Hacker‘s Frust. Wie steht es eigentlich um die IT-Sicherheit in der Produktion?

OLYMPUS DIGITAL CAMERA

Wolfgang Straßer, Geschäftsführer der @-yet GmbH

Es gibt genügend Studien, die belegen, dass IT-Sicherheit in der Produktion nicht auf die leichte Schulter genommen werden darf. Stuxnet und seine Nachfolger haben bereits vor einigen Jahren in der Praxis bewiesen, wie angreifbar auch Produktionsanlagen sind und welche gravierenden Folgen daraus resultieren können.

Viele Unternehmer sind sich dieser Risiken seitdem durchaus bewusst: Bereits in 2012 offenbarten in einer Untersuchung des TÜV Süd 45 Prozent der Verantwortlichen, dass sie einen Angriff auf ihre Steueranlagen als unternehmensgefährdend ansehen würden. Doch hat dies in den Unternehmen zu tiefgreifenden Änderungen geführt – wie ist tatsächlich der aktuelle Stand zur IT-Sicherheit, auch im Kontext von Industrie 4.0? Eine der Fragen, zu der Wolfgang Straßer, Sicherheitsexperte und Geschäftsführer der @-yet GmbH anlässlich der Hannover Messe Auskunft gibt.

Herr Straßer, wird Ihres Erachtens dem Thema „Sicherheit in der Produktion“ genügend Aufmerksamkeit gewidmet? Wenn, nein – warum ist dem so?

Leider nicht. Sicherheit nimmt im Kontext der Planung von Produktionsanlagen nicht den eigentlich notwendigen Stellenwert ein, da eine strategische Beschäftigung hier immer noch scheinbar als entbehrlich angesehen wird – vielleicht auch dadurch erklärbar, weil den eingesetzten Variablen Zeit und Geld kein direkt messbarer Ertrag gegenübersteht. Erschwerend kommt hinzu, dass auf der einen Seite die Wartungszyklen zunehmend anspruchsvoller und auch zeitintensiver werden – auf der anderen Seite jedoch kaum ausreichend qualifiziertes Personal für die Pflege der Anlagen zur Verfügung steht. Zwar haben heute die meisten Unternehmen eine IT-Abteilung, jedoch keine Spezialisten, die über das notwendige technische Know-how bezüglich der IT in der Fertigung verfügen.

Aus welchem Grund verläuft denn dann der Prozess im Hinblick auf Security-by-Design so schleppend – das müsste doch ein interessanter Markt sein?

Dies ist definitiv ein interessanter Markt. Vor allem unter dem Aspekt, dass es speziell in der Produktion teilweise nicht möglich ist, notwendige Sicherheitskomponenten nachzurüsten. Zum Beispiel, weil die eingebetteten Systeme so konzipiert sind, dass schlichtweg kein Platz für weitere Sicherheitsmaßnahmen vorhanden ist. Trotzdem lässt sich die Frage nach dem schleppenden Prozess relativ einfach beantworten: Die Entwicklung kostet Geld und dadurch werden die Produkte teurer.

Dennoch ist seit geraumer Zeit deutlich erkennbar, dass diesem Themengebiet mehr Bedeutung beigemessen wird. Allerdings fehlen hier – das gilt vor allem für die kleinen und mittelständischen Anbieter von Komponenten – meist noch die entsprechenden Sicherheitsexperten. Doch dieses Problem kann kurzfristig dadurch behoben werden, dass Unternehmen bei der Entwicklung auf externe Berater zurückgreifen – hier lässt sich bereits ein gewisser Trend ausmachen, und auch wir werden mittlerweile häufiger zur Unterstützung bei der Produktentwicklung angefragt.

Wodurch wird sich denn Ihrer Meinung nach mittelfristig die Einstellung der Unternehmen ändern? Vielleicht durch die Hackerangriffe, die ja in den letzten Monaten zur Genüge stattgefunden haben?

Es fällt auf jeden Fall auf, dass eine gewisse Dynamik entstanden ist. Nicht zuletzt getrieben durch den Gesetzgeber, Stichwort IT-Sicherheitsgesetz. Aber auch aus Eigeninteresse, denn die negativen Beispiele haben meines Erachtens schon eine gewisse Wirkung. Unternehmen tun mittlerweile mehr zur Verhinderung von Produktionsstillständen sowie zur Abwendung von Manipulationen, die zu Qualitätsminderung der Produkte führen.

Zudem bekunden heute die Konsumenten ebenfalls deutlich stärker ihr Interesse an diesem Bereich, sodass Hersteller verständlicherweise ebenso wie Verbände an Normen, Richtlinien sowie konkreten Lösungen arbeiten. Gerade die Arbeit der Verbände ist hier von Bedeutung, so gibt es beim VDMA bereits seit einigen Jahren eine Arbeitsgruppe, die sich exakt mit diesem Themenbereich beschäftigt und Unternehmen eine gute Unterstützung bietet.

Den Deutschen wird oftmals eine zu starke Fixierung auf Sicherheit zur Last gelegt. Generieren internationale, zum Beispiel amerikanische Unternehmen Ihrer Meinung nach tatsächlich einen Vorteil daraus, dass Sicherheit dort nicht so im Vordergrund steht?

Steht das Thema Sicherheit in den USA tatsächlich so weit im Hintergrund? Im Hinblick auf Datenschutz und den Umgang mit personenbezogenen Daten trifft diese Aussage sicherlich zu. Aber bezüglich IT-Sicherheit und Sicherheit in der Fertigung kann ich dies so nicht bestätigen. Außerdem ich bin zutiefst davon überzeugt, dass die Vernachlässigung von Sicherheit auf Dauer zu einem deutlichen Wettbewerbsnachteil führen wird. Oder umgekehrt: Unternehmen, die das Thema frühzeitig aufgreifen und in ihre neuen Produkte integrieren, werden auf sehr kurze Sicht Wettbewerbsvorteile daraus generieren.

Stellen Sie sich ein beliebiges ‚Industrie 4.0’-Szenario vor – jedes bedingt eine Integration in das oder eine Öffnung zum Internet. Die Folge: Prozesse und Anlagen werden zunehmend angreifbarer. Wenn hier eine Sicherheitslücke zum Beispiel zu Produktionsausfällen führt, dann wird dies weitreichende Konsequenzen nach sich ziehen, etwa Gewährleistungsansprüchen von Partner innerhalb der Wertschöpfungskette. Da wird sich dann recht schnell die Frage nach der Schuld und im Weiteren nach der Kostenübernahme stellen. Welcher Unternehmer möchte sich diesem Risiko denn tatsächlich dauerhaft aussetzen?

Folglich wäre es für den Standort Deutschland kein positiver Impuls, wenn die Sicherheit einen geringeren Stellenwert hätte?

Ja. Ich vertrete definitiv die Ansicht, dass Sicherheit notwendig und ein Wettbewerbsfaktor ist.

Schauen wir noch weiter in die Zukunft. Passen die Konzepte, die heute entwickelt werden, noch, wenn in vier Jahren der 5G-Standard eingeführt wird und damit die umfassende Vernetzung auf allen Ebenen möglich?

Leider nein. Die tatsächliche Dimension von 5G lässt sich heute noch nicht richtig abschätzen – sicher ist nur, dass die Netze ganz anders aussehen werden. Folglich muss hier auch völlig neu gedacht werden, zum Beispiel nicht mehr End-to-End, weil die Intelligenz in den Netzen integriert ist. Hinzu kommt, dass nahezu jedes Feldgerät, jeder Sensor oder Aktor sich über eine eindeutige Adresse identifizieren lässt.

Insgesamt wird sich auch dadurch das Datenvolumen extrem erhöhen. All dies offenbart eine enorme Komplexität, die es zu beherrschen gilt: Wenn alles miteinander vernetzt ist und ohne IT nahezu nichts mehr funktioniert, fällt der Sicherheit eine noch weitaus bedeutendere Rolle zu. Doch sind hier die konzeptionellen Fragen bislang nicht abschließend geklärt.

Was wir jedoch sehen ist, dass zurzeit viele Geräte zunächst auf den ‚ISA100 Wireless Standard umgestellt’ werden, die Entwicklung ist abgeschlossen und durch die Standardisierung von ISA100 auch zeitgemäß abgesichert.

Ganz konkret zur Hannover Messe – wie ist hier Ihre Einschätzung, wird dort dieses Mal die Sicherheit mehr im Vordergrund stehen?

Ich gehe schon davon aus, dass der Sicherheit auch in diesem Rahmen ein höherer Stellenwert beigemessen wird. Eine sichere Vernetzung ist nun mal eine der Grundlagen für die Industrie 4.0 und dadurch werden die Unternehmen angreifbarer. Wie fatal die Folgen von Desinteresse in diesem Bereich sind zeigt auch die Studie „Net Losses: Estimating the Global Cost of Cybercrime. Economic impact of cybercrime“ des amerikanischen Center for Strategic and International Studies aus dem Sommer 2014: Demzufolge „erleidet Deutschland auf diese Weise den größten volkswirtschaftlichen Schaden weltweit“. Allein für das Jahr 2013 beziffert sie den Schaden für die gesamte deutsche Wirtschaft auf 1,6 Prozent des BIP. Wenn dies nicht Grund genug ist.

Herr Straßer, vielen Dank für das Gespräch.

www.add-yet.de

Seit 2002 beraten die über 30 Mitarbeiter der @-yet GmbH große mittelständische Unternehmen bei der Realisierung eines ganzheitlichen IT-Risikomanagements mit Schwerpunkten auf Business Continuity, Business Security und Schutz vor Spionage/Sabotage.

@-yet auf der Hannover Messe :

Aussteller auf dem Stand NRW – Halle 16, Stand A 10