Die umfassende Digitalisierung der Wertschöpfungskette setzt neben der Verfügbarkeit von Technologien und Infrastrukturen vor allem eines voraus – dass die IT-Anlagen und -Anwendungen auch sicher betrieben werden können.
Doch eine Cybermafia, die sich immer stärker arbeitsteilig organisiert und in ihren Darknet-Supermärkten ausgefeilte Werkzeugkästen für Kriminelle aller Couleur anbietet, wächst zu einer Herausforderung heran, die genau diese Grundvoraussetzung erschüttert. Dabei sind Erpresser, Abzocker und Cybervandalen nur eine Fraktion der Dunkelszene. Mindestens ebenso ernst zu nehmen sind Cyberangriffe, die von regierungsnahen Hackergruppen durchgeführt werden. Ihre Ziele reichen von der Wirtschaftsspionage bis hin zur gezielten Sabotage.
Beide Seiten rüsten auf und setzen die neuesten IT-Errungenschaften ein. Die schlechte Nachricht ist, dass die Angreifer sich nicht an Compliance-Regeln und abgestimmte Prozesse halten müssen und damit grundsätzlich agiler auftreten können als Großunternehmen. Und die gute Nachricht? Das Bewusstsein für die Bedrohung ist gewachsen, das Thema ist in den Chefetagen angekommen. Ob das ausreicht? Zweifel sind angebracht, solange keine umfassenden Maßnahmen erfolgen.
Zusammengebissene Zähne
Cyberattacken, überhaupt die Informationstechnik und deren Unpässlichkeiten, gehören normalerweise nicht zu den Themen, mit denen Topmanager von Großunternehmen an die Öffentlichkeit gehen. Siemens-Chef Joe Kaeser machte Anfang des Jahres eine Ausnahme, als er mit einer Reihe von Partnern eine Charta für mehr Cybersicherheit aus der Taufe hob. Unter dem Namen „Charter of Trust“ will der Anti-Hacker-Club für mehr IT-Sicherheit nicht nur werben, sondern auch Mechanismen und Prozesse etablieren, die die digitale Welt sicherer machen sollen.
Die Clubmitglieder sind lauter erstrangige Adressen aus der Wirtschaft – etwa Airbus, Daimler, die Allianz-Versicherung und der Chiphersteller NXP. Kaesers Vorstoß, vorgetragen auf der renommierten Münchner Sicherheitskonferenz in einem von Politikern und hochrangigen Militärs dominierten Umfeld, lässt die Nervosität ahnen, die unter der Oberfläche regiert. Denn im Cyberspace herrscht längst Krieg. Nicht mit Kanonen und Massengräbern, aber mit Überfällen aus dem Hinterhalt, mit orchestrierten Attacken aus dem Dunkel ebenso wie mit penibel geplanten und ausgeführten Angriffen auf strategische Punktziele.
Natalia Oropeza, Leiterin der Abteilung Cybersecurity bei Siemens, schätzt den weltweit angerichteten Schaden durch Cyberattacken auf mehr als 500 Milliarden Euro, allein im Jahr 2017. Um sich zu wappnen rüsten Unternehmen auf – und schaffen einen Wachstumsmarkt. Weltweit werden sich im laufenden Jahr die Ausgaben für Produkte und Dienstleistungen im Zusammenhang mit IT-Sicherheit auf 114 Milliarden Dollar belaufen, das hat das Marktforschungsunternehmen Gartner ausgerechnet. Für das Jahr 2019 prognostiziert Gartner gar ein Wachstum dieser Branche von 8,7 Prozent.
Auch die Automobilindustrie liegt im Fadenkreuz der Hacker. Im Mai 2017 legte die Malware WannaCry eine Fertigungslinie von Renault vorübergehend lahm, im Juni erwischte es Honda. Solche Meldungen sind nur die Spitze des Eisbergs. In den meisten Fällen breiten die Opfer mit zusammengebissenen Zähnen den Mantel des Schweigens über ihr Missgeschick. Nur wenn der Schaden so groß wird, dass er den Aktionären gegenüber nicht verheimlicht werden kann, dringt gelegentlich etwas nach außen – so etwa über den Betrug nach dem als „CEO Fraud“ bekannten Strickmuster, der den Zulieferer Leoni 40 Millionen Euro gekostet hat.
Diese Attacken können nur funktionieren, weil die Angriffe intelligenter geworden sind: Statt ihre Malware mit der Gießkanne zu streuen, inszenieren die Dunkelmänner zunehmend chirurgisch präzise Angriffe. Dazu identifizieren sie zunächst die Zielpersonen, die in dem angepeilten Unternehmen in Betracht kommen. Im nächsten Schritt wird deren informationstechnisches Umfeld ausgekundschaftet: Mit wem steht das ausgespähte Opfer über soziale Netzwerke im Kontakt? Über welche Themen wird kommuniziert? Hat man genügend Erkenntnisse zusammen, kann man zum Angriff übergehen. Oft wird eine mit Insiderwissen angereicherte und somit plausible Geschichte erstellt und dem Opfer zugemailt – meist mit einer angehängten Datei, in welcher eine softwaretechnische Giftpille versteckt ist, etwa in Form eines Erpressungstrojaners.
Dieses Vorgehen zeigt: Die Hackerbranche hat sich technisch wie betriebswirtschaftlich weiterentwickelt. Mit Spezialisierung in der Lieferkette, Ausdifferenzierung des Geschäftsmodells und Übernahme neuester Techniken folgt die Evolution den Entwicklungsmustern der legalen Wirtschaft. Längst schon müssen Hacker ihre Malware nicht mehr selbst programmieren – auf Marktplätzen im Darknet kann sich ein digitaler Schurke heutzutage alles besorgen, was das Gaunerherz begehrt. Das reicht vom Selbstbausatz für Malware bis zur Cyberattacke als Dienstleistung, zu mieten für jedermann. „Crime-as-a-Service-Angebote haben sich sowohl im Deep Web als auch im Darknet als feste Komponente in Angebots- und Produktpaletten etabliert“, schreibt Sabine Vogt, Leiterin der Abteilung Schwere und organisierte Kriminalität beim BKA in einem aktuellen Bericht.
Dabei werden Dienstleistungen zur Verfügung gestellt, die jede Art von Cybercrime ermöglichen. Das bietet interessierten Kreisen ohne technische Vorkenntnisse und mit geringem Aufwand Zugang zu hochentwickelten Cyberwerkzeugen. Zu finden ist sogar fachliche Beratung in der Frage, wie man eine Enttarnung durch Sicherheitssoftware und -tools vermeiden kann. Im Gleichschritt mit der Ausweitung des Angebots in den Supermärkten der Cyberkriminalität hat sich das Spektrum der Handelnden aufgefächert. Es reicht jetzt vom Gelegenheitserpresser im Kielwasser einer Ransomware-Attacke bis zum staatlichen Akteur wie bei der Stuxnet-Attacke auf die iranischen Uranzentrifugen. Speziell im Bereich Wirtschaftsspionage sind viele Gruppen tätig, die zwar nicht direkt dem Staat und seinen Organen angehören, aber im Dunstkreis von Staaten unterwegs sind.
Positiv ist festzuhalten, dass das Bewusstsein über die Bedeutung der Cybersicherheit für die Digitalwirtschaft mittlerweile offenbar auch die Politik erreicht hat. Zwar werden die Pläne der Bundesregierung zur Gründung einer Agentur für Cybersecurity eher kritisch beäugt – nicht zuletzt weil die geplante Zuordnung der Agentur zum Innen- und gleichzeitig zum Verteidigungsministerium Zweifel weckt, dass die Wirtschaft überhaupt etwas von einer solchen Agentur haben wird.
Die von Siemens gegründete Charter of Trust dürfte da schon näher am Geschehen sein. Letztlich bleibt es aber die alleinige Verantwortung der Unternehmen, in ihrem Bereich geeignete Abwehrmaßnahmen zu treffen. Und da scheint die Automobilindustrie besser abzuschneiden als der Durchschnitt der deutschen Wirtschaft. „Die Autoindustrie investiert sehr systematisch in Maßnahmen zur Cybersecurity, in den letzten zwei Jahren sogar in Techniken zur Absicherung der Fahrzeuge“, hat Security-Experte Wolf Richter vom Beratungsunternehmen McKinsey beobachtet. So haben Volkswagen oder Continental Firmen mit spezieller Expertise zugekauft. Genug aber ist das nicht. „Die Automobilindustrie hat es noch nicht geschafft, ihre gesamte komplexe Wertschöpfungskette abzusichern. Diese Kette ist vielfach abhängig von elektronischen Hilfsmitteln und damit sehr fragil.“
Bild: Siemens
