Cybersecurity : Vier Thesen zum Angriff auf Pilz

Soweit man bisher weiß, und soweit Thomas|Pilz selbst es öffentlich gemacht hat, wurde in das Unternehmen Schadsoftware eingeschleust, um die Daten auf den Servern zu verschlüsseln. Damit einher geht die Forderung von Lösegeld (in unbekannter Höhe) - erst nach dem Bezahlung wird die Verschlüsselung rückgängig gemacht. Nach zwei Wochen arbeitet das Unternehmen immer noch daran, den Normalbetrieb wiederherstellen zu können (Stand: 31. Oktober 2019). Das Vertrauen der Partner scheint ungebrochen, Pilz konnte sich in den 50 Jahren seinen Bestehens einen großen Bonus erarbeiten: Nur wegen einem einige Wochen dauernden Engpass in der Belieferung wird eine jahrzehntelange Zusammenarbeit samt der Konstruktion von ganzen Maschinengenerationen nicht so rasch über Bord geworfen.]

Soviel zum aktuell gesicherten Wissen: Das ist derzeit nicht viel. Und doch lassen sich daraus für den geneigten Beobachter schon einige Schlüsse ziehen. Dazu vier Thesen für den Umgang mit Cyber-Risiken.

Pilz ist ein großes Unternehmen: 2.500 Mitarbeiter weltweit und eine Bilanzsumme von rund 350 Mio. Euro, dazu weltweite Technologieführerschaft in dem Segment der sicheren Automatisierung sprechen für sich. Aber in größerem Zusammenhang betrachtet ist Pilz im Vergleich zu internationalen Konzernen ein mittelständischer, familiengeführter Betrieb - und damit ideal für den Angriff.

Pilz ist also so groß und finanzkräftig, dass die Angreifer mit ausreichend Lösegeld spekulieren durften. Das Unternehmen ist aber auch so klein, dass es trotz aller Sorgfalt über keine so ausgereiften Schutzmaßnahmen und so große Sicherheitsmannschaften wie ein globaler Konzern verfügt. Und es genießt auch keinen außergewöhnlichen Schutz durch die Behörden: Das deutsche Bundesamt für Sicherheit in der Informationstechnik sieht sich nur für "kritische Infrastrukturen" zuständig, und dazu gehört ein mittelständischer Industriezulieferant eben nicht.

Die Schlussfolgerung daraus ist These 1: Die Cyberkriminalität entdeckt den Mittelstand. Waren Angriffe bisher Atomkraftwerke, Städte oder Konzerne im Visier, werden in Zukunft verstärkt auch KMUs gefährdet sein.

Der Angriff auf Pilz ist der bisher größte und folgenschwerste dieser Art in Mitteleuropa, darum weckt er in der KMU-geprägten Unternehmenslandschaft der DACH-Region enorm viel Aufmerksamkeit. Doch auch hier gilt: Ein Wechsel auf eine größere Perspektive zeigt erst, wie groß die Gefahr ist.

So sind auf der Website MITRE ATT&CK alle jene bisherige Angriffe auf IT-Infrastrukturen aufgelistet, bei denen man den Ablauf des Angriffs, die verwendeten Technologien und Informationen über Methodik und Herkunft der Angreifer kennt. Die Liste ist sehr lang - und kaum einer der hier aufgelisteten Gruppen konnte bisher das Handwerk gelegt werden. Denn das Risiko für die Cyberkriminellen ist gering. Sie agieren fast ausschließlich aus Regionen, mit denen es keinen Auslieferungsvertrag gibt, und achten darauf, ausschließlich grenzüberschreitend tätig zu werden - also keine Schäden in den Ländern anzurichten, in denen sie selbst Zuflucht gefunden haben.

These 2 dazu: KMUs müssen sich mit dem Thema auseinandersetzen, ob sie es wollen oder nicht. Einen einfachen Einstieg ins Thema Cybersecurity bietet etwa die Checkliste mit Schutzmaßnahmen, die von der Plattform Industrie 4.0 ausgearbeitet wurde. Ob der Aufbau interner Kompetenz reicht, oder ob externe Hilfe beigezogen wird, muss in der Folge ohnehin jeder für sich entscheiden.

Die Angreifer sitzen meist nicht zufällig außerhalb Europas. Denn nirgendwo haben Datenschutz und Datensicherheit einen so großen Stellenwert - das gilt ganz besonders für Mitteleuropa. Auch wenn die Einhaltung der DSVGO in den letzten 18 Monaten vielen extrem lästig gefallen ist, das ist einer von vielen Bausteinen, die einen sorglosen Umgang mit Cybergefahren hintanhalten sollen.

Daher die These 3: Wir brauchen gerade in Sicherheitsfragen mehr Europa, nicht weniger. Denn grenz- und kontinentalübergreifende Risiken lassen sich nur gemeinsam bewältigen. Nationale Alleingänge sind aussichtslos, die Angreifer haben es ja nicht auf nationale Grenzen abgesehen - im Gegenteil, je schleppender der Austausch zwischen den betroffenen in verschiedenen Ländern funktioniert, desto leichter tun sie sich. Das heißt, es bedarf des Aufbaus von gemeinsamen Sicherheitsstrategien ebenso wie der Entwicklung und Stärkung von EU-weit agierenden Behörden sowie einen wirklich effizienten Informationsaustausch.

90 Prozent der Schadsoftware, die in den Unternehmen entdeckt werden, wurden über verseuchte E-Mails eingeschleust. Weil irgendjemand ein Attachement geöffnet hat, das er nicht öffnen hätte sollen, stehen ganze Serverparks still. Die entsprechende Schulung der MitarbeiterInnen gehört daher in der Priorität nach oben gereiht. Doch das nutzt nichts, solange die Sicherheitsstrategie sich nicht an den tatsächlichen Arbeitsabläufen orientiert. Gutes Risikomanagement kennt die Abläufe in den Unternehmen, vom ersten Druck auf den Ein-Knopf vor dem Morgenkaffee über den realen Umgang mit Passwörtern bis zur Nutzung von Firmengeräten in öffentlichen Wifi-Netzwerken sollten die Prozesse bekannt sein - und aus den daraus erkennbaren Bedrohungsszenarien Sicherheitsstrategien abgeleitet werden.

Das führt zur These 4: Bottom-up statt Top-down. Sicherheitsvorschriften von oben zu verordnen, das führt im besten Fall zu Dienst nach Vorschrift. Bessere Erfahrungen machen jene Unternehmen, die die MitarbeiterInnen um aktive Mithilfe beim Cyber-Schutz bitten. In den Produktionshallen hat es sich seit Jahrzehnten eingebürgert, im Zuge von KVP-Prozessen Verbesserungsvorschläge einzuholen und die besten davon zu prämieren: Das müsste doch bei der IT-Sicherheit auch möglich sein.