Cybersecurity: Es fehlt der Defibrillator für den Cyber-Notfall
Was ist eigentlich schlimmer? Ein Streik oder ein Hackerangriff? Nimmt man den Aufschrei der betroffenen Unternehmen als Maßstab, dann bedrohen jeder Streiktag und die geforderten Lohnerhöhungen die Wettbewerbsfähigkeit des Unternehmens. Vergleichsweise ruhig ist es dagegen, wenn ein Hackerangriff die IT-Systeme lahmlegt. Die Unternehmen beschwichtigen und suggerieren, sie hätten die Lage unter Kontrolle. Alles halb so schlimm, Sicherheitsspezialisten arbeiten mit Hochdruck an einer Lösung und fahren die IT-Systeme so schnell wie möglich wieder hoch, heißt es meist.
Dabei gibt es nur einen Grund für die unterschiedliche Tonlage in der Kommunikation: Bei einem Streik sind die Gewerkschaften schuld, die ihre Mitglieder mobilisieren. Bei einem erfolgreichen Hackerangriff liegen die Fehler im Top-Management der betroffenen Unternehmen, weil sie nicht genug in die Sicherheit ihrer IT-Systeme und die Schulung der Mitarbeiter investiert haben.
Gäbe es in den Unternehmen eine Bereitschaft zur ehrlichen Ursachenanalyse, müsste es umgekehrt sein. Auch wenn es bisher wegen der hohen Dunkelziffer keine offiziellen Statistiken darüber gibt, bin ich mir sicher: Die Zahl der Ausfalltage in Büros und Fabriken durch Hackerangriffe dürfte deutlich höher liegen als die durch Streiktage. Erst kürzlich berichtete der Verband Deutscher Maschinen- und Anlagenbau (VDMA) von einem deutlichen Anstieg erfolgreicher Cyberangriffe auf Produktionsanlagen. Bereits mehr als ein Drittel der befragten VDMA-Mitglieder beklagen Produktionsausfälle. Dabei fängt die Vernetzung und Digitalisierung der Fabriken in dieser eher mittelständisch geprägten Branche gerade erst an. Mein Kollege Thomas Kuhn hat das kürzlich erst beschrieben.
Einen Widerspruch muss auch die IT-Industrie noch auflösen. Was bringt das Streben nach Echtzeit in der Fabrik 4.0 mit Reaktionszeiten bei Datentransfers von wenigen Millisekunden, wenn gleichzeitig die Ausfallzeiten steigen. Die Unternehmen müssen nicht nur Vorkehrungen treffen, damit möglichst viele Hackerangriffe abgewehrt werden. Sie müssen auch die Stillstandzeiten auf wenige Minuten verkürzen, wenn doch mal eine ganz raffinierte Hackergruppe alle Hürden überwindet.
Eine digitale Zwangspause – wie sie derzeit beispielsweise die Universität Gießen erlebt – würde wahrscheinlich kein Unternehmen überleben. Dort musste die Verwaltung vor vier Wochen bereits in den analogen Notfall-Modus mit Karteikarten zurückschalten. Nach einem „schwerwiegenden Sicherheitsvorfall“ am 8. Dezember werden erst ab dem 13. Januar die IT-Systeme der Bibliothek und der elektronischen Prüfungsverwaltung wieder eingeschaltet.
Ein Defibrillator für akute Cyber-Attacken ist überfällig, der die IT-Systeme sofort wiederbelebt. Doch den muss die Security-Branche erst noch erfinden.