Gastkommentar: Wie wir unsere Daten wirksam schützen
Uhlich ist Chief Information Officer und Head of Global IT des Spezialchemie-Unternehmens Evonik. Lux ist Head of Blockchain bei der Evonik Digital GmbH. Beide haben das 2021 erschienene Buch „Blockchain-Wirtschaft im Umbruch“ geschrieben.
Foto: Catja Vedder / Evonik [M]Es ist nicht zu übersehen: Die Cyberattacken in Deutschland nehmen zu. Das Bundesamt für Sicherheit in der Informationstechnik geht für die Zeit von Anfang Juni 2020 bis Ende Mai 2021 von insgesamt 144 Millionen verschiedenen Angriffen mit Schadprogrammen aus – das sind 394.000 pro Tag. Insgesamt ein Plus von 22 Prozent gegenüber dem Vorjahreszeitraum.
Keine Frage: Die Bedrohung wächst, was kaum verwundert, da Deutschland Europameister bei Patentanmeldungen ist.
Das neue Wissen erscheint vielen interessant. Cyberkriminelle können es praktisch an jedem Platz der Welt abgreifen, wenn kein ausreichender Schutz vorhanden ist. Gelingt es ihnen, teure und zeitintensive Forschungsergebnisse in ihren Besitz und dann rasch auf den Markt zu bringen, sind sie es, die die Gewinne abschöpfen. Das zu verhindern ist aus deutscher und europäischer Sicht auch von geostrategischem Interesse, zumal im Netz inzwischen „kriegsähnliche“ Zustände herrschen und selbst staatliche Akteure wie China, Russland, Nordkorea und Iran in Erscheinung treten.
Aber auch private Cyberkriminelle nutzen Schwachstellen in der IT von Unternehmen, um Geld zu erpressen. Am häufigsten setzen sie dabei den Trojaner Ransomware ein.
Cyberattacken, die erfolgreich in die IT-Infrastruktur von Unternehmen eindrangen, haben bereits enorme wirtschaftliche Schäden angerichtet, ganze Lieferketten lahmgelegt und Versorgungsengpässe ausgelöst. Deshalb wurde inzwischen das deutsche IT-Sicherheitsgesetz nachgebessert, um insbesondere die kritische Infrastruktur besser zu schützen.
Heute ist es keine alleinige unternehmerische Entscheidung mehr, sich vor Cyberangriffen zu schützen. Es ist gesetzliche Pflicht. Geht es um Attacken auf das Wissen der europäischen Industrie, steht derzeit die Chemieindustrie im Zentrum, vor allem der Gesundheitssektor. Die Europäische Arzneimittelagentur (Ema) meldete 2020, Cyberangreifer hätten versucht, Zugriff auf Unterlagen zu bekommen, bei denen es um die Impfstoffe gegen Covid-19 geht. Davon sollen die Unternehmen Pfizer, Biontech und Moderna betroffen gewesen sein. Auch Impfstoff-Lieferketten gerieten ins Visier von Cyberkriminellen.
Keine Industriesparte ist gegen Cyberdiebstahl gefeit
Interessant ist die Chemieindustrie aber auch wegen ihrer Patente im Bereich Ernährung. So liefert Evonik mit Methionin ein Produkt für die nachhaltige Tierzucht, das für die Versorgung der Bevölkerung mit Eiweißen besonders wichtig ist. Das Wissen, das für die Herstellung des Produkts gebraucht wird, ist vor allem für China interessant. Bekanntlich hat die Volksrepublik 1,4 Milliarden Menschen zu ernähren und sehr wenig Ackerfläche, um Landwirtschaft zu betreiben.
Doch gegen Cyberdiebstahl gefeit ist keine Industriesparte, kein Unternehmen und auch keine Behörde, wie das Bundeskriminalamt berichtet. Zusätzlich gefährdet sind europäische Industriedaten durch digitale Clouds, auf denen sich wirtschaftliche Eco-Systeme bilden. Eco-Systeme integrieren Lieferketten über Unternehmen und Ländergrenzen hinweg. Das bringt zwar große Vorteile für Geschäftsprozesse und Ressourceneinsatz. Dem stehen aber auch Risiken gegenüber – etwa die Manipulation von Daten mit gravierenden Folgen für die gesamte Lieferkette.
Cloud-Plattformen können aber auch von ausländischen Geheimdiensten abgegriffen werden, wenn verschiedene, weltweit verteilte Rechenzentren, die Daten untereinander abgleichen, damit alle Mitarbeiter/innen auf den gleichen Datensatz zurückgreifen können. Die gute Nachricht: Es gibt eine Lösung, um zumindest die Lieferketten erheblich sicherer zu machen. Und die heißt Blockchain.
Bisher ist es noch niemandem gelungen, die Blockchain zu knacken, selbst Quantencomputern nicht. Sind die Daten erst einmal auf die Blockchain eingestellt, kann sie niemand mehr manipulieren. Wird es dennoch versucht, fällt das sofort sämtlichen Teilnehmern der Lieferkette auf, weil alle in Echtzeit auf denselben Original-Datenstamm zurückgreifen. Das ist ein Novum. Bevor die Daten auf die Blockchain kommen, werden sie von allen, die an der Blockchain teilnehmen dürfen, durch mathematische Konsensverfahren geprüft.
Die Daten stammen direkt von ihrer Quelle
Manipulationsversuche sind eindeutig identifizierbar, da die algorithmische Berechnung dann nicht mehr stimmt. Jede Veränderung kann minutiös zurückverfolgt werden. Die Verschlüsselung in sogenannten Hashs macht die europäischen Industriedaten noch sicherer. Die Blockchain ist nach Einschätzung von Experten heute tatsächlich eine undurchdringbare Kette – und wird es auch noch lange sein. Zugleich schützt sie auch vor Erpressung.
Daten zu stehlen macht keinen Sinn mehr. Weil alle Daten dezentral auf vielen Rechnern gespeichert sind, gehen sie niemals verloren, anders als bei der Cloud, die ein Zentrum hat. Wird das Cloud-Zentrum gehackt, sind die Daten weg. Darüber hinaus ermöglicht die Blockchain auch mehr Prozesssicherheit, weil die Daten direkt von ihrer Quelle stammen, also beispielsweise vom Produkt. Das schafft eine Datenqualität entlang der gesamten Lieferkette, die es so noch nie gab.
Außerdem bietet die Blockchain einen Prozessablauf ohne jeglichen Datenbruch. Die Skalierungsmöglichkeiten sind nahezu unbegrenzt, weil die Blockchain eine Art Datenregister mit riesigem Fassungsvermögen ist. Dieses Potenzial der Blockchain ist noch viel zu wenig bekannt. Das muss sich ändern, wollen wir unsere Unternehmensdaten wirkungsvoll schützen. Es gab allerdings noch eine Schwachstelle: Die Daten waren erst sicher, wenn sie sich auf der Blockchain befanden.
Neuer Sensor schließt Sicherheitslücke
Doch diese Sicherheitslücke ist inzwischen durch einen neuen Sensor geschlossen, der die Daten des Produkts scannt und sie auf die Blockchain einstellt. Der Sensor funktioniert dabei selbst wie eine Blockchain. Der große Unterschied ist, dass die mathematischen Fragen, die den Zugang zum Sensor sichern, auf keinem statischen Verfahren beruhen wie etwa beim PIN-Verfahren unserer Bankkarten, die mit einigem Aufwand durchaus geknackt werden können. Die mathematischen Fragen werden stattdessen nach einem algorithmischen Zufallsprinzip generiert.
Auch in Brüssel ist die Gefährdung von Unternehmensdaten ein bekanntes Problem. EU-Kommissionspräsidentin Ursula von der Leyen erklärte 2020, die 27 Mitgliedstaaten seien bei den personenbezogenen Daten zu langsam gewesen, das dürfe sich bei den Industriedaten nicht wiederholen. Deswegen setzt die EU-Kommission sowohl bei den Industriedaten als auch bei den personenbezogenen Daten der Bürger auf die Blockchain-Technologie und arbeitet am Aufbau einer europäischen Blockchain-Infrastruktur.
Das ist ein gutes Signal, weil dann die europäischen Industriedaten und auch die mittelständischen Unternehmen, die oft nicht genügend Mittel haben, um sich gegen Cyberangriffe zu schützen, ihre Daten in Blockchain-basierten Lieferketten sichern können. Gut ist die Nachricht auch noch aus einem anderen Grund: Deutschland ist bei den technologischen Anwendungen auf der Blockchain weltweit führend.