Sicher vernetzt?

Die digitale Datenkommunikation in Echtzeit sorgt für eine hoch effiziente Produktion und für eine enge Anbindung an die Partner in der Wertschöpfungskette. Doch der Trend zur „Industrie 4.0“ und zum „Internet der Dinge“ erhöht bei Produzenten, Zulieferern und Vertriebspartnern auch das Risiko von Angriffen auf die IT-Infrastrukturen und damit für Störungen und sogar Betriebsausfälle. „IT-Sicherheit kommt oft zu kurz“, bilanziert deshalb der „Lagebericht IT-Sicherheit in Deutschland 2015“, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Für industrielle Steuerungsanlagen (Industrial Control Systems, ICS), die in Fabrikautomation und Prozesssteuerung zum Einsatz kommen, sei deshalb ein neues Sicherheitskonzept notwendig, an dem die Hersteller von Komponenten und Maschinen ebenso beteiligt sein müssten wie Systemintegratoren und Betreiber.

Der BSI-Lagebericht lässt erkennen, dass die Sicherheitsbedenken nicht aus der Luft gegriffen sind, und nennt Beispiele aus der Praxis. So seien schon zahlreiche Produktionsausfälle durch nicht zielgerichtete Schadsoftware vorgekommen, weil z.B. Steuerungskomponenten oder Bedienterminals mit einer allgemeinen Schadsoftware infiziert und zum Absturz gebracht wurden. In vielen Fällen waren nicht nur einzelne Rechner betroffen, sondern es wurden gesamte Produktionsstandorte lahmgelegt. Auch Fälle von Spähprogramme (Spyware) sowie von Ransomware, bei der Cyber-Erpresser alle erreichbaren Daten und Datenspeicher verschlüsseln und so den ganzen Betrieb stilllegen, hat das BSI im industriellen Umfeld beobachtet. Datenverluste, Erpressung, Unterbrechung der Lieferketten und Stillstände im Betrieb könnten erhebliche Eigen- und Drittschäden nach sich ziehen.

In der weltweiten Statistik für Cyberkriminalität belegt Deutschland einen erschreckenden ersten Platz, berichtet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Das US-amerikanische Center for Strategic and International Studies geht von einer Schadenssumme von insgesamt 46 Mrd. Euro aus, der deutsche Branchenverband Bitkom beziffert die Schäden für die gesamte deutsche Wirtschaft durch digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl „konservativ berechnet“ auf rund 51 Mrd. Euro pro Jahr.

Versicherungsschutz schwierig

Zwar gibt es bereits erste Cyber-Policen am deutschen Versicherungsmarkt, doch das Interesse von Seiten der Unternehmen hält sich noch in Grenzen. Zum einen entstehe das entsprechende Risikobewusstsein erst, zum anderen fehle eine Standardisierung des Versicherungsschutzes, so der GDV. Für jeden einzelnen Vertrag müsse das schutzsuchende Unternehmen einen komplexen und langwierigen Prozess durchlaufen, bis es zu einem Abschluss komme. Die herkömmlichen Produkte am Markt zur Allgefahrendeckung reichten aber in aller Regel nicht ansatzweise zur Absicherung der neuen Gefahren aus, warnt der Verband. Um den Versicherungsschutz gegen Cyber-Risiken zu vereinheitlichen, arbeitet der GDV an Musterversicherungsbedingungen – der Zeitpunkt von deren Fertigstellung ist aber noch nicht in Sicht. Im Prinzip fehle es nicht an der Versicherungskompetenz, knifflig sei aber die Aufgabe, den Versicherungsschutz für ganz unterschiedliche Probleme und Risiken bei den Kunden in vertragliche Regelungen zu übersetzen.

Wenn es um Internet-Kriminalität geht, fürchten die Unternehmen bislang vor allem Datendiebstähle und Datenschutzverletzungen. Doch die jüngste Generation der Cyberrisiken hat eine neue Qualität, denn es drohen der Diebstahl geistigen Eigentums, virtuelle Erpressungen und die kostspieligen Folgen von Betriebsunterbrechungen in Folge von Cyberangriffen oder auch rein technischen IT-Ausfällen oder Prozessfehlern. Innerhalb der nächsten fünf bis zehn Jahre wird sich Betriebsunterbrechung zu einem zentralen Risiko für internet- und technologiebasierte Unternehmen entwickeln, sagt die Allianz Global Corporate & Specialty (AGCS) voraus, die Industrieversicherungssparte des Versicherungsriesen Allianz. Die virtuelle Vernetzung von Geräten und Maschinen schaffe weitere Angriffspunkte für Internet-Kriminalität. Nach Angaben der AGCS, die in Deutschland bereits ein entsprechendes Versicherungsprodukt für größere Unternehmen im Angebot hat, könnten bis 2020 eine Billion Geräte untereinander vernetzt sein, dann könnten auch 50 Mrd. Maschinen täglich – auch mit Schadsoftware infizierte – Daten austauschen. Zumal viele industrielle Steuerungssysteme aus einer Zeit stammen, als IT-Sicherheit noch keinen hohen Stellenwert hatte. Eine Cyber-Police kann aus Sicht der AGCS aber lediglich Teil der Lösung sein, notwendig sei vielmehr ein umfassender Risikomanagement-Ansatz im Betrieb, um Gefahren aus dem Netz von vorneherein abzuwehren. Eine Cyber-Versicherung ersetze keine Investitionen in die IT-Sicherheit. „Die technologischen, betrieblichen und versicherungstechnischen Aspekte des Risikomanagements gehen bei Cyberrisiken Hand in Hand”, erklärt AGCS-Experte Jens Krickhahn.

Mit der Industrie 4.0 wachsen die Anforderungen an den digitalen Schutz. Neben den Aspekten Datensicherheit und IT-Sicherheit geht es verstärkt um eine generelle Rechtssicherheit. „Von der Einzelbetrachtung des Risikos kommt es nun zur Risikokette“, führt Wolfgang Dorst, Experte für Industrie 4.0 beim Branchenverband Bitkom, aus. Der gesamte Bereich der Corporate Governance, die die rechtlichen Rahmen und Spielräume überwacht, und das betriebliche Risikomanagement müssten ausgeweitet werden. Dorst illustriert das am Beispiel von Verbrauchern, die im Internet bei einem Anbieter bestellen. Selbst wenn ein Auftrag von unterschiedlichen Anbietern aus mehreren Ländern erfüllt wird, gilt nur eine Geschäftsbedingung sowie ein Zahlungsweg. In der Industrie 4.0 müsse es ähnlich funktionieren, auch wenn spezielle Zulieferer neu hinzugezogen oder spezifische Komponenten neu verbaut werden. Mit diesen Verfahren wird die Industrie Neuland betreten, der rechtliche Rahmen oder gar die Gestaltung eines hier notwendigen Versicherungsnetzwerkes stehen noch ganz am Anfang.