Herr Schreiber, wie gut schützt sich die Autoindustrie vor Cyber-Attacken?
Schreiber: Die gesamte Autoindustrie macht viel zu wenig, um sich vor Cyber-Attacken zu schützen. Aber nicht nur die Autoindustrie, sondern die ganze deutsche Industrie könnte mehr tun. Ich bin noch nie in ein Unternehmen gekommen, das ausreichend oder gar zu viel für seine IT-Sicherheit tut.
Woran hapert es?
Die Unternehmen sind einfach zu wenig gewappnet – und zwar in allen Belangen. Trotz des IT-Sicherheitsgesetzes, trotz „Golden Eye“ und trotz Snowden wird seit Jahren zu wenig getan. Bezogen auf die Autoindustrie gilt dies für Hersteller und Zulieferer in gleicher Weise. Durch die Reduktion der Fertigungstiefe und eine umfassende Kette von Unternehmen, die hier zusammen arbeiten wird einfach sehr viel kommuniziert. Und Kommunikation bedeutet jedes Mal ein Einfallstor für Cyber-Kriminelle. Jede Mail ist ein Unsicherheitsfaktor, weshalb man eigentlich in der Autoindustrie besonders vorsichtig sein sollte.
Was fehlt denn genau?
Die IT-Qualität muss generell gesteigert werden – nicht die Quantität. Unternehmen brauchen für ihre Belange ausreichend und qualitativ hochwertige Sicherheitssysteme. Sie brauchen aber auch mehr Personal, die wissen, wie sie die IT-Sicherheitssysteme pflegen müssen. Das kann man inhouse machen, aber man kann auch externe Dienstleister engagieren. Es gibt sie ja, die Experten, aber sie werden viel zu wenig angeheuert.
Der Volkswagen-Konzern gibt eine Zahl der Cyber-Attacken auf sein IT-Netz mit 6000 Fällen pro Tag an. Wie ordnen Sie die Zahl ein?
Es ist überhaupt nicht wichtig, wie viele Angriffe pro Tag auf die Konzerne einprasseln. Ob 100, ob 1000 oder sogar mehr, das sagt nichts aus. Wichtig ist, dass sich die Konzernverantwortlichen zurücklehnen können und sagen können: Unsere Firewall ist sicher, uns kann das nichts anhaben. Stand heute können sie das aber nicht. Vor allem geht es um einen kontinuierlichen Schutz vor Cyber-Angriffen: Denn zwischen Abwehrsystemen und den Cyber-Angreifern gibt es ein Wettrüsten. Darum muss immer die Software auf dem neuesten Stand sein.
Machen Sie beim Schutz vor Angriffen aus dem Netz Unterschiede zwischen Großkonzernen und Mittelständlern aus?
Vor allem inhabergeführte, kleine Unternehmen investieren viel und erfahrungsgemäß mehr in ihre IT als die großen Konzerne der Industrie. Zudem kommunizieren sie nicht so viel wie die Großen. Denn jede einzelne Mail nach draußen, egal wohin, schneidet ein Loch in die Firewall.
Wie kommt es, dass gerade die kleinen Unternehmen hier den Großen einen Schritt voraus sind?
Firmen, die noch von Gründern oder den Gründerfamilien geführt werden, investieren mehr in Qualität. So auch bei der IT. Vor allem die Verantwortung gegenüber den Mitarbeitern aber auch dem geistigen Eigentum und dem Lebenswerk ist hier Antrieb für die gute Pflege und Qualität – auch in der IT-Sicherheit.
ZUR PERSON: Sebastian Schreiber ist IT-Sicherheitsexperte und gründete 1998 SySS GmbH in Tübingen. Spezialisiert hat sich Schreiber mit seiner Firma auf Penetrationstest: Hierbei wird Syss von Unternehmen beauftragt, ihre IT auf Schwachstellen zu testen und so vorzugehen, wie es Hacker in der Regel tun. Schreibers Team ist mit den Angriffsmethoden auf IT-Systeme vertraut forscht fortlaufend an neuen Mitteln und Wegen, in digitale Infrastrukturen einzudringen. Mittelständler, aber auch über 60 Großkonzerne sind Schreibers Kunden.
Lesen Sie auch:
Nach dem Stopp der Cyberattacke: Experten befürchten neue Angriffe
Wie gut ist die deutsche Autoindustrie gegen Cyberattacken gerüstet?
