Wirtschaftswoche Ausgabe vom 28.07.2014 (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Unternehmen&Märkte<br />
»<br />
curity-Lösungen kümmern sich 600<br />
Spezialisten der Tochtergesellschaft Daimler<br />
TSS. Trotzdem ist Wiedemann bewusst,<br />
dass man sich auf dem Erreichten nicht<br />
ausruhen darf: „Vollständige Sicherheit<br />
kann nur eine Momentaufnahme sein.“ Bei<br />
der Cyberabwehr müsse man neue, unkonventionelle<br />
Wege einschlagen.<br />
Darum arbeitet an einem geheimen Ort<br />
eine Spezialeinheit fest angestellter Hacker.<br />
Als einer von wenigen deutschen<br />
Konzernen hat Daimler beschlossen, das<br />
eigene Firmennetz permanent selbst zu attackieren,<br />
um Schwachstellen und Sicherheitslücken<br />
schneller aufzuspüren. „Es<br />
bringt mehr, wenn wir die Sicht eines außenstehenden<br />
Angreifers einnehmen“, sagt<br />
Lüder Sachse, als Chief Information Security<br />
Officer einer von Wiedemanns engsten<br />
Mitarbeitern.<br />
Die Reaktionen auf Snowden<br />
Welche Konsequenzen deutsche Unternehmen<br />
aus dem NSA-Abhörskandal ziehen*<br />
31 %<br />
23 %<br />
13 %<br />
11 %<br />
49 %<br />
Wir haben unsere Sicherheitsanforderungen<br />
an IT- und Telekomdienstleister<br />
erhöht<br />
Wir werden in den nächsten zwölf<br />
Monaten aus Sicherheitsbedenken keine<br />
Cloud-Dienste in Anspruch nehmen<br />
Wir haben konkret geplante Cloud-<br />
Projekte zurückgestellt<br />
Wir haben bestehende Cloud-Projekte<br />
aufgegeben<br />
Wir haben vorerst keine<br />
Konsequenzen gezogen<br />
* Mehrfachnennungen möglich; Quelle: KPMG; Bitkom<br />
Aus der Arbeit der Hacker hat der Autobauer<br />
folgende Lehre gezogen: „Die Widerstandsfähigkeit<br />
der IT-Systeme muss so<br />
hoch geschraubt sein, dass es für den Angreifer<br />
zu aufwendig wird“, sagt Wiedemann.<br />
Die meisten geben nach wenigen<br />
Stunden auf und wenden sich einem anderen<br />
Ziel zu.<br />
Aus diesem Grund werde die bisherige<br />
Sicherheitsphilosophie überdacht. Vielen<br />
Unternehmen reiche es, die Checklisten<br />
zusammen mit den IT-Sicherheitsbeauftragten<br />
der Standorte abzuarbeiten. „Trotz<br />
abgehakter Checkliste kann es bei Härtetests<br />
schlechte Ergebnisse geben“, sagt<br />
Sachse. „Die meisten Hackerangriffe dauern<br />
nur wenige Stunden. Doch bis sie erkannt<br />
werden, vergehen oft Monate. In diesem<br />
Hase-Igel-Spiel wollen wir viel schneller<br />
werden.“<br />
Die Schlagzeilen der vergangenen Wochen<br />
zeigen, wie dramatisch die Lage ist.<br />
So griff beim Deutschen Zentrum für Luftund<br />
Raumfahrt (DLR) in Köln-Porz, einer<br />
der am besten gesicherten Forschungseinrichtungen<br />
im Land, ein perfides Spionageprogramm<br />
Rechner von Wissenschaftlern<br />
an, ohne dass die Schutzprogramme<br />
anschlugen. Der Trojaner war so programmiert,<br />
dass er sich selbst zerstört, sobald<br />
ihm jemand auf die Schliche kommt.<br />
Beim Kölner Handelsriesen Rewe knackte<br />
ein Hacker den privaten E-Mail-Account<br />
eines Aufsichtsratsmitglieds und zog Unterlagen<br />
für die nächste Sitzung ab. Der<br />
Unbekannte versuchte Rewe-Chef Alain<br />
Caparros damit zu erpressen und drohte in<br />
einem anonymen Schreiben: „Wäre doch<br />
schade, wenn diese Daten an die Öffentlichkeit<br />
gelangen würden, oder?“<br />
Welche IT-Sicherheitsmaßnahmen die<br />
Unternehmen verstärken*<br />
66 %<br />
35 %<br />
43 %<br />
33 %<br />
3 %<br />
2 %<br />
0 %<br />
Organisatorische Verbesserungen<br />
(z. B. Zugriffskontrollen)<br />
Firewall eingeführt/erneuert<br />
Virenscanner eingeführt/erneuert<br />
Schulungen zur IT-Sicherheit<br />
Standardisierungen/Zertifizierungen<br />
Früherkennungssysteme einsetzen<br />
Einstellung zusätzlicher IT-Sicherheitsexperten<br />
Die Fälle sind nur die Spitze des Eisberges.<br />
Nach Ansicht von Norbert Pohlmann,<br />
Professor für Internet-Sicherheit an der<br />
Fachhochschule Gelsenkirchen, sind die<br />
Unternehmen weiter denn je davon entfernt,<br />
einen perfekten Schutzwall aufbauen<br />
zu können. „Zur Geschichte des Internets<br />
gehört, dass die Sicherheitsprobleme jedes<br />
Jahr größer werden“, bemängelt Pohlmann.<br />
Die Sicherheitslücken könnten gar<br />
nicht so schnell geschlossen werden, wie<br />
sie auftreten: „Die Angreifer sind uns haushoch<br />
überlegen.“<br />
Experten wie Pohlmann plädieren deshalb<br />
für branchenweite Sicherheitslösungen,<br />
bei denen produzierende Unternehmen<br />
den gesamten Datenaustausch mit ihren<br />
Zulieferern verschlüsseln.<br />
Auch Daimler denkt darüber nach, den<br />
Zulieferern strenge Sicherheitsvorgaben<br />
aufzuerlegen und die Sicherheitstests auf<br />
die gesamte Lieferkette auszuweiten. Das<br />
sei ein „sensibles Thema“, denn die Autozulieferer<br />
seien rechtlich selbstständige<br />
Unternehmen, so Wiedemann. Dabei gehe<br />
es auch um die sichere Steuerung internetfähiger<br />
Maschinen. „Viele Roboter sind anfällig“,<br />
sagt die Sicherheitschefin. „In den<br />
Fabriken gibt es heute nicht die Sicherheit<br />
wie an den Büroarbeitsplätzen.“<br />
Mit seinen Plänen für die Zulieferer ginge<br />
Daimler weit über das bereits bestehende<br />
Branchennetz European Network Exchange<br />
(ENX) hinaus. Der in Frankfurt ansässige<br />
Verein knüpfte im Jahr 2000 ein eigenes,<br />
besonders gesichertes Netz für den<br />
Datenaustausch zwischen den großen Autoherstellern<br />
und ihren Zulieferern. 1700<br />
Unternehmen, darunter alle großen in<br />
Deutschland, sind angeschlossen. Beim<br />
Gründungsmitglied Volvo wurde die Verbindung<br />
allerdings aus Sicherheitsgründen<br />
gekappt, nachdem Ford seine schwedische<br />
Tochter vor vier Jahren an den chinesischen<br />
Geely-Konzern verkauft hatte.<br />
Bei Unternehmen aus dem Reich der Mitte<br />
ist die Gefahr groß, dass sie mit den Geheimdiensten<br />
kooperieren.<br />
Schutzwall<br />
für Maschinen<br />
Berliner Wasserbetriebe, Berlin-Friedrichshagen.<br />
Hinter der schmucklosen Fassade<br />
des Pumpwerks, einen Steinwurf entfernt<br />
<strong>vom</strong> Großen Müggelsee im Südosten<br />
der Hauptstadt, hat der IT-Sicherheitsingenieur<br />
Michael Böttcher etwas Besonderes<br />
aufgebaut. Von seiner Leitstelle aus<br />
wird die gesamte Wasserversorgung in<br />
Berlin überwacht. Der größte deutsche<br />
Wasserversorger pumpt jedes Jahr 200<br />
Millionen Kubikmeter durch ein weitverzweigtes,<br />
7900 Kilometer langes Rohrnetz.<br />
„Die Versorgung muss rund um die Uhr<br />
garantiert sein“, sagt Böttcher. Ein hochkomplexes<br />
System aus neun lokalen Wasserwerken,<br />
900 Brunnen, 42 Belüftungsbauwerken,<br />
186 Aufbereitungsfiltern, 63<br />
Reinwasserbehältern und 89 Reinwasserpumpen<br />
sorgt dafür, dass aus jedem Wasserhahn<br />
mit konstantem Druck sauberes<br />
Trinkwasser fließt.<br />
Hinter den etwa zwei Dutzend Monitoren<br />
versteckt sich ein bislang einzigartiges<br />
Kontrollzentrum, mit dem die Berliner<br />
Wasserwerker Sabotageakte aus dem Internet<br />
verhindern wollen: „Der Rolls-Royce<br />
unter den IT-Sicherheitslösungen“, sagt<br />
Böttcher.<br />
»<br />
42 Nr. 31 28.7.2014 WirtschaftsWoche<br />
© Handelsblatt GmbH. Alle Rechte vorbehalten. Zum Erwerb weitergehender Rechte wenden Sie sich bitte an nutzungsrechte@vhb.de.