POLITIK Sicherheit Internationales Verkehrswesen (69) 1 | 2017 14 Wenn Kriminelle das Steuer übernehmen wollen Die neuen Risiken der Transport- und Logistikindustrie Risiken, Cyberkriminalität, Digitalisierung, Industrie 4.0, Hackerangriffe, Datendiebstahl In der Euphorie um Industrie 4.0 und die hochtechnisierte Transport- und Logistikindustrie der Zukunft muss ein Hinweis auf die gleichzeitig entstehenden Risiken erlaubt sein. Wo professionelle Hacker und Datendiebe eine immer größere Gefahr darstellen, verlassen sich weite Teile der Branche auf den Status quo. Das muss sich ändern - und zwar schnell. Sonst wird die digitale Transformation ausgebremst. Tim Ahrens D as Nachrichtenmagazin Spiegel titelte „Hacker halfen Drogenschmugglern beim Containerklau“, und tatsächlich war der Fall so spektakulär wie raffiniert: Kriminelle heuerten Hacker an, die sich in die Systeme von zwei Logistikdienstleistern einklinkten. Bei scheinbar unverdächtigen Sendungen, etwa Bananen oder Holz, mogelten die Kriminellen jahrelang Heroin und Kokain aus Südamerika unter die Fracht. Die Hacker halfen, genau diese Container im Hafen Antwerpen wiederzufinden und zu stehlen. Ein solcher Coup wäre unmöglich ohne den heutigen verknüpften Material- und Datenfluss - und seine Schwachstellen. Wo Funkchips (RFID) selbstständig Daten senden, können nicht nur Hersteller und Transporteure herausfinden, wo sich ihre Ware gerade befindet. Nun gehört der geschilderte Fall aus 2013 in der schnelllebigen Welt der Digitalkriminalität wahrscheinlich schon zu den Klassikern. Er zeichnet die Richtung der Risiken aber eindeutig vor: Vernetzung bedeutet Angreifbarkeit. Neue Chancen, neue Risiken Nicht nur in Deutschland sind aus ehemals staatlichen Unternehmen weltweit tätige Transport- und Logistikdienstleister geworden. Hier macht die Digitalisierung vieles einfacher, schneller, präziser und effizienter. Was in dieser Euphorie oft vernachlässigt wird, ist aber die simple Formel, dass dort, wo neue Potenziale entstehen, parallel neue Risiken auftauchen. Risiken, die Wachstum, Fortschritt und sogar die sicher geglaubte Versorgung gefährden. Die Akteure sollten das schützen, worin sie erfolgreich sind. Eine dieser Gefahren heißt Wirtschaftsspionage: Vertrauliche Daten können ausgespäht werden. Nicht allein von Erpressern oder Drogenhändlern, wie im Fall Antwerpen geschehen. Immer öfter wird zum Beispiel aus Fernost versucht, das Geschäft der Konkurrenten zu sabotieren oder relevantes Wissen zu stehlen. Die Angreifer sind schon lange keine „Script Kiddies“ mehr. Sie sind oftmals staatlich beauftragt, gut organisiert und technisch hochgerüstet. Eine Studie von Ernst & Young (EY) zum Thema Datenklau beobachtet aber auch ein neues Szenario von Datendiebstahl, bei dem zunehmend Unternehmenszukäufe aus Fernost eine Rolle spielen 1 . Was schon vor der digitalen Transformation schwierig zu entdecken und aufzuklären war, droht mit dem Risikomanagement von gestern zu einer weit offenen Flanke zu werden. Sicherheit neu gedacht Das Dilemma: Das Gros der Entscheider weiß um die neue Kartografie der Risikolandkarten, doch die wenigsten tun etwas, um sich abzusichern. Vor allem das Thema Cyberkriminalität ist vielerorts ein Handlungs-, kein Erkenntnisproblem. Der Bundesverband der Informationswirtschaft Bitkom gibt an, dass schon heute die Kommunikationsinfrastruktur der Dienstleister zum häufigsten Angriffsziel gehört. Die Absicht: Telefonate abhören, Identitäten fälschen, illegitime Zahlungen anweisen, Kundendaten stehlen oder Unternehmen mit Sicherheitslücken erpressen. So kaperten im November 2016 unbekannte Hacker interne Computersysteme, einschließlich der E-Mails, des öffentlichen Nahverkehrsbetreibers von San Francisco und wollten sie nur gegen Lösegeld wieder freigeben. Die Attacke wirkte sich nicht auf den tatsächlichen Betrieb aus, allerdings wurden vorsorglich einige Ticketautomaten abgeschaltet; Verunsicherte Kunden standen an den Stationen. In diesem Fall kam es zu keinem großen Schaden, weil der Anbieter präpariert war. Das System lief laut USA Today zwei Tage später wieder normal. Jedoch können derartige Angriffe das Geschäft auch länger stilllegen. Wirklich strukturierte Maßnahmen gegen die neuen Risiken sind in Deutschland bisher kaum zu erkennen. Bisher waren sensibilisierte Mitarbeiter und der Reifegrad der IT-Sicherheit wirksame Schutzmechanismen - noch ist es in der Transport- und Logistikindustrie zu keinen bedeutsamen Fällen von Digitalkriminalität gekommen. Mit Blick auf die professionelle Landschaft der Angreifer mag das aber nur eine Frage der Zeit sein. Virtuelle Schwachstellen Noch hinkt die digitale Entwicklung in der Transport- und Logistikbranche den Möglichkeiten hinterher. Großes Potenzial haben beispielsweise die Bereiche Rail und Maritime, aber derzeit fehlt den meisten Akteuren die richtige Agenda. Dadurch werden die gleichzeitig aufkommenden Risiken nicht kleiner: Die Auswirkungen wären enorm, wenn Hacker im großen Stil in den Bahn- und Luftverkehr eingreifen oder auch Daten bei Fluggesellschaften stehlen. Was einerseits nützlich ist, kann andererseits angegriffen werden: GPS bestimmt die Position von Fahrzeugen, Haltestellen sind kameraüberwacht, ebenso die Logistiksowie Umschlagterminals mit ihren Zutrittskontrollsystemen. Konnten Einbrecher früher nur durch einige Türen oder Fenster ins Firmengebäude eindringen, bietet der digitale Fortschritt unendlich mehr Mög- Internationales Verkehrswesen (69) 1 | 2017 15 Sicherheit POLITIK lichkeiten für Kriminelle - jedes einzelne technische Gerät, das online ist, kann gehackt werden, sogar die Bordelektronik von Fahrzeugen oder Schiffen. Oder, um ganz simpel anzufangen: Mobiltelefone. Die Digitalisierung, verbunden mit rasant steigenden Datenmengen, macht herkömmliche IT-Sicherheits- und Compliance-Ansätze schrittweise obsolet. Allein schon deshalb, weil sich die Anzahl der Schnittstellen vervielfacht hat - denken wir an die Just-in- Time-Produktion der Automobilwirtschaft oder die Echtzeitkoordination von Cargotransporten zur See und in der Luft. Nun hat sich mit dem neuen IT-Sicherheitsgesetz - das derzeit für den Sektor Transport und Verkehr ausgearbeitet wird - auch der Staat des Themas angenommen. Gesetze sind gut, doch beim Blick in die Praxis offenbart sich ein besorgniserregend niedriges Verteidigungslevel. Selbst führende Unternehmen sind bestenfalls bedingt abwehrbereit. Gerade dort, wo die Personaldecke von IT-Abteilungen ohnehin dünn ist oder veraltete Technologie verwendet wird, identifizieren Hacker einfache Ziele. Die finanziellen sowie die Reputationsschäden können enorm sein: Angefangen bei verschwundenen Lieferungen, Sachschäden bis hin zum Verlust wertvoller Kunden- und Geschäftsdaten oder zu verlorenem Vertrauen bei den eigenen Kunden. Denken wir an die Millionen Menschen, die tagtäglich mit dem ÖPNV mobil sind. Schon heute geben sie sehr selbstverständlich persönliche Daten von sich preis - Ticketreservierungen, Reisedaten, Bankdaten. All diese sensiblen Informationen können in den falschen Händen Schaden anrichten. Effektives Notfallmanagement Die Verunsicherung in diesem Sektor ist groß. Das lässt sich unter anderem daran ablesen, dass es mittlerweile Versicherungen gibt, die Pakete für den virtuellen Angriffsfall anbieten. Doch wie sieht eine wirkungsvolle Maßnahme aus? Die schlechte Nachricht: Rundum-Sorglos-Pakete oder Komplettlösungen gegen Cybercrime gibt es nicht. Schlimmer noch: Jede Branche, jede Unternehmenskultur und jede IT-Infrastruktur verlangt nach einer individuellen Lösung. Die gute Nachricht: Lösungen liegen größtenteils schon in der Schublade. Zum Beispiel aus anderen Branchen, die sich quasi eine Epoche vorher mit Cyberkriminalität auseinanderzusetzen hatten - Banken oder Regierungen etwa. Und es tut sich viel. Der bemerkenswerte Paradigmenwechsel in der IT-Sicherheit geht weg von der Illusion, alles im Vorfeld verhindern zu können, hin zu schneller Erkennung und Reaktion. Was bedeutet das für die Praxis in der Transport- und Logistikindustrie? Ein erster Schritt ist immer die individuelle Erhebung der eigenen Risiken, ein sog. Risk Assessment. Bevor man sich an spezifische Lösungen und Compliance-Systeme wagen kann, lässt sich eine Reihe an Sofortmaßnahmen umsetzen. Aus der Beratungspraxis können das bspw. sein: • Hinterfragen, ob wirklich alles mit allem vernetzt werden muss - wo angreifbare Schnittstellen überhaupt notwendig sind • Schwachstellen wie die Fernwartung abschirmen • Daten von Transportketten nicht offenlegen, sondern gesondert schützen • Sicherheitschecks für Lieferwege einführen • Sensible Daten oder E-Mails verschlüsseln • Beobachten und verfolgen, welche Informationen im Netz veröffentlicht werden, - etwa Namen von Fahrern und Ansprechpartnern • Sichere Passwörter einsetzen, diese nicht offen liegen lassen und turnusmäßig ändern • Soft- und Hardware regelmäßig aktualisieren • Serverräume mit Codes verschließen • Zugangsdaten früherer Mitarbeiter löschen • Festplatten von Mobilgeräten verschlüsseln • Lösungen zum Thema „Bring your own device“ entwickeln und vermitteln • Notfallplan: klare Strategien für den Ernstfall festlegen, Fachleute sprechen hier von DFIR-Readiness Natürlich ergibt es Sinn, solche punktuellen Ansätze in ein bestehendes Compliance-System einzubinden. Angefangen bei einer soliden Risikoanalyse bis hin zu anlassbezogenen Hintergrundrecherchen, ITgestützten Integritätsscreenings und vollends integrierten Compliance- und Cyber- Security-Systemen. 4.0 denken, Standards setzen Die Signalwirkung, die in Sachen IT-Sicherheit und Compliance von Deutschlands drittgrößtem Wirtschaftsbereich ausgeht, ist kaum zu überschätzen. Was Logistiker und Transporteure jetzt richtig machen, wird sich auf andere Branchen auswirken und Maßstäbe setzen. Gelingt es ihnen nun, die Fragen der Industrie 4.0 erfolgreich zu beantworten, werden weitere nachziehen. Denken wir etwas in die Zukunft: Es ist nicht abwegig anzunehmen, dass Autobauer erst dann wirklich in autonom fahrende PKW investieren werden, wenn autonom fahrende LKW oder Züge gezeigt haben, dass die Innovationen sicher und praxistauglich sind. Das zu schaffen, geht allerdings weit über technische Fragen hinaus. Klar: Die neuen Möglichkeiten der Industrie 4.0 sind beeindruckend. Es wäre dennoch ein fataler Fehler, sich beim Aufbau wirkungsvoller Lösungen blindlings auf Technologie zu verlassen. Der menschliche Faktor ist entscheidend. Vor allem wenn es um Fehlverhalten und Kriminalität geht. Mitarbeiter dafür sensibilisieren Jede Firewall ist nur so gut wie der Mensch, der sie pflegt. Umsichtiges Handeln und „Awareness“ zählen nicht nur beim Vorstand, sondern auch beim Gabelstaplerfahrer und Lagerarbeiter. Wenn alle mitdenken, wenn Risiken bewusst und offenbar sind, können sich Mechanismen entwickeln, die genauso anpassungsfähig sind wie die Tricks der Kriminellen. Dann wird eine offene Tür schneller geschlossen als Unbekannte hindurchschlüpfen können. Klare Regelungen helfen: Wer darf im internen Netzwerk auf welche Daten zugreifen, und wer hat Zutritt zu sensiblen Bereichen im Haus? Praxisnahe Schulungen der Mitarbeiter oder Integritätsscreenings von Bewerbern - für das Fahren von Geldtransportern - sind schon gängige Praxis. Zentral ist auch, wie die Unternehmensleitung mit dem Thema Sicherheit umgeht, wie Transparenz, Integrität und Effizienz in der Unternehmenskultur verstanden, verknüpft und gelebt werden. Mitarbeiter, die sich trauen, mal nachzufragen, und die angstfrei auf Fehler hinweisen dürfen, sind der beste Schutz - selbst gegen die neuesten Formen von IT-Kriminalität oder Non-Compliance. Schutz von Wert und Werten Die Beispiele in den Medien beleuchten, welche ungewöhnlichen Wege Kriminelle wagen. Deshalb lieber ganzheitlich denken. Cybersicherheit betrifft mehr als nur die IT, ist weit mehr als ein Technikthema. Fingerspitzengefühl zählt. Denn schließlich ist die Frage nach „guter“ Governance keine Frage nach analogen oder digitalen Lösungen. Noch nicht einmal eine Frage von Technologie, sondern eine Frage nach menschlichem Verhalten. Auch daran müssen Sicherheits- und Compliance-Verantwortliche im Industrie 4.0-Zeitalter denken. ■ 1 Vgl. EY-Studie „Datenklau: neue Herausforderungen für deutsche Unternehmen“ Tim Ahrens Senior Manager Assurance Fraud Investigation & Dispute Services, Ernst & Young GmbH tim.ahrens@de.ey.com