https://www.faz.net/-i58-81gm2
Verlagsspezial

: Wie man sich gegen Cyberattacken schützt

Bild: weerapatkiatdumrong/Thinkstock/Getty Images

Hacker-Angriffe, Sabotage und Datendiebstahl: Die digitale Revolution hat auch ihre Schattenseiten. Mit fünf Schritten können Firmen für mehr Sicherheit sorgen.

          Die Industrie 4.0 – also die Vernetzung von Maschinen innerhalb einer Firma und in der Kommunikation mit externen Lieferanten und dem Vertrieb – wird täglich wichtiger. Das eröffnet der Wirtschaftswelt große Vorteile: Produktions-, Kommunikations- und Logistikprozesse werden deutlich schneller und kostengünstiger. Die Digitalisierung der Industrie könnte geschätzt allein für Deutschland bis 2025 ein zusätzliches kumuliertes Wertschöpfungspotential von 425 Milliarden Euro eröffnen. Europaweit ist sogar mit 1,25 Billionen Euro zu rechnen.

          Doch die Chancen der Digitalisierung bergen auch Risiken für die Industrie: Hacker-Angriffe, Sabotage und Datendiebstahl. Diese Gefahren betreffen nicht nur die klassische IT, sondern auch die Produktions-IT wie etwa industrielle Kontrollsysteme sowie vernetzte Produkte und ihre Software. Die Statistiken sprechen hier eine erschreckende Sprache: 2012 wurde weltweit fast jedes vierte Unternehmen aus dem produzierenden Gewerbe Opfer von Online-Angriffen. Die Folgen solcher Angriffe sind gravierend: Wichtige Informationen aus der Produktentwicklung sowie sensible Kundendaten werden gestohlen, ganze Produktionsprozesse lahmgelegt.

          1. Schutzkonzept erarbeiten
            Was sollte man also tun, damit Industrie 4.0 nicht zum Spielplatz für Cyber-Kriminelle wird? Unternehmen können und sollten sich gegen Attacken wehren – mit fünf konkreten Schritten. Zunächst sollten Firmen verstehen, dass Cyber Security nicht allein ein Problem der IT-Abteilung ist. Die Verantwortlichen für IT, Produktion und Produktentwicklung sollten gemeinsam ein Schutzkonzept für das Unternehmen erarbeiten. Das Management sollte daher in einem ersten Schritt festhalten, welche Bereiche im Unternehmen besonders empfindlich sind und vor Hacker-Angriffen unbedingt geschützt werden müssen.
          2. Szenarien durchspielen
            Im zweiten Schritt sollte das Unternehmen dann verschiedene Bedrohungsszenarien durchspielen. Wie könnten zum Beispiel Hacker in meine Prozesse und Produkte von außen eingreifen? Welche Produktionsschritte würden beeinträchtigt beziehungsweise vollständig lahmgelegt werden? Welche Folgen hätte dies für die gesamte Wertschöpfungskette meiner Firma – und für meine Kunden?
          3. Potentielle Schäden erfassen
            Anschließend sollte das Management die potenziellen Schäden quantifizieren, die sich aus solchen Angriffen ergeben. Wie viele Millionen Euro würde es meine Firma kosten, wenn ein wichtiger Teil meiner Produktion tagelang komplett lahmläge? Wie hoch wären dann die Kosten, wenn die Gesamtproduktion dabei beeinträchtigt wäre? Und wie viele Kunden würden dabei abspringen, wenn ich nicht in der Lage wäre, die Produkte zeitig zu liefern? Solche Kosten summieren sich sehr schnell zu sehr hohen Beträgen.
          4. Risiken erkennen
            Entsprechend sollte dann die Firma zusätzliche Maßnahmen vor allem im Bereich der Produkt- und Produktionssicherheit ergreifen, um Cyber-Angriffe zu vermeiden. Dazu gehören zum Beispiel Autorisierungskonzepte bei Fernwartungszugängen, die Cyber-Zertifizierung von Embedded Software-Lieferanten oder die Übertragung von ISO2700X-Prinzipien auf die Produktions-IT. Dabei ist eines klar: Ein Unternehmen kann sich nie hundertprozentig vor Cyber-Attacken schützen. Deshalb sollten Firmen mit Hilfe einer Kosten-Nutzen-Analyse die gefährlichsten Risiken festlegen und dafür gezielt Sicherheitsmaßnahmen aufsetzen.
          5. Mitarbeiter sensibilisieren
            Doch diese vier Schritte funktionieren nur, wenn das gesamte Unternehmen für Cyber-Sicherheit sensibilisiert ist. Cyber-Sicherheit muss Teil der Firmen-DNA werden; jeder Mitarbeiter sollte in seinem Bereich in der Lage sein, Online-Gefahren schnell zu erkennen und zu melden, damit große Schäden für die Firma frühzeitig verhindert werden können. Darauf sollten Unternehmensorganisation, -prozesse und -governance ausgerichtet werden. Außerdem sollten Mitarbeiter dahingehend regelmäßig informiert und geschult werden. Denn die Erfahrung zeigt: Die Kette ist nur so stark wie ihr schwächstes Glied.

          Manfred Hader und Carsten Rossbach sind Partner der Strategieberatung Roland Berger.

          Topmeldungen

          : Spezialisten dringend gesucht

          IT-Sicherheitsexperten sind gefragt – doch das Angebot an Fachkräften ist begrenzt. Viele Unternehmen setzen deshalb auf Expertise im eigenen Haus.
          Wer im Notfall löscht, hinterlässt manchmal Schäden. Das gilt auch für IT-Experten.

          : Sicherheitspaket für die „IT-Feuerwehr“

          Wenn IT-Dienstleister oder -Berater Fehler machen, kann das für ihre Kunden schwerwiegende Folgen haben. Sie müssen sich daher besonders gegen berufliche Haftpflichtrisiken schützen.
          Auch Manager treffen nicht immer die richtige Entscheidung. Eine D&O-Versicherung kann sie dann schützen.

          : Eine Frage der Existenzsicherung

          Jeder Mensch macht Fehler. Die sogenannten D&O-Versicherungen sind für Manager in Großunternehmen daher längst Standard. Mittlerweile zieht auch der Mittelstand nach.