VDMA-Studie zur IT-Sicherheit im Maschinen- und Anlagenbau Sicherheitsrisiken in Produktion und Automation

Autor / Redakteur: Claudia Otto / Peter Schmitz

Seit der Computerwurm Stuxnet sein Unwesen getrieben hat, ist die Industrie auf der Hut, was Sicherheitslücken betrifft. Doch wie steht es heute wirklich um die Security in Produktion und Automation? Eine aktuelle Studie gibt Aufschluss und liefert Handlungsempfehlungen für einen besseren Schutz.

Firmen zum Thema

63 % der in einer aktuellen VDMA-Studie befragten Unternehmen gehen davon aus, dass die Anzahl an Security-Vorfällen weiter steigen wird.
63 % der in einer aktuellen VDMA-Studie befragten Unternehmen gehen davon aus, dass die Anzahl an Security-Vorfällen weiter steigen wird.
(Bild: Maksim Kabakou - Fotolia.com)

Um den aktuellen Status Quo der Security im Maschinen- und Anlagenbau zu ermitteln und praxisnahe Handlungsfelder aufzuzeigen, hat der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) im vergangenen Jahr 70 Mitgliedsunternehmen befragt. Die Ergebnisse sind in die Studie „Status Quo der Security in Produktion und Automation“ gemündet.

Im Rahmen der Umfrage wurde „Security in Produktion und Automation“ als ein Prozess definiert, der den Schutz vor Ausfall, Know-how-Abfluss, Spionage und Manipulation in Maschinen und Anlagen sicherstellen soll. Befragt wurden die Verantwortlichen für die Produktionseinrichtungen der Unternehmen – nicht die IT-Verantwortlichen.

Maschinen- und Anlagenbauer bleiben beim Thema NSA ruhig

Zwar war die NSA-Affäre Anlass für die Umfrage des VDMA, allerdings haben die Enthüllungen Edward Snowdens in der Branche nicht für Angst und Schrecken gesorgt. Steffen Zimmermann, Experte für Produkt- und Know-how-Schutz im VDMA erklärt: „Die Enthüllungen zeigen Auswirkungen auf politischer Ebene, in der Fabrik eher weniger. Die Maschinen- und Anlagenbauer bleiben da eher ruhig, schließlich ist die Gefahr, dass Know-how durch eigene Mitarbeiter – wissentlich oder fahrlässig – in falsche Hände gelangt, bedeutend größer.“

Auch die Studie belegt, dass die NSA-Affäre kaum Auswirkungen zeigt,so sehen 79 % der Befragten keine Änderungen in ihrer Security-Strategie. Alleine die Awareness bei Mitarbeitern und Management hat sich dadurch etwas verbessert.

Dass deutsche Unternehmen Wettbewerbsnachteile durch Industriespionage-Tätigkeiten der USA erleiden, ist nicht zu befürchten, meint Zimmermann: „Tatsächlich ist unabhängig von den NSA-Aktivitäten, die Masse der sichtbaren Folgen der Industriespionage aus Asien weitaus gravierender als das, was seitens der USA vorhanden ist. Daher sollten alle Aktivitäten zwar mit einem Auge auf die NSA schielen, aber mit beiden Händen das Problem weltweit anpacken.“ Die Hilfe der Politik in Deutschland und der EU sei allerdings verschwindend gering; die Anstrengungen, etwas zu verändern, lächerlich, wie der VDMA-Experte beklagt.

Wo die größten Gefahren lauern

Unternehmen müssen also selbst für ausreichenden Schutz sorgen. Doch wo lauern die größten Gefahren? Zimmermann meint: „Die größte Bedrohung, wenn man es so sagen darf, steht immer vor der Steuerung.“ Dies belegen auch die Befragungsergebnisse. Doch abgesehen von den Bedienern, die vor allem sensibilisiert werden müssen, gibt es laut Zimmermann auch Gefahren durch Angriffe von außen: „Dabei sind Maschinen und Anlagen nicht annähernd so gut gerüstet vor zum Beispiel Manipulation wie Office-Systeme.“

Das sei zwar nicht neu, doch die Erfahrung, dass bereits 29 % der Unternehmen von Produktionsausfällen durch Security-Vorkommnisse berichten, ist nach Aussage des Experten sehr wohl neu. Zudem seien darunter auch gezielte Angriffe auf die Fertigungsanlagen.

Insgesamt gehen 63 % der Befragten davon aus, dass die Anzahl an Security-Vorfällen weiter steigen wird. Doch nur 57 % der Unternehmen kennen einen der gängigen Security-Standards, und weniger als ein Drittel wendet die Standards auch an. Auch ein Risikomanagement ist in den Unternehmen der Studie zufolge noch nicht ausreichend etabliert. Ferner spiele die monetäre Betrachtung der Security-Vorfälle eine untergeordnete Rolle.

Das Kern-Know-how muss geheim bleiben

Für Unternehmen gibt es verschiedene Möglichkeiten, sich zu schützen. Zuallererst sollten Unternehmen ihr Kern-Know-how ermitteln, sozusagen die Kronjuwelen (in der Regel 5 % des Datenbestands), wie Zimmermann erläutert. „Dieser sollte mit geeigneten Maßnahmen, zum Beispiel Berechtigungskonzepten, technischen Sicherheitsmaßnahmen und organisatorischen Maßnahmen abgesichert werden. Ziel ist, dass das Kern-Know-how geheim bleibt“, betont er.

Um ein Schutzniveau zu realisieren werde zuerst gerne reflexartig nach technischen Schutzmaßnahmen gerufen, wie Virenschutz, Intrusion Prevention Systeme (also Systeme, die automatisierte Angriffe verhindern) und USB-Locks. „Doch ohne sich organisatorisch Gedanken zu machen, werden die Techniken schnell ins Leere laufen“, warnt Zimmermann.

Gerade bei der künftig stärker werdenden Vernetzung im Rahmen von Industrie 4.0 müssten neue Schutzkonzepte erarbeitet werden, um die digitale Vernetzung der Fertigungsanlagen überhaupt erst auf sicherer Basis zu ermöglichen.

Steffen Zimmermann, Experte für Produkt- und Know-how-Schutz im VDMA: "Ziel ist, dass das Kern-Know-how geheim bleibt."
Steffen Zimmermann, Experte für Produkt- und Know-how-Schutz im VDMA: "Ziel ist, dass das Kern-Know-how geheim bleibt."
(Bild: Tristan Rösler Photography)

Für aktuelle Systeme sei es wichtig, sich zuerst einmal mit den Grundlagen der Security zu beschäftigen. Im VDMA Arbeitskreis Security in Produktion und Automation wurde dafür ein kurzer Fragenkatalog erarbeitet, der einen ersten Einstieg in die Security ermöglichen soll.

Hersteller und Integratoren versuchen laut Zimmermann schon seit langem, die Security zu etablieren – Stuxnet war dafür der Auslöser. Jetzt sei es notwendig, dass die Betreiber der Anlagen und Maschinen die notwendigen Maßnahmen etablieren.

Auch Embedded Software vor Manipulation schützen

„Know-how-Schutz bedeutet zudem die Absicherung gegen Reverse Engineering, Extraktion von Prozessinformationen oder geheimen Rezepturen. Dies umfasst auch den Schutz der Embedded Software vor Manipulation. Da schlafen die meisten Unternehmen noch, der Innovationsschutz wird oft vernachlässigt“, sagt Zimmermann.

Die Studie zeigt, obwohl die befragten Unternehmen eine Risikoeinschätzung vornehmen, sind die getroffenen Maßnahmen eher willkürlich gewählt. Das breite Spektrum an Vorgehensweisen, insbesondere bei den technischen Schutzmaßnahmen, zeigt, dass es noch keine allgemeinen Empfehlungen oder Best Practices gibt. Im Kasten finden Sie die auf Grundlage der Umfrageergebnisse vom VDMA zusammengestellten Handlungsempfehlungen für Unternehmen.

(ID:42555396)