Gefahr der zunehmenden Vernetzung

Immer mehr Fertigungs- und Produktionsanlagen sind in eine IT-Infrastruktur eingebunden. Der Markt ist dank der generellen Zunahme der Digitalisierung und Automatisierung im Aufwind. Laut einer Marktstudie von IoT Analytics werden die weltweiten Ausgaben für Industrial-Internet-of-Things-Plattformen (IIoT-Plattformen) für die Fertigungsindustrie deutlich zunehmen. Im vergangenen Jahr 2020 wurden insgesamt 128,9 Milliarden US-Dollar für neue IIoT-Anlagen ausgegeben, im Jahr 2021 erwarten die Unternehmensberater ein weiteres Wachstum von 24 Prozent in diesem Bereich. Mit den Investitionen potenziert sich auch das Risiko von Sicherheitslücken, denn anders als PCs oder Laptops werden IIoT-Geräte wie Router, Drucker oder Produktionsmaschinen mit deutlich weniger Risikobewusstsein im Netzwerk implementiert.

Ein weiteres Problem für die Sicherheit: In Produktionsrechnern und anderen IoT-Geräten steckt oft die Technologie von zahlreichen Fremdherstellern. Darin können Sicherheitslücken versteckt sein, die die eigene IT-Abteilung nicht erkennt. Wie schnell Cybersicherheitsrisiken entstehen, lässt sich nicht zuletzt auch gut im Bereich des Maschinenbaus beobachten. Dort sind Unternehmen bereits mit Risiken konfrontiert, wenn Kunden Fernzugriff auf Maschinen oder Systeme benötigen, etwa wenn die Unterstützung des Herstellers für Fehlerbeseitigungs- oder Wartungsaktivitäten erforderlich ist.

Stillstand bedroht Existenz

Insgesamt werden also Produktionssysteme auf der einen Seite immer effizienter, auf der anderen Seite aber auch immer angreifbarer. Dabei entstehen unter anderem durch die steigende Anzahl der neuen Schnittstellen zusätzliche Angriffsflächen für Cyberkriminelle. Über die Netzwerkverbindungen können Hacker auch von außen in die Anlage eindringen, sie manipulieren, mit Schadcode infizieren, Trojaner einschleusen oder notwendige Daten verschlüsseln. Noch sind ernste Vorfälle im vernetzten Internet der Dinge zwar selten, aber die Gefahr steigt. Oft reagieren die Verantwortlichen aber erst, wenn die Cyberattacke bereits ausgeführt ist.

Dabei können die Folgen äußerst gravierend sein. Im Fall einer großflächigen Verschlüsselung von Daten durch Erpressungssoftware können beispielsweise große Produktionsbetriebe schnell vier bis sechs Wochen stillstehen. „Mit allen Folgewirkungen kann das bis zu einem Dreivierteljahr dauern – am Ende sieht das Unternehmen dann nicht mehr so aus wie vorher“, weiß Steffen Zimmermann vom Verband Deutscher Maschinen- und Anlagenbau (VDMA). In letzter Konsequenz kann also ein Cyberangriff für ein Unternehmen existenziell bedrohlich sein. Denn bei einer Infektion des Systems über eine Firmware-Schwachstelle muss das gesamte Netzwerk abgeschaltet werden. Damit ist neben der Fertigung auch die Verwaltung handlungsunfähig. Oft können nicht einmal die Kunden informiert werden, da auch der Zugriff auf die Software für Kundenbeziehungsmanagement (CRM-System) oder für Geschäftsprozesse (ERP-System) versagt ist.

Sicherheit schon ab Planung durch Gefahr der zunehmenden Vernetzung

Die digitale und vernetzte Produktion benötigt deshalb ein ganzheitliches Sicherheitskonzept. Dafür gilt es eine Reihe spezifischer Anforderungen in den Blick zu nehmen und den Ist-Zustand der Infrastruktur zu ermitteln. So beläuft sich beispielsweise die Lebenszeit von Produktionsanlagen meist auf Jahrzehnte. Ältere Anlagen können allerdings oft genug die aktuellen Anforderungen an Cybersicherheit nicht erfüllen. Darüber hinaus ist die Vernetzung der Anlagen oft weitaus umfassender, als den Betreibern bewusst ist, etwa weil Maschinenlieferanten für die Fernwartung ebenfalls angebunden sind. Daher ist es für Produktionsumgebungen unabdingbar, überarbeitete Strategien und Prozesse anzuwenden, damit IT-Sicherheit zum Erfolg wird.

Dazu muss allerdings das Zusammenspiel aller beteiligten Akteure gut funktionieren. In der Realität lässt sich jedoch im Bereich der Cybersicherheit oftmals ein Spannungsfeld zwischen den Abteilungen Operational Technology (OT), also den Mitarbeitern, die für die Technologie und industriellen Systeme für den Herstellungsprozess verantwortlich sind, und den für die IoT-Sicherheit zuständigen Teams beobachten. Einer der Gründe liegt in den unterschiedlichen Anforderungen und speziellen Qualifikationen der verschiedenen Teams. So sind die Mitarbeiter im OT-Bereich bei Schutzmaßnahmen für IoT-Produkte wie etwa vernetzte Steuergeräte selten besonders versiert, den IoT-Mitarbeitern hingegen mangelt es meist am notwendigen Verständnis für die komplexen Produktionsanlagen.

Wichtig in diesem Prozess ist also vor allem, dass beide Abteilungen auf Augenhöhe zusammenarbeiten und die Sicherheit der Produktion als eine gemeinsame Herausforderung wahrgenommen wird. Nur wenn eine Security-Lösung beiden Seiten gerecht wird und alle Bereiche schützt, ist sie wirklich effektiv. Eine gute Möglichkeit für das Zusammenwachsen beider Seiten sind Schulungen. Sie bieten eine gute Gelegenheit, sich über die jeweiligen Anforderungen und Bedürfnisse auszutauschen.

Organisation aufbauen

Insbesondere für große Unternehmen und Konzerne macht es auch Sinn, das Thema IoT-Security in der Arbeitsorganisation strategisch zu verankern. Im Kern geht es bei diesem Ansatz darum, IoT-Projekte ganzheitlich zu denken. Unabdingbar dafür ist der organisatorisch getriebene Aufbau eines interdisziplinären Teams, das fachübergreifend als zentrale Anlaufstelle für sämtliche IoT-Projektvorhaben fungiert. Auf diese Weise wird das gemeinsame interne Wissen gebündelt. Das Aufgabenfeld dieses Teams reicht von der Aufnahme des Ist-Zustands über die technische Konzeptionierung neuer IoT-Projekte bis zur Sicherung des Unternehmenserfolgs durch schnelle Reaktionen in jedem einzelnen IoT-Projekt. Ein weiterer zentraler Faktor zur bestmöglichen Nutzung der IoT-Technologie besteht in der Verankerung von Prozessen innerhalb des interdisziplinären Teams. Hierbei geht es um Themen wie die Planung von Digitalisierung, den Aufbau von Übertragungstechnologien und Firmware-Management oder die Einführung und Einhaltung von Security-Richtlinien. Schließlich gehört zu einer ganzheitlichen IoT-Strategie, dass sie von sämtlichen Mitarbeitern eines Unternehmens wahrgenommen und verstanden wird. Ihnen muss einerseits klar sein, mit welchen Themen sich das IoT-Team auseinandersetzt, und andererseits wissen, dass dieses Team die zentrale Anlaufstelle rund um dieses Themenfeld ist.

Bewusstsein der CEOs steigt

Zunehmend kommen die Herausforderungen im Bereich der IT-Sicherheit auch in den deutschen Chefetagen an. In der jährlichen Befragung der Unternehmensberater von PwC sind mittlerweile 83 Prozent der CEOs hinsichtlich Cyberangriffen besorgt. Zum Vergleich: In der Vorjahresstudie lag der Wert bei 81 Prozent, zwei Jahre zuvor sogar nur bei 68 Prozent. Selbst Pandemien reihen sich in der Liste der Herausforderungen mit 80 Prozent hinter den Cyberbedrohungen ein. Nach Überzeugung von 41 Prozent der befragten deutschen Wirtschaftslenker stellen Cyberangriffe zugleich potenzielle Bedrohungen für die Wachstumsaussichten ihrer Unternehmen dar. Damit zeigen die Ergebnisse deutlich: Die Bedeutung von Cyberattacken wächst beständig und damit auch die der Cybersecurity. Zugleich geben 80 Prozent der CEOs in Deutschland an, dass sie ihre Investitionen in Cybersicherheit in den nächsten drei Jahren erhöhen wollen. OT- und IoT-Security sind dabei wichtige Wachstumsfelder.