Angriff aus dem Netz
Sie nutzen Einfallstore aus Einsen und Nullen: Cyber-Piraten nehmen im Zuge der Digitalisierung mit immer neuen Methoden auch die deutsche Industrie ins Visier. Es gibt Mittel und Wege dagegen. Eine zentrale Verteidigungslinie bilden die Beschäftigten selbst.
Die Cyberattacke kam am 12. Dezember 2020: Der Angriff erwischte den Aromenspezialisten Symrise mit seiner Zentrale im niedersächsischen Holzminden kalt. Die Nachricht ploppte bei Führungskräften auf, erreichte den Gesamtbetriebsratsvorsitzenden Harald Feist und bremste den Betrieb. Die Erpresser verlangten Lösegeld. Ihr Druckmittel war sogenannte Ransomware. Damit greifen Cyberkriminelle auf IT-Systeme von Unternehmen, Kommunen und Organisationen zu. Das Schadenspotenzial wächst mit der Komplexität digitaler Infrastrukturen. Ein international aufgestelltes Unternehmen wie Symrise mit einem Netz aus Produktionsanlagen und Tochterfirmen ist ein verlockendes Ziel. Zu Symrise gehören 11.500 Beschäftigte, darunter über 3.000 in Deutschland. Der Konzern wollte sich nicht erpressen lassen. Er trat die Flucht nach vorn an und ging offline.
„Der Vorstand hat rasch entschieden; die IT zog sofort die Reißleine“, erinnert sich Gesamtbetriebsratschef Feist, der zudem im Aufsichtsrat sitzt. Symrise installierte einen Krisenstab und arbeitete mit Ermittlungsbehörden zusammen. Das Unternehmen fuhr alle IT-Systeme herunter und baute sie neu auf. Produktionsanlagen seien nicht direkt betroffen gewesen, sagt Feist. „Die arbeiten weitgehend autark.“ Doch die Kommunikationswege und Bereiche wie die Logistik mussten vom Netz. Bis Februar 2021 kehrte schrittweise Normalität zurück. Symrise schaffte das mit Hilfe der Beschäftigten, die Sonderschichten schoben. Symrise rüstete seine Sicherheitsarchitektur auf. Dazu gehörten Entscheidungen, die der Betriebsrat mit verhandelte. Die IT-Rahmenvereinbarung wurde aktualisiert, die Zugänge für Mitarbeitende sind per Zwei-Faktor-Authentifizierung gesichert. Dienstgeräte verfügen über ein Warnsystem.
Der IT-Branchenverband Bitkom notierte im Sommer 2021: „Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro.“ Das sei mehr als doppelt so viel wie noch 2019. Haupttreiber dieses enormen Anstiegs sind laut Bitkom Erpressungen mit Ransomware. Bereits 2020 alarmierte der Gesamtverband der Deutschen Versicherungswirtschaft (GDV): „Ein Drittel der mittelständischen Chemiehersteller hat bereits einen Cyberangriff erlebt.“ Trotzdem nähme die Chemiebranche die Gefahr nicht ernst genug. „Dementsprechend hat die IT-Sicherheit für viele Mittelständler nur eine geringe Priorität“, bemängelte der GDV.
Die Investition in Cybersicherheit darf nicht zu Lasten der Menschen gehen: „Betriebliche Mitbestimmung sorgt auch im Zuge der digitalen Transformation dafür, dass Industriearbeitsplätze nicht nur sicher sind, sondern auch die Arbeitsbedingungen stimmen“, betont Francesco Grioli, Digital-Vorstand der IGBCE. Deshalb haben Betriebsräte beispielsweise bei Social-Engineering-Tests ein Informationsrecht. Also dann, wenn Unternehmen externe Dienstleister einschalten, um das Verhalten von Beschäftigten bei simulierten Cyberattacken zu prüfen. Regelungen aus dem Bundesdatenschutzgesetz müssen berücksichtigt werden – etwa im Rahmen von Betriebsvereinbarungen. Die IGBCE empfiehlt, die geplanten Maßnahmen sowie die Art der erhobenen Daten konkret zu beschreiben. Auch Datenschutzbeauftragte sind einzubinden. „Wichtig ist, dass etwaige Konsequenzen für abweichendes Verhalten von Mitarbeitenden sozial fair ausgehandelt werden“, betont Stefan Soltmann, Leiter der IGBCE-Abteilung Gute Arbeit/Betriebspolitik. Das Sicherheitsbedürfnis von Unternehmen dürfe nicht zu massiven arbeitsrechtlichen Konsequenzen führen. Etwa dann, wenn Sicherheitstests ein potenzielles Fehlverhalten erkennen lassen. Nun hat nicht jeder Betriebsrat die Ressourcen für einen eigenen IT-Arbeitskreis. Aber Wissen über Cybersicherheit, und was das für Beschäftigte bedeuten kann, wird immer wichtiger. Die IGBCE hat dafür unter anderem ihr Expertennetzwerk; hinzu kommen Schulungen. Doch Soltmann sieht noch ein anderes Problem im IT-Bereich: „Es besteht ein eklatanter Fachkräftemangel.“
Fabian Cholewa ist vom Fach. Er arbeitet für das Cyber-Security-Management der RWE . Die großen Player im Energiesektor, sagt Cholewa, würden seit Jahren permanent in die Absicherung ihrer Systeme investieren. Das schreibt seit 2015 auch das IT-Sicherheitsgesetz vor, das systemkritischen Branchen Schutzmaßnahmen auferlegt. Mit dem Einmarsch Russlands in die Ukraine war auch RWE alarmiert. „Als einer der größten Stromerzeuger in Europa leistet RWE einen wesentlichen Beitrag zur Versorgungssicherheit. Unsere IT-Sicherheitsspezialisten optimieren die Sicherheit der bereits sehr gut geschützten Infrastruktur von RWE kontinuierlich.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermeldete im Mai, dass es im Zuge des Kriegs zu einigen IT-Sicherheitsvorfällen kam, die „nur vereinzelt Auswirkungen“ hatten. „RWE war nicht betroffen“, sagt Cholewa. Aber RWE analysiere die sich ändernde Bedrohungslage kontinuierlich. „Wir initiieren bei Bedarf zusätzliche Maßnahmen.“
Fabian Cholewas Spezialgebiet ist das Awareness-Programm. Damit will RWE bei seinen Beschäftigten mehr Problembewusstsein schaffen. Cholewas Team schult – in Abstimmung mit dem Betriebsrat – die Aufmerksamkeit der Mitarbeitenden. Es geht ihm dann nicht um die Daten Einzelner. Sondern um den Gesamteindruck: Wie viele Personen klicken Links und Anhänge an, die potenziell Spam sind? Und wie viele Mitarbeitende melden es, wenn sie Probleme erkannt haben? Erkennen und korrekt Handeln; darauf komme es an, sagt Cholewa. Ein Unternehmen müsse auch dafür sorgen, dass jeder Mitarbeitende diese Schritte verstehe. Nur so würden sie auch sensibilisiert. Und das immer wieder aufs Neue. „Awareness ist kein Sprint, sondern ein nicht endender Marathon.“