https://www.faz.net/-iot-9emyi
Verlagsspezial

Marko Vogel Bild: KPMG

: Cyber Security als integraler Produktbestandteil

  • -Aktualisiert am

Um den komplexen Anforderungen von morgen zu entsprechen, muss die Sicherheit von Endgeräten, Maschinen und Anlagen über den gesamten Lebenszyklus hinweg gewährleistet sein.

          3 Min.

          Die Welt der vernetzten Dinge entwickelt sich zu einem milliardenschweren Wachstumsmarkt. Durch das Internet of Things (IoT) werden Alltagsgegenstände, Fahrzeuge, Häuser, Fabriken und sogar ganze Städte miteinander vernetzt. Dies eröffnet ungeahnte Möglichkeiten für Verbraucher sowie enorme Effizienzsteigerungen und Kostensenkungen für Unternehmen.

          In der Fabrik von morgen sind die Abläufe zunehmend digital vernetzt. Dies erfolgt zum einen, um sehr flexibel und unternehmensübergreifend agieren zu können. Zum anderen gilt es, die Digitalisierung der Wertschöpfungskette vom Lieferanten bis zum Endkunden voranzutreiben. Eine derart umfängliche automatisierte Vernetzung ermöglicht es, schneller zu handeln, effizienter zu fertigen und konventionelle Geschäftsfelder durch neue Businessmodelle zu ergänzen.

          Trotz aller Chancen beinhaltet die zunehmende Vernetzung auch Risiken: Die virtuelle Welt ist angreifbar. Sie birgt Gefahren, deren Art und Ausmaß oftmals gar nicht bekannt sind – von Datendiebstahl und Serviceunterbrechungen bis hin zum gänzlichen Kontrollverlust über die einzelnen Geräte.

          Unverzichtbare Grundvoraussetzung ist daher ein an die spezifischen Unternehmensbelange angepasstes Cyber Security-Niveau. Um das enorme Potenzial von Industrie 4.0 erfolgreich umsetzen zu können, ist der sichere und vertrauensvolle Umgang mit Daten unerlässlich. Nur die smarten Fabriken von morgen, die in der Lage sind, verlässlich und ohne größere Ausfallzeiten gleichbleibend hochwertige Produkte zu entwickeln und zu produzieren, werden den zukünftigen Markt- und Wettbewerbsanforderungen gerecht werden können.

          Aggressiver, komplexer, besser organisiert: Cyber-Angriffe

          Um den komplexen Anforderungen zu entsprechen, muss die Sicherheit von Endgeräten, Maschinen und Anlagen über den gesamten Lebenszyklus hinweg gewährleistet sein. Zugleich sollten Sicherheitsaspekte bereits bei der Produktentwicklung berücksichtigt werden. Auch müssen sich Unternehmen frühzeitig darüber Gedanken machen, wie sie nach einem Sicherheitsvorfall adäquat mit Cyber-Angriffen und deren Auswirkungen umgehen wollen. Angesichts der zunehmenden Digitalisierung dürften Cyber-Angriffe im Zeitalter der Industrie von morgen zum Tagesgeschäft gehören.

          Daher ist es künftig unumgänglich, Cyber Security als integralen Bestandteil des Produktes oder der Dienstleistung zu betrachten – von der ersten Idee an über den gesamten Produktlebenszyklus hinweg. Dies bedeutet auch ein verstärktes Zusammenspiel von Geräteherstellern, Maschinenintegratoren und Anlagenbetreibern. Denn nur wenn allen Beteiligten die jeweiligen spezifischen Anforderungen bekannt sind, können entsprechende Bedrohungen fundiert analysiert, Schutzziele ermittelt und den Risiken entsprechend begegnet werden. Ein solcher ganzheitlicher Risikomanagementansatz versetzt Unternehmen darüber hinaus in die Lage, übergreifende Schutzmaßnahmen zu ermitteln, zu bewerten und effizient umzusetzen und anzupassen.

          Doch nicht nur im Zusammenhang mit der zunehmenden Digitalisierung von Industrieanlagen und deren Wertschöpfungsketten gewinnen Sicherheitsaspekte immer größere Bedeutung. Auch im Internet of Things (IoT) – der steigenden Vernetzung von Millionen intelligenter (Alltags-)Geräte und Sensoren – werden Cyber Security-Fragen relevant. Das Internet der Dinge macht den Alltag angenehmer, die neuen Möglichkeiten erstrecken sich auf alle Lebensbereiche. Damit ergeben sich aber zugleich unzählige Angriffsflächen.

          Im privaten Umfeld etwa kommuniziert bereits heute der Fernseher oder Kühlschrank mit dem Lieferanten – zum Beispiel durch automatisierte Nachbestellungen. Und selbst eigentlich Harmloses birgt plötzlich Gefahren: Wer hätte je gedacht, dass die Bundesnetzagentur gegen spionagefähiges Kinderspielzeug vorgeht?

          Industrie 4.0 erfordert unternehmensspezifische Sicherheitsstrategien

          Umfängliche Schutzmaßnahmen sind also unumgänglich – ob im Internet of Things oder bei der  Absicherung vernetzter Industrieanlagen. Patentrezepte gibt es dabei nicht: Cyber Security in der Industrie 4.0 kann nur individuell für jedes Unternehmen umgesetzt werden, entsprechend der jeweiligen Anforderungen.

          Mit unternehmensspezifischen, bedarfsgerechten Sicherheitskonzepten, die zudem bewährte Industriestandards – wie etwa die internationale Normenreihe über "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme" IEC 62443 – berücksichtigen, lassen sich auch vernetzte Industrieumgebungen schützen, die bislang aus autarken Steuerungs- und Automatisierungsanlagen bestanden. Dass dies nötig ist, beweisen die immer gezielteren Angriffe mit ausgeklügelter Schadsoftware, die auf bestimmte Anlagen und Steuerungen zugeschnitten ist. Auch infolge der zunehmenden Vernetzung von IT und OT (Operational IT) im Internet der Dinge steigen die Herausforderungen in puncto Cyber Security. Dabei stellt bereits heute der Netzübergang zwischen der Office-IT und dem Produktionsnetzwerk ein erhebliches Einfallstor für Cyberkriminelle dar. So können beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Künftig dürften die immer professionelleren Angriffsmethoden hier für noch mehr Gefährdungspotenziale sorgen.

          Um solchen Bedrohungen entgegenzuwirken, empfiehlt sich der Einsatz einer gestaffelten Verteidigung (Defense-in-Depth) zur Steigerung der Robustheit. Die Basis hierfür liefert das sogenannte Zonenmodel, das schutzbedürftige Güter (Assets) entsprechend ihrer Kritikalität in verschiedene Sicherheitszonen unterteilt. Die zonenübergreifende Kommunikation erfolgt dabei ausschließlich über sichere, geschützte und definierte Kanäle. Informationen können dabei je nach Zone uni- oder bidirektional ausgetauscht werden.

          Nur so kann den komplexen Anforderungen von morgen entsprochen, und die Sicherheit von Endgeräten, Maschinen und Anlagen über den gesamten Lebenszyklus hinweg sichergestellt werden.

          Marko Vogel ist Director im Bereich Cyber Security der Wirtschaftsprüfungsgesellschaft KPMG.

          Topmeldungen

          Cyberangriffe: Wenn die Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, gibt es in gerade einmal 43 Prozent der Unternehmen ein Notfallmanagement.

          : Feind auf der Festplatte

          Spionage, Sabotage, Datendiebstahl: Einige unbedachte Klicks, der Aufruf einer attackierenden Website oder der unvorsichtige Umgang mit USB-Sticks und schon hat sich der Aggressor Zugang zur Festplatte verschafft. Immer wieder gelingt es kriminellen Hackern, in Netzwerke und Rechner von Unternehmen und Organisationen einzudringen.

          : Clouds verschiedener Anbieter

          Diskussionen darüber, ob Unternehmen für ihren zukünftigen Erfolg Multi-Cloud-Strategien benötigen, sind müßig. Der Einsatz von Multi-Cloud-Konzepten, also IT-Infrastrukturen, in denen verschiedene Cloud-Computing-Systeme nebeneinander zum Einsatz kommen, ist längst Realität.
          Sicherheitsanforderung: Der Hersteller muss nur  Schwachstellen absichern, deren Ausnutzung durch Hacker vorherzusehen sind.

          : Haftung bei IT-Sicherheitsverstößen

          In immer mehr Betrieben laufen heute Maschinen, die Abläufe messen, steuern und regeln. Diese Maschinen sind vernetzt. Damit drohen neue IT-Gefahren und Sicherheitslücken. Doch wer haftet eigentlich, wenn die Technik nicht „wasserdicht“ ist?
          Cybersecurity: Für Hacker bietet die vernetzte Medizintechnik ein lohnendes Feld. Durch Angriffe können oftmals umfassende Gesundheits- und Patientendaten erbeutet werden.

          : Per Mausklick ins Jenseits

          Moderne Medizintechnik ist vernetzt, selbst Implantate funken ins Internet. Deshalb können Sicherheitslücken in digitaler Medizintechnik tödliche Folgen haben.