Windows XP, wofür es keine Sicherheitsupdates mehr gibt, oder Windows 95 und sogar DOS aus den 80er-Jahren des vergangenen Jahrhunderts, was auf Homecomputern nicht mehr eingesetzt wird, darunter läuft oft noch die Steuerungslogik tonnenschwerer und gefährlicher Maschinen. So sieht es in vielen deutschen Werkshallen aus, sagt Matthias Röhr vom IT-Sicherheitsunternehmen Secure Link.

"Das heißt, ich hab auch sehr viele Altsysteme mit auch sehr viel alten Schwachstellen natürlich."
Und Jewgeni Kasperski, Chef des gleichnamigen Anti-Viren-Konzerns, formuliert es so:
"Es ist wie ein Zoo für Computersysteme. Das macht es schwieriger, die Produktionsanlagen großer Unternehmen zu sichern."

Aber die Anlagen müssen gesichert werden - wegen der Industrie 4.0. Maschinen werden untereinander und mit der Büro-IT vernetzt und Fabriken ans Internet gehängt. Etwas Sicherheit bringt etwa Software, die verhindert, dass an einem Steuerungsprogramm etwas verändert wird, also auch dass sich Schad-Software einnistet.

Darüber hinaus lässt sich der Datenaustausch der Maschinen untereinander und mit anderen IT-Geräten überwachen, sodass auffällt, wenn irgendwoher ein ungewöhnlicher Steuerungsbefehl in die Werkshalle geschickt wird, erläutert Dr. Henning Rudolf. Er arbeitet beim Sicherheitsarbeitskreis der Plattform Industrie 4.0 mit, einem von der Bundesregierung ins Leben gerufenen Expertengremium. Solche Maßnahmen sind notwendig, sagt er, weil man eine Maschine, die vielleicht eine Million Euro gekostet hat, nicht einfach wegwerfen kann wie ein altes Smartphone.

"Das ist einfach anders als im Consumerbereich, wo Sie typischer Weise Ihr Handy dann nach drei oder vier Jahren letztlich gegen ein neues austauschen. Was durchaus machbar ist in der Produktion, dass Siie ein so genanntes Retrofit durchführen. Das heißt, Sie verwenden weiterhin die alte Hardware, die in vielen Fällen noch gut ist und tauschen die Steuerung und damit die Software letztlich aus."

Aber auch nachträgliche Sicherheitsmaßnahmen kosten viel Geld und können kleine, kapitalschwache Unternehmen finanziell überfordern. Allerdings nichts zu unternehmen, ist keine Alternative. Vor allem Zulieferer dürften von ihren Abnehmern, den OEM, den Original Equipment Manufacturers, gezwungen werden, ihre Fabriken nachzurüsten. Die OEM wollen ihre IT mit der ihrer Lieferanten vernetzen, sagt Dr. Wolfgang Fritsche von der Plattform Industrie 4.0, etwa um nachzuschauen, ob ein Lieferant genügend Komponenten für eine Auftragsspitze auf Lager hat.
"Und an der Stelle kommuniziert der OEM auch mit dem Supplier, selbst wenn er noch so klein ist. Das heißt, um sowas zu tun, machen sich die OEM durchaus die Gedanken, wie stelle ich denn fest, wie vertrauenswürdig der ist, wie der seine Sicherheit in seinem eigenen Unternehmen im Griff hat.

Es wird Standards geben, die man vorschreiben wird und die der OEM auch überprüfen wird, ob es der kleine Supplier erfüllt, bevor er ihn zum Informationsaustausch letztendlich zulässt."
Einen Standard, der das Sicherheitsniveau von Anlagen definiert, gibt es übrigens bereits, eine internationale Norm für Industrienetze. Das unterste Niveau bedeutet: keine Sicherheitsvorkehrungen. Man stößt beispielsweise beim Surfen zufällig auf eine Anlage mit Internet-Anschluss und kann sich an deren Steuerung zu schaffen machen. Ganz schlecht sowas.

Aber es kommt tatsächlich vor. Ein etwas höheres Niveau hat erreicht, wer vor Script-Kiddies sicher ist, und die höchste Stufe, wer einem Angriff von staatlich gesteuerten Hackern standhalten kann. Dieses Sicherheitsniveau allerdings dürften wohl nur sehr wenige Unternehmen erreichen.