Security Vernetzte Produktion: Kein einziges Unternehmen erfüllt Cybersecurity-Anforderungen

Redakteur: Katharina Juschkat

Forscher und Forscherinnen des Fraunhofer IPT finden heraus: In Sachen Cybersecurity hinken vernetzte Produktionen stark hinterher. Kein untersuchtes Unternehmen erfüllt alle Anforderungen der Security. Ein Fragebogen soll weiterhelfen.

Firmen zum Thema

Cybersecurity in der vernetzten Produktion wird von vielen Unternehmen vernachlässigt, finden Forscher jetzt heraus.
Cybersecurity in der vernetzten Produktion wird von vielen Unternehmen vernachlässigt, finden Forscher jetzt heraus.
(Bild: ©kras99 - stock.adobe.com)

Forschernde des Fraunhofer-Instituts für Produktionstechnologie IPT untersuchen, wie groß das Risiko einzelner vernetzter Unternehmen ist, Opfer eines Cyber-Angriffs zu werden. Erschreckendes Ergebnis: Die wenigsten Unternehmen sind darauf vorbereitet. Ein ausführliches Whitepaper beschreibt, wie groß Risiko im Einzelfall wirklich ist und wie wirksam getroffene Schutzmaßnahmen bereits sind.

Kein einziges Unternehmen erfüllt alle Anforderungen für Cybersecurity

In einer weitgehend vernetzten Produktion sind Maschinen und Anlagen, Netzwerk- und Computertechnik verschiedener Generationen in einer gemeinsamen IT-Umgebung miteinander verknüpft. Doch während es für die gängigen Betriebssysteme in der Unternehmens-IT regelmäßige Sicherheitsupdates gibt, bleiben Maschinen in der Regel mehrere Jahrzehnte weitgehend unverändert im Einsatz und werden dadurch leicht angreifbar. Nicht selten sitzt die Gefahrenquelle sogar vor der Tastatur. Die Folge: Schadsoftware, Exploitkits und Insider-Angriffe bedrohen das gesamte Unternehmensnetzwerk.

Buchtipp

Cybersicherheit ist nicht nur sinnvoll, sie ist die absolute Grundvoraussetzung für eine erfolgreiche Digitalisierung. Das Fachbuch Cybersicherheit erläutert die Relevanz von IT-Sicherheit in Industrieunternehmen und gibt die nötige Unterstützung, diese im eigenen Unternehmen umzusetzen.

Das Fraunhofer IPT untersuchte 28 Unternehmen verschiedener Industriezweige und Größe – das Ergebnis: Kaum ein Unternehmen ist ausreichend auf die Bedrohung vorbereitet. Kein einziges der untersuchten Unternehmen erfüllt alle Anforderungen der Cybersecurity. Doch während knapp die Hälfte der Unternehmen mit mehr als 250 Mitarbeitenden zumindest teilweise die notwendigen Maßnahmen zur Cybersecurity umsetzen, erreicht die Mehrheit der kleinen und mittleren Unternehmen nicht einmal diese Marke.

SPS ohne aktive Sicherheitsupdates

Die Ergebnisse ihrer Untersuchung stellen die Aachener Forscher in ihrem Whitepaper „Cybersecurity in der vernetzten Produktion“ vor. Darin stellen sie auch fest: Unternehmen gehen sehr unterschiedlich mit dieser Bedrohungslage um. Während große Unternehmen eigens Experten für IT-Sicherheit einstellen können, fällt diese Aufgabe in kleinen Unternehmen bestenfalls dem IT-Support zu.

Doch nicht nur die eigene Organisation, sondern auch das Verhalten der Maschinenhersteller macht produzierenden Unternehmen das Leben schwer: Während PC-Komponenten einem aktiven Patch-Management unterliegen, liefern die Anbieter für SPS-Steuerungen in der Regel keine aktiven Sicherheitsupdates und kommunizieren auch nicht, wie Maschinen und Anlagen im Netzwerk zu überwachen sind. Der eigene Maschinenpark wird so für Unternehmen zur Blackbox, auf deren Sicherheit und Integrität blind vertraut werden muss. Begünstigt wird dieser Mangel dadurch, dass es keine einheitlichen Normen und Gesetze für die IT-Sicherheit von Produktionsanlagen gibt.

Fragebogen soll weiterhelfen

Für die Untersuchung hat das Forschungsteam des Fraunhofer IPT den „Production Security Readiness Check“ (PSRC) entwickelt. Den Test stellt es nun auch weiteren Unternehmen, die nicht an der Untersuchung teilgenommen haben, zur Verfügung. Auch kleine und mittlere produzierende Unternehmen sollen mithilfe des Fragebogens ihr aktuelles Sicherheitsniveau besser einschätzen und Verbesserungen erkennen und umsetzen können.

Der Test kann von produzierenden Unternehmen jeder Branche, Struktur und Größe genutzt werden. Er besteht aus neun Teilgebieten, die jene Themen abbilden, die für einen ganzheitlichen Sicherheitsansatz betrachtet werden müssen. Dabei konzentriert sich der PSRC auf die Einführung und das Management von Methoden zur Sicherung der Unternehmens-IT, der Betriebstechnik und der Umgebungen, in denen beide eingesetzt werden.

(ID:47101046)