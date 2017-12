Wenn ein Hacker in eine Industrieanlage eindringt, bekommt er es an irgendeiner Stelle mit Siemens zu tun. Das deutsche High-Tech-Unternehmen stellt Steuerungsgeräte für Kraftwerke und Produktionsstraßen her, Netzwerkkomponenten, Sensoren und Leitsysteme. Wären diese Komponenten leicht zu knacken, wäre der Dax-Konzern schnell am Ende.

Die für Siemens gefährlichsten Hacker greifen von Legoland aus an. So nennen die Siemens-Mitarbeiter ihr Forschungszentrum in München-Neuperlach-Süd, wegen der Siebzigerjahre-Laborgebäude mit den bunten Aufbauten. In einem kleinen Trakt irgendwo auf dem Firmengelände, in nüchtern-chaotischen Zimmern, zwischen Kabelrollen, Werkzeugen und Steuerungskomponenten sitzen Hacker an Schreibtischen voller Monitore.

Sie handeln im Auftrag - allerdings nicht im Auftrag von Konkurrenten, Terroristen, Geheimdiensten, sondern im Auftrag von Siemens selbst. Von verschiedenen Einheiten des Konzerns bekommen sie die Order, eine bestimmte Komponente auszutricksen. Dazu das schlimmstmögliche Szenario, beispielsweise: "Versucht, mit dem Zeitaufwand X in dieses Gerät einzudringen und die davon gesteuerte Produktion lahmzulegen, für mindestens X Stunden/Tage." Oder auch: "Überliste das Alarmsystem und dringe ein, ohne dass es jemand bemerkt." Im IT-Jargon heißt das Penetration Testing, der Versuch, in eine geschützte Umgebung einzudringen.

REUTERS Siemens-Entwicklungszentrum "Legoland" in München

Software und Schraubenzieher

Wie der Leiter der Einheit, Robert Ingruber, haben auch einige der "guten" Hacker Elektrotechnik studiert, eine hilfreiche Ausbildung. Denn sie schrauben die Siemens-Geräte auch auseinander, untersuchen, welche Komponenten verbaut sind und wie man über das Netz an sie herankommen könnte. Sie schließen die Geräte an Strom und ein Netzwerk an, versuchen die Funktionsweise zu verstehen und entwickeln eine Einbruchsstrategie.

Der digitale Kontrollverlust Michael Walter / DER SPIEGEL "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Für Siemens wäre es vergleichsweise leicht, die eigenen Systeme sehr gut zu sichern, aber in großen Systemen wie Produktionsstraßen, Kraftwerken, Wasserwerken oder Krankenhäusern arbeiten sehr viele Geräte unterschiedlicher Hersteller zusammen und alle kommunizieren - miteinander, mit dem Systemadministrator oder dem Produzenten.

"Die hohe Komplexität größerer Systeme macht die Sicherung extrem schwierig", sagt Ingruber. Die Herausforderung sei, dass die Komponenten oftmals in kritischen Infrastrukturen verbaut sind und zudem zehn, 20 oder 30 Jahre und länger betrieben werden.

Es sind keine Script-Kiddies mehr, Jugendliche mit ein wenig technischem Sachverstand, die vom heimischen PC aus in kritische Anlagen eindringen. Es sind Profis, die mit hohem Aufwand, mit Geld und Technik ein Ziel verfolgen. "Wer erfolgreich sein will, braucht viel Erfahrung, Zeit, Geduld und ein wenig Glück", sagt Ingruber. Vielleicht hat ein Administrator mal vergessen, ein Passwort zu vergeben oder ein W-Lan versehentlich geöffnet.

Eine dreifach gesicherte Stahltür - in einer Hecke

Die größten Probleme verursachen nicht fehlerhafte Codes in einer Software, sondern die mangelhafte Einbindung neuer Geräte oder Software in das bestehende System. Ingruber beschreibt es so: "Da baut jemand eine dreifach gesicherte Stahltür ein, rechts und links davon pflanzt er aber nur eine Hecke, durch die jeder leicht durchspazieren kann."

Die Siemens-Lösung, eigene Tests durchführen zu lassen, ist aufwändig und teuer, aber sie rechnet sich. Einzelne Hackerangriffe können gewaltige Schäden verursachen, wie das Beispiel der Firma Maersk zeigt: Allein der Angriff mit der Ransomware Petya/NotPetya kostete die Reederei 200 bis 300 Millionen Dollar Gewinn.

DPA Cyberattacke mit Ransomware Petya

Siemens hat daher den Wettlauf mit Hackern schon früh aufgenommen. Seit 25 Jahren gibt es dort ein Fachzentrum für Sicherheit, seit 13 Jahren greift Siemens seine Geräte selbst an - der Konzern beobachtet die Attacken auf seine eigenen Systeme und lernt daraus.

Kleine und mittelständische Unternehmen in Deutschland, die in Deutschland überwiegen, haben nicht die Mittel, die einem Weltkonzern wie Siemens mit mehr als 350.000 Mitarbeitern und einem Jahresumsatz von 80 Milliarden Euro zur Verfügung stehen. Viele Firmenchefs scheuen größere Investitionen in IT-Sicherheit, zumal sie keinen unmittelbaren Nutzen sehen - wenn etwas nicht passiert, ist es schwer, das als Erfolg zu sehen.

Der erfolgreiche Angriff kommt auf jeden Fall

So klagen IT-Sicherheitsbeauftragte im Gespräch mit SPIEGEL ONLINE über mangelnde Wertschätzung und mühsame Überzeugungsarbeit in der eigenen Firma. Viele Betriebe haben auch schlicht keine nennenswert große IT-Abteilung.

Dienstleister wie Hisolutions profitieren davon, sie sichern nicht nur Netze und Anlagen ab, sie treten auch als Feuerwehr auf - und das immer häufiger, sagt Direktor Frank Rustemeyer. "Noch vor fünf bis zehn Jahren bestand unsere Arbeit vor allem darin, einen Schadensfall zu verhindern. Heute geht es darum, den Schaden, der früher oder später eintritt, zu begrenzen." Zwar hat sich nach Ansicht Rustemeyers einiges verbessert, so seien sich die Unternehmen heute grundsätzlich bewusst, dass sie andauernd bedroht werden.

Allerdings birgt auch das Tücken: Einige Unternehmen haben zwar bereitwillig digitalisiert, jetzt sind sie aber vollkommen abhängig von Dienstleistern. Viele Programme laufen ausschließlich auf Servern von Drittanbietern - werden die dann gehackt, steht der Betrieb still. Als genau dies vor wenigen Wochen passierte, standen die betroffenen Unternehmen besonders dumm da: Sie wussten nicht, warum ihre Anlagen streikten, konnten aber auch ihren IT-Dienstleister nicht erreichen. Der war nämlich damit beschäftigt, den Cyberangriff unter Kontrolle zu bekommen - und beantwortete einfach keine E-Mails oder Telefonanrufe mehr. Sicherheitsbehörden erkennen schon seit längerem den Trend, dass Hacker im Auftrag ausländischer Nachrichtendienste IT-Anbieter attackieren.

AP Phishing-E-Mail

Immerhin kann mittlerweile jeder Betrieb einen mehr oder minder maßgeschneiderten IT-Schutz einkaufen, auch ganz simpel bei der Telekom. Die Technik alleine bietet allerdings keinen absoluten Schutz. Das größte Problem für alle Unternehmen, egal wie gut sie vermeintlich gesichert sind: Mitarbeiter, die schwerwiegende Fehler machen, aus Unwissenheit, Gutgläubigkeit oder einfach nur aus Angst.

Zwar weiß mittlerweile fast jeder, dass nicht jeder E-Mail-Anhang einfach geöffnet werden sollte, trotzdem verbreiten sich Schadprogramme immer noch vor allem auf diesem Weg. Tests, bei denen IT-Experten gezielt infizierte Mails verschicken, haben ergeben, dass rund sieben Prozent der Nutzer trotz aller Warnungen auf den Anhang klicken. Manche tun dies sogar mehrfach, wie die Grafik zeigt:

Besonders erfolgversprechend ist es offenbar auch, die Schadsoftware auf einem USB-Stick zu speichern und den auf dem Firmenparkplatz zu "verlieren" - arglose Mitarbeiter stecken das Fundstück in den Bürorechner und schleusen das Schnüffelprogramm selbst in die Firma ein.

Der findige IT-Sicherheitschef eines weltbekannten deutschen Maschinenbauers hat auch dagegen einen wirksamen Schutz gefunden: Er lässt selbst solche USB-Sticks herumliegen. Wer einen davon mit seinem Computer verbindet, bekommt eine Textnachricht zu sehen. "Ihr Computer wurde gehackt, wir kopieren diese Dateien." Es folgt eine Liste aller Dokumente auf dem Rechner und die Nachricht "Jetzt wird alles gelöscht. Wenn Sie Ihre Daten wiederhaben wollen, rufen Sie folgende Telefonnummer an."

Dort meldet sich dann der IT-Sicherheitschef: Das Programm ist ein Fake und ändert auf dem Computer nichts. Schocktherapie zur Bewusstseinsbildung - vermutlich der erfolgreichste Weg.