Die Cyberrisiken der intelligenten Maschinenwelten




Dr. Sandro Gaycken

Liebe deutsche Industrie, liebe Startup-Gemeinde, liebe FDP: so nicht! „Digitalisierung first, Bedenken second“ ist attraktiv und scheint kompetitiv geboten. Aber es ist auch uninformiert, verantwortungslos, strategisch kurzsichtig und wirtschaftlich gefährlich.

Denn die Sicherheit der digitalisierten Maschinenwelten ist immer noch weit von einer akzeptablen Reife entfernt. Die Beispiele aus dem laufenden Jahr beweisen das. Mehrere Konzerne hatten bis zu dreistellige Millionenverluste durch Cybervorfälle in ihren Anlagen. Andere haben heimlich die Kabel zwischen Produktion und Internet gekappt, obwohl sie an andere „Industrie 4.0“ verkaufen wollen. Industrieversicherungen wurden entzogen, wegen zu hoher, cyberbedingter  Unklarheiten im Gesamtrisiko. Und Sicherheitstests waren immer und selbst ohne Spezialwissen erfolgreich, mit vernichtenden potentiellen Konsequenzen.

Szenarien wurden nachgewiesen, in denen hunderttausende Menschen gleichzeitig durch einen einzigen, sogar simplen Hackerangriff getötet werden können. Oder mit denen mehr als die Hälfte der Fortune 500 über Nacht vernichtet wären, mit Konsequenzen in der Nähe eines Atomkriegs. Und dieser – Verzeihung – Krempel soll jetzt noch weiter konnektiert, digitalisiert werden? Ohne Bedenken? Das wird so nichts. Einigen scheint das Risiko vielleicht akzeptabel. Vor allem, da der „Black Swan“ ja bisher ausgeblieben ist. Wie schlimm kann das dann schon sein? Der Grund dafür kann aber nur das bisher mangelnde Interesse der Angreifer sein, denn Testangriffe waren bislang immer erfolgreich. Mangelndes Interesse ist aber keine Konstante. Die ersten Geschäftsmodelle bilden sich gerade aus. Erpressung durch Verschlüsselung und Zerstörung werden sichtbar, aber auch Börsenspekulation wurde das erste Mal beobachtet. Eine Hackerfirma hat auf fallende Kurse eines Herzschrittmacherherstellers gewettet, eine Woche bevor sie hochkritische Schwachstellen ihrer Produkte publiziert hatte. Bei echten Sabotagen werden solche Gewinne noch viel satter ausfallen. Weiter auf das Desinteresse der Angreifer zu hoffen, ist also keine Option. Und kann auch keine Strategie sein.

„ Fast alle Akteure übersehen, dass Cybersicherheit in der Welt der Maschinen und Geräte in weiten Teilen unter vollkommen anderenVorzeichen steht als bei Consumer Electronics.“

Cybersicherheit in der Welt der Maschinen und Geräte in weiten Teilen unter vollkommen anderen Vorzeichen steht als bei Consumer Electronics. Zwei Unterschiede sind besonders bedeutsam. Erstens ist da der Umstand, dass in vielen Maschinen Unfallsicherheit, die „Safety“, oft eine wichtige Rolle spielt. Bei Fehlfunktionen können Menschen verletzt werden. Unfallsicherheit wird inzwischen jedoch meist durch digitale Mechanismen gewährleistet oder kann zumindest durch andere, digitalisierte Funktionen beeinflusst werden. Automatisiertes Abbremsen einer Maschine bei Erkennen eines Menschen im Arbeitsweg ist ein Beispiel, bei dem oft Sensoren und Computer zusammenarbeiten müssen. Wenn die Maschinen also irgendwie direkt oder indirekt ans Internet gelegt werden, wird diese digitalisierte Safety angreifbar. Angriffssicherheit, die „Security“, wird zur Bedingung für Unfallsicherheit. Sie könnte sonst absichtlich oder versehentlich abgeschaltet oder in ihr Gegenteil manipuliert werden und Menschen gezielt stark verletzten.

Der zweite Unterschied gilt auch unabhängig von Safetyaspekten: Cyberangriffe sind in der Regel „Flottenangriffe“. Sie wirken auf baugleichen Technologien und können gleichzeitig auf vielen tausend ähnlichen Maschinen funktionieren. Solche Flottenangriffe sind meist sogar einfacher als Angriffe auf Einzelgeräte. Ein übler Sabotageangriff wird also nicht nur „mal ein Gerät“ betreffen, sondern eher Baureihen von Geräten. Wenn die Angriffe auf Zerstörung aus sind, was ohne Weiteres möglich ist, könnten einige zigtausend Geräte plötzlich auf eine Art stehen bleiben, die es erforderlich macht, die komplette IT neu zu entwerfen und manuell auszuwechseln.

Der Worst Case wäre eine Kombination der beiden Unterschiede: ein Flottenangriff auf eine kritische Safetyfunktion. Hunderttausende Menschen könnten sterben. So ein Vorfall darf nicht  ein einziges Mal vorkommen. Aus den Unterschieden erhält man also Forderungen nach  anderen Schutzhöhen. Für safetykritische Maschinen muss mindestens ein Konsistenzprinzip gelten: Die Schutzhöhe von Unfallsicherheit und Angriff ssicherheit muss gleich sein. Will man dazu Flottenangriff e vollständig vermeiden, wird es noch härter. Da eine einzige kritische Schwachstelle genügen würde, um baugleiche Flotten zu versenken, braucht man de facto die berüchtigte 100%ige Sicherheit.

Diese Forderungen sind konsequent. Und ein Desaster. Denn sie zu erfüllen ist noch auf Jahre unmöglich. Die Maschinen IT hat zigtausende Schwachstellen, und jedes Nachrüsten mit technischer IT-Sicherheit wird nie die erforderliche Höhe erreichen. Keines der alten oder neuen Produkte hat bisher eine annähernd hinreichende Eff ektivität. Nur tief reichende Architekturansätze könnten helfen. Aber dazu gibt es kaum Bereitschaft. Zwar gibt es inzwischen auch Konzepte eines „Security Retrofi tting“ als Brücke in neue Architekturen. Aber selbst das wird dauern und Entwicklungsarbeit erfordern. Also Augen zu und durch? Das kann mächtig schief gehen. Medizinische IT könnte ein erster sichtbarer Fall werden. Große Hersteller könnten, sollten vielleicht sogar untergehen. Unlängst wurde bekannt, dass die meisten Herzschrittmacher, amerikanische wie europäische Modelle, hochgradig verwundbar, über das Internet erreichbar und in nächster Zeit nicht abzusichern oder auch nur zuverlässig zu patchen sind. Eine lauernde Katastrophe. Betroffene können von fähigen Hackern jederzeit massenhaft getötet werden. Der Mord wäre nicht einmal nachweisbar. Es gab bereits erste Rückrufaktionen. Angesichts der vielen tausend Schwachstellen der Schrittmacher dürften viele hundert davon anstehen, mit Krankenhausaufenthalten und einigen Operationen. Der beste Schutz wäre ein Abschalten der Online-Funktionen, aber die reduzierte Funktionalität erhöht wieder die Mortalitätsrate.

Aber nicht nur Vorfälle werden ein Problem sein. Unlängst haben etwa die Versicherer bemerkt, dass „Cyber“ nicht nur eine Opportunität ist, sondern auch ein gigantisches Risiko mitten im etablierten Geschäft. Denn ein guter Hacker angriff muss nicht erkennbar sein. Wenn also eine Produktionsstraße für Monate stillsteht, massenhaft Autos oder Medizingeräte fehlfunktionieren, kann das wie normales technisches Versagen aussehen – und die Versicherer werden es ausbaden müssen. Cyber-Ausschlussklauseln werden nicht helfen. Infolgedessen müssen sie die Daumenschrauben anziehen, bis das Risiko wieder kalkulierbar wird. Auch das wird auf eine Schutzhöhe hinauslaufen, die gegenwärtig nicht erreichbar ist.

Zusammengefasst: Die Lage ist dramatisch schlecht, und kaum jemand hat das so richtig erfasst. Industrie 4.0 wird zum Glücksspiel. Wer intensiv digitalisiert, kann morgen Marktführer sein. Oder vom Markt verschwunden. Die Hauptvariable, von der abhängt, was von beidem eintritt, ist das Interesse der Angreifer.

Dr. Sandro GayckenDr. Sandro Gaycken
Founder and Director
Digital Society Institute Berlin (DSI)

Dieser Beitrag ist Teil der Ausgabe des Handelsblatt Journals „Die vernetzte Industrie“, das Sie hier erhalten können