Der große Umbruch

Dezember 2019 | Wirtschaftswoche | Der starke Mittelstand

Der große Umbruch

2020: Das nächste Jahrzehnt steht vor der Tür. Die Digitalisierung der Produktion und die Vernetzung von Prozessen wird in KMU inzwischen großflächig umgesetzt.

Illustration: Josephine Warfelmann
Mirko Heinemann / Redaktion

Damit einhergehend wächst aber die Herausforderung, Daten und Systeme vor Kriminellen und Nachrichtendiensten zu schützen. Das Problem: Die Bedrohungslage wird weithin unterschätzt. Die zweite große Herausforderung wird der Klimawandel sein. Mit dem neuen Klimaschutzgesetz wird in Deutschland – bald in ganz Europa – ein Preis für den Ausstoß von CO2 fällig. Viele Unternehmen werden umdenken müssen.
 

Diese Revolution kommt von der Öffentlichkeit beinahe unbemerkt daher. Man sieht sie nicht, weil sie sich hinter den Wänden von Werkshallen abspielt. Immer mehr Produktionsbetriebe rüsten ihre Fertigungseinheiten mit Sensorik aus. Sie vernetzen ihre Maschinen untereinander und mit dem Warenwirtschaftssystem und verbessern damit die Transparenz aller Prozesse. Die Daten laufen auf so genannten IIoT-Plattformen zusammen, gemeint ist das „Industrial Internet of Things”. Es macht die Vernetzung heterogener Werkzeuge, Fertigungsmaschinen und Messgeräte erst möglich.

Die Vorteile sind enorm: Betriebsleiter können Laufzeiten und Verfügbarkeiten aller Maschinen mit einem Blick erfassen und Optimierungsmöglichkeiten erörtern. Oder sogar mittels Algorithmen berechnen lassen. Warenwirtschaftssysteme können Auftragsdaten mit Kapazitätsdaten der Maschinen verknüpfen und ausrechnen, wie sich die Maschinen effizient einsetzen lassen oder wann ein Auftrag erledigt sein wird. Die Intralogistik wird ebenfalls integriert. Die Beschaffung teilt dem Fahrer eines Gabelstaplers mit, an welcher Stelle im Lager er welches Werkstück einlagern soll. Predictive Maintenance wird möglich, also Vorhersagen zur Ausfallwahrscheinlichkeit von Maschinen – und damit deren effizienter Einsatz.

Vernetzung sorgt für Effizienz – und die ist notwendig, damit eine Herausforderung des kommenden Jahrzehnts bewältigt werden kann: Ab 2020 wird in Deutschland ein Preis für den Ausstoß von CO2 fällig. Zehn Euro pro Tonne wird er anfangs betragen. Das ist nicht viel, und man wird ihn zunächst kaum bemerken. Aber mittelfristig soll aus diesem Preis ein CO2-Emissionshandel werden. Ähnlich wie bereits heute beim Emissionshandel der Energieversorger auf EU-Ebene werden Unternehmen für ihren CO2-Ausstoß Zertifikate erwerben müssen. Je nachhaltiger und je ressourceneffizienter und damit klimafreundlicher sie wirtschaften, desto mehr profitieren sie von dem System. Wer hingegen viel Energie aus fossilen Quellen verbraucht, wird kräftig zahlen müssen. Nachhaltig wirtschaften wird zum Gebot.

Vernetzung und Klimaschutz – ein großer Umbruch steht bevor. Der geht mit Gefahren einher: In einer zunehmend vernetzten Wirtschaft nimmt das Risiko zu, dass sich Fremde der IT-Infrastruktur bemächtigen, dort Viren oder Trojaner einschleusen und die Kontrolle über bestimmte Systeme übernehmen. Das gilt nicht nur für Unternehmen, sondern ebenso für die sie umgebende Infrastruktur. Auf einem parlamenarischen Abend in Berlin Anfang November wies der Vize-Chef des Bundeskriminalamts (BKA), Peter Henzler, auf die Gefahr eines „Cyberwars” hin. Denkbar wäre ein von außen herbeigeführter Black Out der gesamten Infrastruktur: Energienetze, Telekommunkation, Wasserversorgung. Das wäre ein ernsthaftes Bedrohungsszenario für die deutsche Wirtschaft.

Cyberwar? Das klingt nach Science-Fiction, ist aber eine weithin unterschätzte Gefahr. Das bestätigte noch kürzlich der TÜV in einer Umfrage. Demzufolge wurde in den vergangenen zwölf Monaten mehr als jedes zehnte Unternehmen in Deutschland Opfer eines sogenannten Cyberangriffs. Bei rund zwei Prozent der Befragten war das in dem Zeitraum sogar mehrfach der Fall, bei rund einem Drittel der Angriffe habe es sich um sogenannte Phishingattacken gehandelt. Hierbei werden etwa Kontonummern, Passwörter oder andere sensible Daten abgeschöpft. Jeder fünfte Angriff sei in Form einer sogenannten Ransomware erfolgt, die IT-Systeme lahmlegt, mit dem Ziel, das Unternehmen zu erpressen.

Das BKA fungiert als Zentralstelle für die Bekämpfung von Internetkriminalität, also Cybercrime. Es verzeichnet eine wachsende Zahl von Angriffen auf Behörden und Unternehmen. Deutschland sei aufgrund seiner geopolitischen Lage, der wichtigen Rolle in EU und NATO sowie als Standort zahlreicher Unternehmen der Spitzentechnologie für fremde Nachrichtendienste besonders attraktiv, sagte BKA-Vize Henzler. „Unsere offene Gesellschaft erleichtert fremden Mächten die Informationsbeschaffung.”

Danach steige vor allem die Bedrohung durch Advanced Persistent Threats (APTs) oder sogenannte „multivektorielle Angriffe”. Dabei werden synchronisierte Großangriffe von ganz verschiedenen Seiten verübt, die technisch und finanziell sehr aufwendig sind. Ziel sei oftmals die „Ausforschung in Spitzentechnologie“, so Henzler. Betroffen sei vor allem der Energiebereich. Zwischen Angriff und dessen Aufdeckung vergingen oftmals Monate. Attacken auf kritische Infrastrukturen (KRITIS), zu denen auch Energieversorger und Netzbetreiber zählen, stehen besonders im Fokus von Kriminellen und Nachrichtendiensten. KRITIS-Vorfälle sind meldepflichtig, Verstöße werden mit hohen Bußgeldern geahndet.

Es war für alle Mitarbeiter ein Schock, als der Verfassungsschutz bei den Stadtwerken Rosenheim anrief, erzählte der Geschäftsführer Götz Brühl. Die Sicherheitsbehörde meldete dem Versorger einen sicherheitsrelevanten Vorfall. Eine russische Hackergruppe hatte versucht, Zugang zum Netzwerk des Versorgers zu erlangen. Der Angriff wurde zwar abgewehrt, für Brühl war er jedoch ein Anlass, genauer zu prüfen, wie gut sein Unternehmen auf die immer größer werdende Cyber-Bedrohung vorbereitet ist.

Sukzessive erweitere sich der Personenkreis, der in der Lage ist, solche Angriffe durchzuführen, ergänzte BKA-Vize Henzler. In Hackerkreisen würden APT- Angriffe inzwischen als Projektarbeit angeboten, sozusagen „Crime as a Service“. Beteiligte, die sich zusammenschließen, würden sich nur unter Decknamen kennen. Weil APT-Angriffe teuer und ressourcenintensiv sind, werden sie oft im Auftrag ausländischer Nachrichtendienste ausgeführt.

In diesen Fällen ist der Verfassungsschutz die ermittelnde Behörde. Sie informiert die von einem Angriff betroffenen Unternehmen, bei denen der Verdacht besteht, dass sie nachrichtendienstlich gesteuert sind. Bernhard Witthaut, Präsident des Verfassungsschutzes Niedersachsen, wirbt daher für eine Zusammenarbeit mit seiner Behörde bei Fragen zur Wirtschaftsspionage und Cybersicherheit. Ein Vorteil gegenüber BKA und Staatsanwaltschaft bestünde darin, dass der Verfassungsschutz nicht an das Legalitätsprinzip gebunden sei. Er muss also bei Verdacht auf Straftaten nicht automatisch ermitteln. Das mache vertrauliche Gespräche leichter.

Ein anderer Trend ist der Angriff über die Supply Chain des eigentlichen Zielunternehmens: Hier würden Zulieferer mit dem Ziel angegangen, entweder die Lieferkette zu stören oder über sie in das Hauptnetz vorzudringen. Dazu platzieren die Angreifer sogenannte „Exploits“, die in den Netzen nach Schwachstellen suchen und Zugangspunkte installieren. Dies werde zunehmend auch über mobile Geräte von Mitarbeitern versucht.

Wer als Unternehmer denkt, dass er nicht zu den KRITIS gehöre und deshalb nicht im Fokus von Cyberattacken stünde, könnte sich irren. Wird das neue  IT-Sicherheitsgesetz 2.0 so verabschiedet, wie es der aktuelle Referentenentwurf vorsieht, wird sich der Kreis derjenigen Unternehmen und Behörden, die zum Kreis der kritischen Infrastrukturen zählen, massiv erweitern: Künftig soll die Meldepflicht über sicherheitsrelevante Vorfälle auf alle Bereiche der Wirtschaft ausgedehnt werden, bei denen ein „besonderes öffentliches Interesse” vorliegt.

Dies betrifft etwa Hersteller von Rüstungskomponenten, Medienunternehmen sowie bestimmte börsennotierte Aktiengesellschaften. Neue Meldepflichten soll es auch bei den IT-Anbietern geben: Hersteller von IT-Produkten haben „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Produkte” unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, wenn die Anwendung des IT-Produkts zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von KRITIS-Anlagen führen kann.

Sind die Unternehmen denn ausreichend sensibilisiert? „Ja, aber...”, müsste die Antwort wohl lauten. Denn trotz der wachsenden Gefahren gaben laut der TÜV-Umfrage rund ein Drittel der Unternehmen an, bei der IT-Sicherheit bewusst Risiken in Kauf zu nehmen. Am höchsten sei diese Bereitschaft im produzierenden Gewerbe, heißt es. Im Gesundheitswesen sowie in den Branchen Bau, Energie und Verkehr sei die Quote etwas geringer. Doch auch hier habe jedes vierte Unternehmen angegeben, Risiken in Kauf zu nehmen. Gerade Mittelständler geraten immer stärker in den Fokus von Internetkriminellen und ausländischen Nachrichtendiensten.

Das Hauptrisiko aber bildet der Mensch, der „Innentäter“, wie Sicherheitsbehörden ihn nennen. Darunter verstehen sie Mitarbeiter, die in den Betrieb eingeschleust werden, um Schadsoftware zu implementieren. Oder den Arglosen, der sich der Gefahren nicht ausreichend bewusst ist, der nachlässig mit Verschlusssachen umgeht oder gefälschten Mails aufsitzt.

Ein Test mit Fake-Mails hatte bei den Stadtwerken Rosenheim hohe Fehlerquoten zur Folge. Für Geschäftsführer Götz Brühl lautet das Fazit: Wichtige Geräte werden vom Internet getrennt. Die Wartung von Maschinen erfolgt nur über bekannte Personen vor Ort. Und: Wenn das Netzleitsystem korrumpiert ist, wird es händisch gefahren. Brühls Rat an alle Unternehmer: „Behalten Sie immer noch eine manuelle Option!“
 

Nachhaltigkeit in Unternehmen
 

Bis zum Jahr 2030 will die EU den Ausstoß von Treibhausgasen gegenüber 1990 um 55 Prozent reduzieren – und dies mit der Ausweitung des CO2-Emissionshandels auf alle Sektoren forcieren. Der Einsatz für Nachhaltigkeit und Klimaschutz ist für Unternehmer also kein Selbstzweck, sondern dient dem Erhalt der eigenen Wettbewerbsfähigkeit.

Laut dem IHK-Energiewendebarometer haben drei von vier Unternehmen in Deutschland bereits Energieeffizienzmaßnahmen abgeschlossen oder befinden sich in Umsetzung oder Planung von Maßnahmen. Freiwilligkeit und betriebswirtschaftliche Ratio sind die Grundvoraussetzungen dafür, dass Energieeffizienz und Klimaschutz in der Praxis auch realisiert und gelebt werden.

Viele setzen auf die Sensibilisierung und Schulung von Mitarbeitern. Bundesweit wurden bereits mehr als 5.000 Auszubildende aus 1.500 Unternehmen zu Energie-Scouts qualifiziert. Diese Weiterbildung ist Teil der „Mittelstandsinitiative Energiewende und Klimaschutz”. Die Auszubildenden identifizieren dabei Effizienzpotenziale in Unternehmen. Teilnehmende Unternehmen profitieren nicht nur von Einsparungen bei den Energiekosten, sondern steigern auch ihre Attraktivität als Arbeitgeber. Nebenbei wird die Eigenverantwortung der Azubis gestärkt.

Young Energy Europe, ein gemeinsames Projekt der europäischen Auslandshandelskammern und des DIHK im Rahmen der Europäischen Klimaschutzinitiative des Bundesumweltministeriums (BMU), ermöglicht jungen Berufstätigen auch in Bulgarien, Griechenland, Tschechien und Ungarn eine Qualifizierung im Themenfeld Energie- und Ressourceneffizienz. Die künftigen Energie-Scouts lernen auch hier, Einsparpotenziale für Energie und Ressourcen in Unternehmen zu erkennen und zu heben.