Technologisches Engagement Top. Sicherheitskultur Flop.

Technologisches Engagement Top.

Die mittelständische Industrie macht in Sachen Internet der Dinge und Industrie 4.0 Tempo – was grundsätzlich sehr richtig ist. Doch an einer ganz bestimmten Stelle hakt es noch bei der Realisierung.

Technologisches Engagement Top. Sicherheitskultur Flop.

Die digitale Transformation der Wirtschaft stellt für die Industrie durch die Verbindung von physischer und virtueller Welt eine historische Zäsur dar: Prozesse, Produktion, Produkte und Services verändern sich radikal.

IT-Security in der Industrie 4.0.

Mit Hilfe technologischer Neuerungen und eines erweiterten Verständnisses für automatisiert ablaufende Produktionsprozesse wird die Industrie so flexibel und innovativ wie nie zuvor: Produktionsressourcen werden vernetzt, Prozesse automatisiert und produktiv arbeitende Roboter sind unermüdlich Tag und Nacht einsatzbereit. In der digitalen Fabrik wandeln sich starre Produktionsstrukturen zu modularen, effizienten Systemen. Das bedeutet, ehemals „stumme“ Maschinen und die von ihnen hergestellten Produkte entwickeln sich hin zu „smarten Objekten“, die untereinander kommunizieren und sämtliche Eigenschafts-, Produktions- und Logistik-Informationen in sich tragen. Die dafür notwendige Infrastruktur ist das Internet der Dinge (IoT). Es ist gewissermaßen die Allmacht im Hintergrund, ohne sie ist alles nichts, ohne sie findet keine Vernetzung statt, kann die Industrie 4.0 nicht entstehen.

„Viele Cyberangriffe sind nur deshalb erfolgreich, weil es den Opfern an Bewusstsein für Sicherheit mangelt.“ Im IoT-Bereich ist dies besonders deutlich zu beobachten. Udo Schneider, „Security Evangelist“ bei Trend Micro, japanisches Security Unternehmen

Der industrielle Mittelstand ist beim Ausbau dieser Technologien auf einem guten Weg, so eine aktuelle Studie der Deutschen Telekom. „90 % der Unternehmen im Bereich „Logistik, Transport und Versorgung“ nutzen bereits heute IoT und planen den weiteren Ausbau. Die größte Einführungswelle (40 %) sehen wir derzeit in der Industrie“, heißt es da. Das ist eine gute Nachricht. So lautet die gute Botschaft. Aber: 82 % derselben mittelständischen Unternehmen sehen im Rahmen von IoT-Projekten den größten Investitionsbedarf in dem Bereich IT-Sicherheit – das ist die andere Seite der Medaille.

Mangelnde Sicherheit.

Denn das Internet der Dinge sorgt etwa für schnellere und effizientere Produktionsprozesse, „erhöht aber gleichzeitig das Risiko für Unternehmen, Opfer von Online-Attacken zu werden. Entsprechend wird der Datenschutz für Firmen immer komplexer, zeitaufwändiger und teurer“, so eine Studie von Roland Berger Strategy Consultants. Der Grund sind die neuen Wertschöpfungsnetze, die durch das IoT entstehen. Wenn Milliarden von Dingen miteinander vernetzt werden, steigert sich automatisch auch deren Verwundbarkeit. „Hackerangriffe zu bewältigen ist sehr problematisch, da oft verschiedene Bereiche der Wertschöpfungskette eines Unternehmens gleichzeitig betroffen sind“, erklärt dazu Roland Berger-Partner Manfred Hader. „Klassische IT-Sicherheitsbereiche haben aber meistens nur die Business-IT im Blick, wie etwa Kommunikationssysteme oder Geschäftsanwendungen. Firmen müssen daher die Problematik der Cyber-Security ganzheitlich angehen“, so der Berater.

Dramatische Auswirkungen

Tun sie das nicht, können die Auswirkungen dramatisch sein, weiß Expertin Prof. Dr. Claudia Eckert von der TU München. Die Folge sei, „dass etwa schädlicher Code in die Industrieanlagen eingeschleust wird. Bereits eine minimale Fehleinstellung von 0,5 Millimetern kann eine gesamte Produktionsanlage und ihre Abläufe schmerzhaft treffen. Oder man ändert die Taktung, eine Anlage läuft plötzlich heiß und ein Roboter tut plötzlich Dinge, die er gar nicht tun sollte. Derartige Angriffe stellen ein großes Risiko dar. Deshalb kommt auch dem Thema der vertrauenswürdigen, digitalen Identität von Komponenten, Sensoren, Diensten in der Industrie 4.0 eine große Bedeutung zu“, so die Expertin.

Hochsichere Vernetzung.

Das e-F@ctory Konzept von Mitsubishi Electric ist ein smarter Weg, um cybersichere, offene Edge-Computing-Lösungen für die direkte Anbindung der Produktion an die Cloud zu entwickeln.

Erstes Ergebnis also: Das IoT-Engagement im hiesigen industriellen Mittelstand ist ausgezeichnet, die dafür notwendige Sicherheit jedoch mangelhaft bis ungenügend. Was also tun? Die Fachleute des digitalen Branchenverbands Bitkom empfehlen deshalb als ersten und wichtigsten Schritt, dass IT-Sicherheit im Unternehmen zur Chefsache wird. Es sollen eigene Wirtschaftsschutz-Beauftragte bzw. Informations-Sicherheitsbeauftragte ernannt werden, die die Themen dann, zweiter Schritt, in die Breite tragen. Entsprechend müssten Unternehmen vorbeugen und ein robustes IT-Sicherheitsmanagement aufbauen, stets auf dem aktuellen Stand halten und dies engagiert betreiben. Dazu gehört sowohl die organisatorische als auch die technische und personelle Sicherheit im Betrieb.

„Besorgniserregend niedrige Reife“

In dieselbe Kerbe haut Udo Schneider, „Security Evangelist“ bei Trend Micro. Das japanische Security-Unternehmen veröffentlichte jüngst neue Studienergebnisse zur Sicherheit im Internet der Dinge. Dafür wurden 1150 IT- und Sicherheitsverantwortliche in mehreren Ländern befragt mit dem Ergebnis, dass eine „besorgniserregend niedrige Reife“ vieler Unternehmen hinsichtlich der Cybersicherheit von IoT-Projekten existiert. „Viele Cyberangriffe sind nur deshalb erfolgreich, weil es den Opfern an Bewusstsein für Sicherheit mangelt. Im IoT-Bereich ist dies besonders deutlich zu beobachten“, sagt Schneider. Es ist also mehr eine unternehmenskulturelle denn eine technische Herausforderung. Deshalb muss demnach IoT-Sicherheit vom Chef bis in die unterste Unternehmensebene vorgelebt werden. So denken laut der Trend Micro-Studie beispielsweise 86 % der befragten IT- und Sicherheitsentscheider, dass IoT-Bedrohungen in ihrem Unternehmen nicht genug wahrgenommen werden. Deutsche Studienteilnehmer sind dabei besonders kritisch: Von ihnen geben sogar 91 % an, dass das Bewusstsein für Sicherheit verbesserungswürdig ist, während 47 % beklagen, dass Security bei IoT-Projekten oftmals vernachlässigt wird. Dieser Mangel an Wissen zum Thema Sicherheit, kombiniert mit zunehmenden Bedrohungen und Herausforderungen bei der Absicherung von vernetzten Geräten, „stellt ein großes Risiko für Unternehmen dar“, so das Unternehmen mit Hauptsitz in Tokio. Im Fokus der Cyber-Attacke stehen laut der Untersuchung vor allem vernetzte Büro-Geräte (in 59 % der Fälle), gefolgt von Produktionsanlagen und Systemen in der Lieferkette.

Technologie längst verfügbar

Denn eines ist klar: Ausgereifte technologische Lösungsansätze für die IoT-Sicherheit gibt es mittlerweile genügend. Das e-F@ctory Konzept von Mitsubishi Electric ist ein smarter Weg, um cybersichere, offene Edge-Computing-Lösungen für die direkte Anbindung der Produktion an die Cloud zu entwickeln. Denn nur in der Cloud wird es zukünftig möglich sein, gigantischen Datenmengen, die künftig auch in mittelständischen Fertigungsbetrieben anfallen werden, komfortabel zu verarbeiten. So fokussiert sich dieses Konzept zunächst einmal darauf, große Mengen an Produktionsdaten sowohl von den hauseigenen Komponenten als auch den Geräten anderer Anbieter sauber zu erfassen. Die frei skalierbare Edge Computing Lösung – mit dem C-Controller von Mitsubishi Electric als kleinste Einheit – bereitet die Daten dann innerhalb einer Automatisierungsplattform so schnell auf, dass Verzögerungen der Cloud vermieden und die Echtzeit-Anforderungen der Produktion erfüllt werden. Die C-Controller Lösung gibt die Daten wahlweise direkt an ERP/MES-Systeme, andere Cloud-Lösungen oder auch an die eigenen Applikationen weiter. Der Austausch der Datenstruktur ist indes mit Security-Mechanismen hinterlegt und erfüllt die Anforderungen des IT-Schutzes durch Authentifizierung, Identifikation und aktuelle Verschlüsselungen. Im Ergebnis entsteht so die gewünschte Vernetzung der Wertschöpfung, die aber hochsicher ist.

Fazit

Im IoT engagierte Mittelständler sind richtig und wichtig. Besser wäre es aber, dieses Engagement auch in Sachen IoT-Security an den Tag zu legen. Technisch ist das möglich, einzig muss noch ein adäquates Bewusstsein dafür in den Köpfen der beteiligten Personen verankert werden. Technisch ist das möglich, einzig muss noch ein adäquates Bewusstsein dafür in den Köpfen der beteiligten Personen verankert werden.

49 %der deutschen Unternehmen wurde in den vergangenen Jahren in Folge einer Cyberattacke in irgendeiner Form geschädigt – wobei große Firmen mit 500 und mehr Mitarbeitern mit 58 % etwas häufiger betroffen waren als kleine und mittelgroße Unternehmen (KMU) mit 40 %.

(Quelle: Arlington Research im Auftrag von Kaspersky Lab, März 2019)

74 % der deutschen Chemie- und Pharmaunternehmen wurden in den vergangenen zwei Jahren Opfer von Sabotage, Datendiebstahl oder Wirtschaftsspionage, weitere 22 % waren vermutlich betroffen. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. Mit 68 % leiden Unternehmen aus dem Automobilbau am zweithäufigsten unter Attacken – von Hackerangriffen bis Aktendiebstahl. Aber auch der Maschinen- und Anlagenbau (67 %) sowie die Hersteller von Kommunikations- und Elektrotechnik (63 %) sahen sich in den Jahren 2016 und 2017 einer Vielzahl an Attacken ausgesetzt.

(Quelle: Bitkom, November 2018)

65 % der Produktionsumgebungen laufen mit veralteten Betriebssystemen. „Bisher abgeschottete Produktionsnetzwerke werden mit dem IT-Netzwerk verbunden, um die Effizienz zu steigern. Allerdings werden dadurch unsicherere proprietäre Protokolle und potenziell jahrzehntealte OT-Geräte, die aufgrund ihrer großen Wichtigkeit für den Betriebsablauf oft nicht häufig genug gepatcht werden, von außen angreifbar“

(Quelle: TrendMicro, „Securing Smart Factories: Threats to -Manufacturing Environments in the Era of Industry 4.0“, April 2019)

31 %der deutschen Unternehmen hat nur eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutz befasst. Sechs von zehn Unternehmen (59 %) haben dafür weniger als eine Vollzeitstelle zur Verfügung.

(Quelle: Bitkom, Januar 2019)