Nach Führungen durch die aktuelle Ausstellung „Willkommen im Labyrinth“ im Museum für Gegenwartskunst „Marta“ und Fachvorträgen zu Umwelt-Produktdeklarationen (EPD) und der Chemikalienverordnung Reach begrüßten Gastgeber Berthold Heinz (TÜV Rheinland/LGA) und Lars Bopf (stellv. Vorsitzender des Verbands der Deutschen Küchenmöbelindustrie e.V.) herzlich alle Gäste aus Politik, Verwaltung, Wirtschaft und Presse auf der Terrasse des Marta-Cafés „Kupferbar“.
2011: Gründung des Cybercrime-Zentrums beim LKA NRW
Vahrenhorst, vormals IT-Ermittler und jetzt Mitarbeiter des Cybercrime-Kompetenzzentrums mit Schwerpunkt „Prävention in Industrie und Wirtschaft“, gewann vom ersten Moment an die uneingeschränkte Aufmerksamkeit aller Zuhörer. Denn er traf ins Schwarze mit der Feststellung, dass IT – privat wie in Unternehmen – heute gelebter Alltag sei, die Wahrnehmung des Digitalen eher unbewusst erfolgt und IT-Risiken sogar häufig ausgeblendet werden. Kaum ein Nutzer durchschaue noch die wirklich ablaufenden IT-Prozesse bei Nutzung eines Smartphones, eines PKW oder einer industriellen Fertigungsstraße.
Konflikte sind gerade in der Wirtschaft vorprogrammiert: IT ist schnelllebig – Zyklen von zwei, drei Jahren sind die Regel. Eine industrielle Anlage hat sich in dieser Zeit weder amortisiert, noch gäbe es vernünftige Gründe, ein Montagelinie für Möbel nach drei Jahren verschrotten zu wollen. Vom finanziellen Aufwand einmal ganz abgesehen…
IT ist schnelllebig – automatisch entstehen Angriffspotenziale
Das bedeute aber, so Vahrenhorst, dass bereits nach drei Jahren Kompatibilitätsprobleme die Regel und automatische Sicherheitsupdates bzw. Patches sukzessive ausgesetzt werden. Dahinter stecke keinerlei Vorsatz, das sei allein dem schnellen digitalen Fortschritt geschuldet. Und dieser reißt natürlich neue Flanken in der Prävention und bei IT-Schutzmechanismen auf. Ein über eine Pishing-Mail eingefangenes Schadprogramm, das die IT gegen Zahlung eines „Lösegelds“ wieder entsperrt, sei noch das kleinere Übel, so Vahrenhorst.
Viel schlimmer ist hingegen die reale Option, via Internet Software auf die SPS aufzuspielen, die beispielsweise Bohrlöcher um nur 5 mm versetzt. Bis solcherart Fehler im Fertigungsprozess oder gar beim Kunden bemerkt werden, vergeht eine lange Zeit. Die Schäden sind unabsehbar und könnten die unternehmerische Existenz in Frage stellen. Was also 2010 mit dem Programm „Stuxnet“, das Zentrifugen willkürlich bis zur Selbstzerstörung beschleunigte, noch wie eine Utopie schien, gehöre heute bereits zur ‚Grundausbildung‘ krimineller Nerds.
IT-Sicherheit in Unternehmen ganzheitlich immer wieder neu denken
Vahrenhorst versuchte, die Vertreter von Möbelindustrie und -verbänden deshalb zu sensibilisieren: Denn wo IT sei, ist auch immer Cybercrime. Schutzmöglichkeiten müssen aktiv genutzt werden, Sicherheitskonzepte sind nötig. Das Problem aus betriebswirtschaftlicher Sicht: Eine gute IT-Sicherheit kostet viel Geld. Und da sie dann gut funktioniert, tritt kein Schaden ein, nichts Auffälliges passiert. Warum investieren wir so viel Geld für „Nichts“, fragen dann manche Controller leider… Eine scheinbare Zwickmühle, so der Referent, aus der es aber kein Entweichen gibt: IT-Sicherheit muss mit aufwändigen ganzheitlichen Konzepten, die alle Mitarbeiter mitnehmen, und erstklassiger Ausstattung permanent gewährleistet werden!
Und wenn doch ein Schaden eintritt? Dann sei das LKA mit seiner Sonderabteilung da, 24 Stunden und sieben Tage die Woche – so der Kriminalhauptkommissar. 160 hoch qualifizierte Mitarbeiter stünden für die Unternehmen Nordrhein-Westfalens bereit – eines Wirtschaftsstandorts, der für sich allein betrachtet in Europa auf Platz 8 rangiert! Vahrenhorst’s abschließender Hinweis ‚versöhnte‘ dann die oftmals überraschte Zuhörerschaft wieder: Denn mit den ersten 20 % des Aufwands für IT-Sicherheit in Unternehmen sei meist 80 % des Sicherheitslevels erreicht.
Verbändegeschäftsführer Dr. Lucas Heumann dankte abschließend dem Gast für seinen überaus spannenden Vortrag und die vielen guten Hinweise. Er unterstrich nachdrücklich den Hinweis des „Kriminalers“, dass IT-Sicherheit in Unternehmen von oben nach unten gelebt werden muss. Der Chef sei Vorbild, sein Verhalten präge die Mitarbeiter. Und von technischen Maßnahmen abgesehen sind genau diese der wichtigste Gefahren- wie Sicherheitsfaktor, wenn es um die digitale Zukunft geht.