Suchen

Industrial Security

Sicherheit vernetzter Anlagen – zwei Sichtweisen, ein Thema

| Autor/ Redakteur: Steffen Zimmermann* / Sebastian Human

Die Industrial Security ist als Thema in den Führungsetagen angekommen. Nicht zuletzt durch Ereignisse wie Stuxnet, WannaCry und NotPetya1 hat sich auch die öffentliche Wahrnehmung erhöht. Eine VDMA-Studie beleuchtet den aktuellen Status des deutschen Maschinen- und Anlagenbaus.

Firmen zum Thema

Maschinen- und Anlagenbauer blicken meist aus zwei verschiedenen Perspektiven auf das Thema Industrial Security.
Maschinen- und Anlagenbauer blicken meist aus zwei verschiedenen Perspektiven auf das Thema Industrial Security.
(Bild: Vogel Communications Group)

Für den Maschinen- und Anlagenbau gibt es zwei unterscheidbare Sichtweisen auf die Industrial Security: Die Sicht als Anwender und Betreiber möglichst zuverlässiger Anlagen sowie die Sicht als Hersteller und Integrator von Maschinen und Anlagen.

Die Security, in der Produktion auch als „OT Security“ bekannt, betrachtet Maßnahmen für eine zuverlässige, robuste und vertrauenswürdige Vernetzung von Maschinen und Anlagen in der eigenen Produktion und Fertigung des Maschinen- und Anlagenbaus (Betreibersicht).

Bei der Security von Maschinenbauprodukten („Product Security“) geht es um technische und organisatorische Schutzmaßnahmen von Maschinen, Anlagen und deren Komponenten, digitalen Dienstleistungen und Geschäftsprozessen über den gesamten Produktlebenszyklus (Hersteller und Integratorsicht), von Design und Konstruktion bis zur Außerbetriebnahme.

Ergebnisse der Studie

In der aktuellen VDMA-Studie geht es vorrangig um die Fragen, welche Kompetenzen die Unternehmen beim Thema Industrial Security aufgebaut haben, welche Standards und Maßnahmen zum Einsatz kommen, welche Bedrohungen aus aktueller Sicht das größte Risiko darstellen und welche Auswirkungen Security-Vorfälle verursacht haben.

Bildergalerie

Mittlerweile kennen 83 Prozent der Unternehmen einen der gängigen Security-Standards und knapp die Hälfte (41 Prozent) wendet diese auch an. Insbesondere mangelndes Know-how ist jedoch noch ein Hindernis für den Einsatz, vornehmlich bei kleineren Unternehmen (bis 250 Mitarbeiter) wird dieser Umstand deutlich.

Bei der Etablierung eines Risikomanagements im Produktionsumfeld gibt es noch Handlungsbedarf. Erst 41 Prozent haben ein solches eingeführt. Die gezielte Abschätzung von Ausfallkosten bei Security-Vorfällen spielt nach wie vor für rund drei Viertel der Unternehmen keine Rolle.

Dass die Anzahl der Security-Vorfälle in Zukunft zurückgeht, ist für die Mehrheit der Studienteilnehmer unwahrscheinlich. Mehr als 90 Prozent der befragten Unternehmen erwarten ein gleichbleibendes oder ansteigendes Niveau. Mit einer wachsenden Anzahl von Vorfällen gehen auch negative Auswirkungen einher, die die Maschinen- und Anlagenbauer bereits heute in mehr als zwei Dritteln aller Fälle verzeichnen. Die aktuell von den Unternehmen angegebenen Vorfälle spiegeln mit hoher Wahrscheinlichkeit nicht die tatsächliche Anzahl an Vorkommnissen wider. Denn erst 57 Prozent der Teilnehmer haben Maßnahmen ergriffen, um Security-Vorfälle zu erkennen. Neben der Tatsache, dass aus Compliance-Gründen oder der Angst vor Imageverlust eine Entscheidung gegen die Meldung von Security- Vorkommnissen gefällt wird, können Unternehmen auch nur Vorfälle angeben, die entdeckt wurden. Zudem ist nicht immer klar, ob ein entsprechender Security-Vorfall vorliegt – es fehlt an klaren Definitionen.

SPS 2019: Fusion von IT & OT

Die Verschmelzung von IT und OT ist eine der größten Herausforderungen, die die digitale Transformation der Industrie mit sich bringt - nicht nur für die Security.
Hier setzt die SPS 2019 an und nimmt dieses Jahr das gesamte Spektrum der smarten und digitalen Automation in den Fokus der Veranstaltung. Im Zentrum des dreitägigen Events stehen praxisnahe Lösungen für multiple Herausforderungen der Industrie 4.0 und die in diesem Kontext zentrale Fusion zwischen Information- und Operational Technology.

Vom 26. – 28.11.19 haben Sie in Nürnberg die Gelegenheit, mit hochqualifizierter Ausstellern und Besuchern in Kontakt zu treten und vom Fachwissen internationaler Akteure zu profitieren.

Ticket gibt's hier.

Im Vergleich zu 2013 sind mit 47 Prozent vorrangig erstmals zufällige externe Einflüsse (z.B. durch ungerichtete E-Mails mit Viren, WannaCry, Phishing) für Security-Vorfälle verantwortlich gewesen. Besonders mittlere Unternehmen (251 bis 1.000 Mitarbeiter) waren in den vergangenen zwei Jahren davon stark betroffen. Auf den Plätzen folgen als Ursachen die „Innentäter“ mit 38 Prozent und die gezielten externen Einflüsse mit 26 Prozent. Letztere konnten mehrheitlich durch die Unternehmen nicht zurückverfolgt werden. Ein Grund mag darin liegen, dass bei knapp der Hälfte der betroffenen Unternehmen (45 Prozent), die gezielt attackiert wurden, keine externen Beratungsstellen wie Verfassungsschutz, spezialisierte Sicherheitsdienstleister oder Polizeibehörden hinzugezogen wurden.

Zu den Bedrohungen mit der höchsten Risikoeinschätzung gehören nach wie vor „Menschliches Fehlverhalten und Sabotage“ (Platz eins) und das „Einschleusen von Schadsoftware“ (Platz zwei). Unter anderem neu hinzugekommen in die Liste der Top Ten Bedrohungen ist „Social Engineering und Phishing“ auf Platz drei, das von Unternehmen mit mehr als 1.000 Mitarbeiter sogar als besonders risikoreich beurteilt wird.

Diese subjektiv wahrgenommene Bedrohungslage ergibt bei den befragten Unternehmen im Vergleich zur allgemeinen Einordnung des BSI erneut ein differenziertes Bild:

Vom IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen (KRITIS) sind die befragten Unternehmen bisher nicht direkt betroffen. Nur etwa ein Fünftel wird aufgrund der Tätigkeit als Servicedienstleister, Komponentenlieferant oder Integrator davon berührt. Nur 3 Prozent der Unternehmen können sich bisher ein Security-Gütesiegel als „generell verpflichtendes Entscheidungskriterium“ für den Produkteinkauf vorstellen.

Handlungsempfehlungen

In der VDMA Studie gibt der Arbeitskreis auch Handlungsempfehlungen zu den jeweiligen Befragungen. Allgemein sollten Experten aus IT und Produktion bei Security-Fragen Hand in Hand arbeiten – in beiden Unternehmensbereichen sollte es jeweils einen Ansprechpartner dafür geben. Diese sollten auf gleicher Ebene zusammenarbeiten. Für Safety-relevante Fragestellungen sollten entsprechende Experten hinzugezogen werden.

Die mit dem Thema beauftragten Personen sollten sowohl auf Ingenieur- als auch Informatikwissen zurückgreifen können, um eine Adaption von bestehenden Prozessen, Technologien und Lösungen für die Produktionsumgebung zu ermöglichen. Das BSI und die Plattform Industrie 4.0 haben entsprechende Dokumente hierzu veröffentlicht.

Grundlagenwissen für Industrial Security können VDMA-Mitglieder im VDMA-Campus bei University4Industry kostenfrei erwerben. Durch gestiegene rechtliche Anforderungen in Datenschutz und Datenaustausch (z.B. EU-DSGVO, IT-Sicherheitsgesetz 2.0) rät der Arbeitskreis zu einer gemeinsamen Betrachtung von IT-Security und Industrial Security.

Dieser Beitrag ist ursprünglich in unserem Partnermagazin Next Industry erschienen.

* Steffen Zimmermann leitet das Competence Center Industrial Security im VDMA.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46102752)