Eine einzige präparierte E-Mail genügt: Einfach vom Mitarbeiter geöffnet, gelangen Trojaner, Viren und Würmer über sogenanntes spear-phishing auf Firmenrechner. Sie pflanzen sich über Netzwerke und die immer häufiger vorhandene Verbindung zwischen Office- und Produktionsnetz fort und richten erheblichen Schaden durch Produktionsausfälle oder Diebstahl von KnowHow an. Oder virtuelle Bedrohungen nutzen Schwachstellen in der IT Security gezielt aus – wie Anfang Mai 2017 die Ransomware Wannacry oder Ende Juni die Erpressersoftware Petya. Beide verschafften sich über eine ungesicherte Windows-Schnittstelle Zugang zu fremden Systemen, nisteten sich auf Festplatten ein, verschlüsselten Dateien und verlangten ein Lösegeld. Probleme im Büro mit spürbaren Folgen für die betroffenen Companies: Bänder bei Renault im nordfranzösischen Douai standen still, an der Reaktorruine von Tschernobyl fielen Messsensoren aus, die Reederei Maersk musste Systeme weltweit herunterfahren und bei einigen Firmen in Europa stockte bereits die Produktion. Der Grund: Wo früher die so genannte Air Gap Büros und Fabrikhallen trennte, sind heute corporate-weite Netzwerke und IT-Strukturen vorhanden. Die Folge: Zwar fertigt eine vernetzte Fabrik schneller, effizienter und ökonomischer, ist aber zugleich anfälliger für Cyberangriffe, zumal die Industrienetze im Gegensatz zu den IT-Netzen viele veraltete Systeme beheimatet, die oft nicht einfach ersetzt oder Software aktualisiert werden kann.

Das nutzen Hacker immer häufiger gezielt aus – mit eklatanten Folgen für Unternehmen: Laut einer 2016 veröffentlichten Studie des Centre for Economics and Business Research (Cebr) in London haben solche Hacker-Angriffe die deutsche Wirtschaft innerhalb von fünf Jahren um etwa 65,2 Milliarden Euro geschädigt. Am stärksten von Cyber-Angriffen betroffen sind Unternehmen aus Fertigungs- und Produktionsbranchen. Dem gegenüber steht der ökonomische Nutzen einer vernetzten, IT-gesteuerten Produktion: Bis 2025, so eine Schätzung des IT-Branchenverbands BITKOM, soll in der deutschen Wirtschaft dank Industrie 4.0 die Produktivität um rund 78 Milliarden Euro steigen.

Ein Paradies für Hacker, nutzen sie IT-Schwachstellen doch gezielt aus: Mit automatischen Scanprogrammen klopfen sie den Datenraum nach Schwachstellen ab. Ob IP-Adresse oder offener Port – dort, wo sich der Zugriff lohnt, nehmen Cyber-Kriminelle Ziele unter Beschuss. Älteren Industrieanlagen und „nicht-patchbaren“ Systemen werden durch die zunehmende Vernetzung auch immer öfter nicht zielgerichtete „Infektionen aus dem IT Netz“ zum Verhängnis.

Das zeigt auch ein Experiment des Industrial Security Spezialisten KORAMIS: Der Mittelständler aus Saarbrücken brachte ein fiktives Nahverkehrsunternehmen ans Netz, inklusive Websites mit Fahrplänen und Echtzeit-Transaktionen, virtuelle Firewalls, Überwachungskameras, Server und ein komplettes Schienennetz mit Weichen, Signalen und Bahnübergängen. Die Simulation in der Cloud war so realistisch, dass viele Hacker sofort anbissen –und das Unternehmen und seine virtuelle Infrastruktur unter Beschuss nahmen. Das Ergebnis eines Security Monitoring nach Ende des sechswöchigen Experiments: Die Mehrheit aller Cyber-Angreifer (39 Prozent) versuchte, die sensiblen Steuerungsanlagen des Betriebs unter Kontrolle zu bekommen.

„Bei fast jeder dritten Firma stand die Produktion durch einen Industrial Security Vorfall bereits still. 63 Prozent gehen davon aus, dass die Anzahl an Vorfällen weiter steigt“, zitiert Steffen Zimmermann, Sicherheitsexperte beim Verband deutscher Maschinen- und Anlagenbauer (VDMA), eine VDMA-Studie aus dem Jahr 2013 speziell zu den IT-Bedrohungen für die Werkshalle. „Angesichts der dynamischen Digitalisierung der Unternehmen und Geschäftsmodelle gehen wir davon aus, dass sich die Situation seitdem deutlich verschärft hat.“

Wo genau liegen die Probleme? Zum Teil in der Infrastruktur: So nutzen viele Unternehmen Anwendungen, die auf veralteten Betriebssystemen laufen. „Wer dann Updates einspielt, läuft Gefahr, die eigens angepasste Software nicht mehr verwenden zu können“, sagt Zimmermann. Hinzu kommt: Sind Anlagen in der Prozessindustrie einmal hochgefahren, justiert und betriebsbereit, laufen sie oft fünf Jahre und länger ohne Unterbrechung. Selbst Pausen für Softwareupdates sind nicht vorgesehen – in der Regel aus Kostengründen.

Möglicherweise eine Milchmädchenrechnung. Denn wenn eine Anlage nach einem Hackerangriff plötzlich stillsteht, übersteigt der Schaden in der Regel die Kosten für einen kurzfristigen Produktionsstopp im Zuge eines Software-Updates um ein Vielfaches. Um Schutzbedarf und Risiko individuell ermitteln zu können, bietet der VDMA einen Online-Selbsttest und einen Leitfaden zur Industrie 4.0 Security. Inklusive einer Checkliste, die der erste Schritt auf dem Weg zu einer sichereren Produktion sein kann. Oder Spezialisten von T-Sec generieren Vulnerability Reports aus dem Datenverkehr der Kunden und leiten effektive Schutzmaßnahmen daraus ab.

Fest steht: Im Gegensatz zur Office-IT fehlen in der Werkshalle oft eigentlich selbstverständliche Schutzmaßnahmen wie etwa ein Virenscanner. Und das, obwohl Bürorechner in der Regel nur wenige Jahre im Einsatz sind – im Gegensatz zu Fertigungsanlagen und deren Betrieb, die über einen Zeitraum von 20 bis 25 Jahre hinweg zuverlässig arbeiten sollen. „Damit das so bleibt“, sagt VDMA-Mann Zimmermann, „muss die Industrie jetzt zügig vorsorgen.“