Der Feind in meiner Fabrik

Damit öffnen sie Angreifern Tür und Tor. Denn die eigene IT ist trotz Firewall und Virenschutz nicht hundertprozentig sicher - wenn beispielsweise ein Mitarbeiter einen virenverseuchten USB-Stick an seinen Rechner anschließt, kann er damit das gesamte Netzwerk infizieren. Und Fernwartungszugänge im Internet lassen sich häufig noch leichter angreifen. "Solche Systeme sind einfache Beute für Hacker, Cyberkrieger und Wirtschaftsspione", warnt der Sicherheitsforscher Volker Roth von der Freien Universität (FU) Berlin.

Auch moderne Produkte sind nicht unbedingt besser geschützt. "Viele Hersteller vernetzter Geräte konzentrieren sich auf ihr Produkt, aber nicht die Sicherheit", sagt Mark Rogers, Sicherheitsexperte bei der Software-Firma Lookout. "Ihnen fehlen oft auch die nötigen Kapazitäten dafür." Das gelte für alle vernetzten Produkte, beispielsweise auch Heizungen oder Insulinpumpen mit WLAN-Anschluss. Auf der renommierten Hackerkonferenz Defcon in Las Vegas war zu besichtigen, welche Geräte alle kompromittiert werden können, vom Auto bis zum Wasserhahn.

"Alles, was im Internet ist, wird angegriffen“

Wie oft es zu Manipulationen kommt, lässt sich kaum einschätzen, gibt doch kein Unternehmen öffentlich zu, Opfer einer Cyber-Attacke zu sein - ob aus Scham oder Image-Gründen. Doch es gibt Anhaltspunkte für das Ausmaß der Gefahr:

• Das IT-Unternehmen Trend Micro hat einen Monat lang die virtuelle Attrappe eines Wasserwerks aufgestellt und die Angriffe untersucht. 39 teils ausgefeilte Attacken zählten sie. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanzierte Trend-Micro-Forscher Kyle Wilhoit.

• Forscher der FU Berlin zeigen auf einer Karte an, wo mit dem Internet verbundene Industriesysteme zu finden sind. Die Daten stammen von der Spezialsuchmaschine Shodan, die solche Geräte auffindbar macht. Es wird sichtbar, dass auch in Deutschland viele solcher Anlagen online sind - und somit angreifbar. "Unser Datensatz ist unvollständig, wir haben nur nach bestimmten Anlagen gesucht. Wir gehen daher von einer hohen Dunkelziffer aus", sagt IT-Sicherheitsexperte Roth.

• Mitarbeiter der IT-Fachzeitschrift c’t fanden hunderte ungesicherte Anlagen, darunter eine Brauerei und ein Gefängnis. Auch die Schließanlage eines Stadions mit 40.000 Sitzplätzen hätten sie fernsteuern können.

• Ein Fall ist tatsächlich bekannt: Der US-Geheimdienst ließ nach einem Bericht der "New York Times" den Computerwurm Stuxnet aufwändig programmieren, um eine Uran-Anreicherungsanlage im Iran lahmzulegen. Der monatelange Einsatz hatte offenbar Erfolg - bis die Iraner den virtuellen Angriff entdeckten.

Nicht jede Anlage ist schutzlos. Und nicht jeder Angreifer kommt zum Ziel - "grundsätzlich sind, wie bei Angriffen auf Heim-PCs auch, kriminielle Energie und technischer Sachverstand nötig", erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Risiken sind indes immens: Was, wenn ein Konkurrent sich in die Fabrik einhackt und Chaos anrichtet? Oder wertvolle Informationen über die Produktion abzapft? Auch Erpresser und Saboteure könnten zuschlagen. Dafür müssen die Hacker längst nicht so einen großen Aufwand betreiben wie die Geheimdienstler. "Ein Angriff, der auf Erpressung ausgelegt ist, ist wesentlich einfacher umzusetzen als eine Attacke à la Stuxnet", betont Roth. Denn dafür ist fast egal, wer das Opfer ist.