IT-Sicherheit und Datenschutz

Schutz vor Sabotage und Spionage

Von Hartmut Schumacher · 2018

Auf einer Laptop-Tastatur liegt ein Vorhängeschloss. Symbolbild IT-Sicherheit und Datenschutz
„Security by Design“ ist eines der wichtigsten Stichwörter bei der Sicherheit von Industrie 4.0.

Soll der Umstieg auf Industrie 4.0 nicht im Desaster enden, dann gilt es zahlreiche Vorsichtsmaßnahmen zu ergreifen. Die deutschen Unternehmen sind dabei noch nicht ganz so weit, wie Sicherheitsexperten es sich wünschen.

Ein herausragendes Merkmal von Industrie-4.0-Fabriken ist die digitale Vernetzung zwischen den Produktionsmaschinen sowie zwischen Auftraggebern und Herstellern. Dadurch entstehen jedoch neue Angriffspunkte. Und zwar nicht nur theoretisch: Mehr als die Hälfte der Unternehmen in Deutschland sind in den Jahren 2015 und 2016 Opfer von digitaler Wirtschaftsspionage, Sabotage oder von Datendiebstahl geworden. Die Schäden, die damit einher gehen, sind schwer zu beziffern, aber mit großer Wahrscheinlichkeit beträgt das Ausmaß einen hohen zweistelligen Milliarden-Betrag. 

Eine nachhaltige Digitalisierung ist daher nur mit sehr umfassenden Maßnahmen zur IT-Sicherheit möglich. Denn die Wucht, mit der gezielte Attacken auf IT-Systeme Unternehmen treffen können, steigt mit der Umsetzung von Industrie 4.0 noch einmal deutlich an. Ganze Wirtschaftszweige können so manipuliert oder gar gänzlich lahmgelegt werden.

Am Anfang steht die Risikoanalyse

Vor allen anderen Schritten sollte eine Bedrohungs- und Risikoanalyse stattfinden. „Niemand wird sich eine 100-prozentige Sicherheit leisten können. Deshalb ist es elementar, dass man sich als Unternehmen zunächst einmal damit befasst, was denn eigentlich in der Produktion überhaupt schützenswert ist“, erklärt Ernst Esslinger, Konsortialführer von IUNO, dem Nationalen Referenzprojekt zur IT-Sicherheit in
Industrie 4.0.

Eines der wichtigsten Stichwörter bei der Sicherheit in der Industrie 4.0 lautet: „Security by Design“. Damit gemeint ist das Prinzip, dass Sicherheitsanforderungen bereits ab Beginn der Entwicklung eines Geräts oder eines Software-Produkts berücksichtigt werden. Sicherheitsvorkehrungen erst nachträglich hinzuzufügen ist schwieriger und kostspieliger – und unter Umständen auch weniger wirksam.

Trotz der Nützlichkeit der Vernetzung: Die einzelnen Zonen der Fabrikationsstätte sollten digital so weit wie möglich voneinander getrennt werden. Das bedeutet zum einen eine Trennung zwischen Office- und Produktionssystemen. Aber auch eine Trennung von einzelnen Produktionszonen. Um dennoch Daten zwischen diesen Zonen übermitteln zu können, sind besonders abgesicherte Übergänge nötig.

Ebenso wichtig: Ein Identitäts-Management, das es Mitarbeitern und Maschinen erlaubt, sich verlässlich gegenüber Systemen zu identifizieren – um unterschiedliche Zugriffsrechte zu gewähren und auch um zu dokumentieren, wer wann was getan hat.

Hinzu kommen Maßnahmen, wie das zeitnahe Installieren von Sicherheits-Updates, das Schützen der internen Netze vor Zugriffen von außen mittels einer Firewall sowie das Verschlüsseln von Daten und Verbindungen.

Zusätzlich zu den technischen Maßnahmen sind auch Schulungen der Mitarbeiter und Sensibilisierungsmaßnahmen nötig, die dafür sorgen, dass das Risiko von Sicherheitsgefährdungen durch menschliches Fehlverhalten oder durch Social Engineering verringert wird.

IT-Sicherheit und Datenschutz: Luft nach oben

Entscheidungsträgern der deutschen Firmen, die der Industrie 4.0 zuzurechnen sind, ist die Wichtigkeit von Sicherheitsmaßnahmen durchaus bekannt. Und sie unternehmen auch einiges auf diesem Gebiet. Allerdings noch nicht genug: „Die notwendige Bedrohungs- und Risikoanalyse existiert bisher in nahezu keinem Unternehmen“, erläutert Ernst Esslinger. „Es wird aber den Unternehmen immer mehr bewusst, dass sie hier aktiv werden müssen.“

Datenschutz

In den Prozessen der Industrie 4.0 werden oft auch personenbezogene Daten verarbeitet – sowohl über Mitarbeiter als auch über Kunden. Dabei gilt es strenge gesetzliche Regelungen zu beachten. Sonst kann es teuer werden: Die im Mai 2018 in Kraft tretende Europäische Datenschutzgrundverordnung sieht wesentlich höhere Geldbußen bei Verstößen vor als das bisher geltende Bundesdatenschutzgesetz.

Das wichtigste Mittel, um derartige finanzielle Rückschläge zu vermeiden, besteht darin, einen betrieblichen Datenschutzbeauftragten zu ernennen, der sich darum kümmert, dass die Datenschutzvorschriften eingehalten werden – auch beim Übermitteln von Daten an externe Dienstleister (beispielsweise Cloud-Anbieter) oder wenn die Daten außerhalb der Europäischen Union verarbeitet werden.

Array
(
    [micrositeID] => 10
    [micro_portalID] => 25
    [micro_name] => Industrie 4.0
    [micro_image] => 8
    [micro_user] => 1
    [micro_created] => 1453389048
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1493212115
    [micro_cID] => 188
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)