IT-Sicherheit

Digitale Echtzeitproduktion lockt Datendiebe

Von Hartmut Schuhmacher · 2014

Schon heute entstehen der deutschen Wirtschaft durch Hackerangriffe Schäden von mindestens 50 Milliarden Euro pro Jahr. Die vierte industrielle Revolution vergrößert die Angriffsfläche für Cyberkriminelle weiter. Soll die Industrie 4.0 gelingen, braucht sie eigene Sicherheitskonzepte. Denn die Systeme lassen sich nicht einfach mit den Programmen sichern, die sich auf Büro-pcs bewährt haben.

Zwei der wichtigsten Merkmale von Industrie-4.0-Fabriken sind der verstärkte Einsatz von Computertechnologie sowie der umfangreichere Datenaustausch zwischen den einzelnen Fabrikationsmaschinen, aber auch zwischen Auftraggebern und Herstellern. Meist findet dieser Austausch per Funk oder über das Internet statt. Das ist praktisch, aber nicht ohne Risiko: „Mit der Anbindung bisher autonom agierender Systeme ans Internet entstehen neue Angriffspunkte. Sicherheit und Datenschutz müssen daher einen noch größeren Stellenwert in der Industrie bekommen“, erläuterte schon 2012 der damalige bitkom-Vizepräsident Volker Smid.

Zeitfenster zur Verschlüsselung schrumpft

Das Ziel solcher Angriffe kann nicht nur der Diebstahl von Daten sein, sondern auch die Sabotage der Produktion. Einfallstore für Angriffe sind beispielsweise Fernwartungszugänge, die nicht ausreichend durch Authentifizierung geschützt sind. Laut dem Cyber Security Report 2013 der Deutschen Telekom und des Instituts für Demoskopie Allensbach sind 87 Prozent der mittleren und großen Unternehmen in Deutschland schon einmal Ziel eines Hacker-Angriffs geworden. Die Vereinigung der Bayerischen Wirtschaft schätzt den Schaden für die deutsche Wirtschaft auf bis zu 50 Milliarden Euro jährlich. Und die Dunkelziffer liegt wahrscheinlich weitaus höher. Denn aus Angst vor Imageverlusten zögern Unternehmen häufig, entstandene Schäden zu melden. Die Angriffe abzuwehren, ist eine echte Herausforderung. Denn es ist nicht ohne Weiteres möglich, einfach Strategien und Techniken zu verwenden, die sich in Büro-Computersystemen bewährt haben. Unter anderem, weil Industriesysteme Echtzeitanforderungen erfüllen müssen, die nur ein sehr knappes Zeitfenster lassen für die Verschlüsselung und die Authentifizierung von Anwendern und Geräten. Der Arbeitskreis „Industrie 4.0“ hat jedoch einige Handlungsempfehlungen zusammengestellt, die es Unternehmen ermöglichen sollen, beim Umstieg auf modernere Fabrikationsmethoden die Sicherheit nicht zu vernachlässigen.

Der Methodenmix macht's

Erforderlich ist unter anderem das Entwickeln von Sicherheitskonzepten, die die Methoden aus der Prozessautomatisierung, dem Maschinenbau und der Elektrotechnik ergänzen durch Verfahren zur Angriffssicherheit aus der it-, Automobil- und Luftfahrtindustrie – und diese Verfahren wiederum müssen an die Anforderungen der Industrie 4.0 angepasst werden. Digitale Identitätsnachweise für Produkte, Prozesse und Maschinen sollten außerdem einen sicheren Informationsaustausch während des gesamten Produktionsablaufs gewährleisten. Wichtig sei noch dazu eine Strategie, die es erlaubt, traditionelle Industrieanlagen Schritt für Schritt sicherer zu machen und sie gleichzeitig für den Ausbau zur Industrie 4.0 vorzubereiten. Und nicht zuletzt müssen Sicherheitslösungen benutzerfreundlich sein. Andernfalls finden die Mitarbeiter Wege, sie zu umgehen.

Cybersicherheit ist Kostentreiber

Das Entwickeln und das Umsetzen von Sicherheitsmaßnahmen verursacht jedoch beträchtliche Kosten. Daher ist es nötig, bei den Entscheidungsträgern in den Unternehmen ein Bewusstsein dafür zu schaffen, wie wichtig nachhaltige Sicherheitsvorkehrungen sind. Die Chancen dafür stehen gut: Laut einer Studie des European Information Technology Observatory aus dem Jahr 2013 ist für 70 Prozent der europäischen Unternehmen das Thema IT-Sicherheit von hoher oder sehr hoher Bedeutung. Zudem ist das reine Umsetzen von technischen Maßnahmen nicht ausreichend. Denn auch die Mitarbeiter müssen entsprechend geschult sein. Experten fordern daher entsprechende Pflichtveranstaltungen – beispielsweise im Ingenieursstudium – sowie Weiter­bildungsmaßnahmen für Arbeitnehmer, die bereits im Beruf stehen.