als Betreiber einer wichtigen Grundversorgungsinfrastruktur selbstverständlich bewusst«, sagt Michael Kunter, stellvertretender Betriebsratsvorsitzender beim Netzbetreiber Tennet. »Die Rückgratfunktion des Stromübertragungsnetzes könnte Angreifer geradezu  einladen«, ist er sich sicher.

Nicht umsonst existiert »eine ganze Reihe an  Sicherheitsmaßnahmen«, die alle Usus und oftmals per Betriebsvereinbarungen geregelt seien: »Zutrittsbeschränkungen und Sicherheitsüberprüfungen für sensible Bereiche sind ein Beispiel. Externe Netzwerkzugänge haben einen kombinierten Hard- und  Softwareschlüssel«, sagt er. Kunter verweist auch auf in sich autarke Systeme, die bewusst nicht an öffentliche Kommunikationsnetze angeschlossen seien. Darunter falle teilweise sogar das hauseigene Office-Netzwerk. »Diese Sicherheitsvorkehrungen wachsen natürlich mit dem Stand der Technik. Und wir tun alles, um das Bewusstsein der Menschen in Bezug auf mögliche Risiken laufend zu schärfen.«

»Wir sensibilisieren unsere Betriebsratskollegen dafür, zusätzlich Verschlüsselungsmechanismen für ihre Computer zu nutzen«, sagt Frank Michael Hell, Konzernbetriebsratsvorsitzender bei Continental. Insbesondere für Mitarbeiter in Entwicklungsabteilungen gebe es Kurse, wie und wo der Trennstrich zwischen sicherheitsrelevanten und eher allgemeinen Daten zu ziehen sei.

Zudem gelten mehrere Konzernbetriebsvereinbarungen zur PC-Fernwartung,  Aktualisierung und Installation von Software. Und: Man habe die Vorkehrung getroffen, mit einer globalen IT-Sicherheits-Policy zu arbeiten, die sich an dem vom Verband der Automobilindustrie empfohlenen Standard orientiert »und sie mit einer Reihe von Dokumenten detailliert für das Unternehmen beschreibt«, so Hell.

Die für manche ausufernd anmutenden Regelungen bekommen insbesondere Arbeitnehmer in internationalen Unternehmen zu spüren. Stichwort Compliance. »Die Anzahl der Verschwiegenheitserklärungen, die Beschäftigte unterschreiben sollen, nimmt deutlich zu«, sagt IG-BCE-Datenschutzbeauftragte Isabel Eder. Sie empfiehlt: »Alles, was über eine allge-meine Verpflichtung, sorgsam mit personenbezogenen Daten umzugehen,  hinausgeht, rate ich, nicht vorschnell zu unterschreiben«.

Denn: »Solche Vereinbarungen widersprechen häufig den zwingenden Grundsätzen der beschränkten  Arbeitnehmerhaftung und können sogar unwirksam sein. Arbeitnehmervertreter sollten durchsetzen, dass Beschäftigte nur das akzeptieren müssen, was in den entsprechenden Vordrucken der jeweiligen Landesdatenschutzbeauftragten zum Datengeheimnis formuliert ist.

Nach oben