Es steht nicht gut um die Sicherheit intelligenter Fabriken, wie eine aktuelle Studie offenlegt. Einfallstor für Cyberangriffe auf die Industrie 4.0 ist häufig ein nur mäßig kontrolliertes Industrial Internet of Things. Da stellt sich die Frage: Lässt sich Cybersicherheit völlig neu denken?
Digitalisierung, Homeoffice, Industrie 4.0, Künstliche Intelligenz, das Internet of Things und neuerdings das Industrial Internet of Things (IIoT) sind beliebte Einfallstore für Cyberkriminelle.
VDW/AdobeStock_487335430_gopixa
Die Vorzüge der Digitalisierung sind verlockend – Industrie 4.0 und Künstliche Intelligenz durchdringen die Abläufe in produzierenden Unternehmen. So habe etwa Mercedes-Benz mit seiner "Factory 56" Maßstäbe in der Digitalisierung aber auch hinsichtlich Effizienz und Nachhaltigkeit gesetzt, schreibt Andreas Mockenhaupt im Buchkapitel "Digitalisierung und KI in der Produktion". Die Smarte Fabrik soll bei der Montage der S-Klasse um 25 Prozent effizienter sein und im Sinne der Unternehmensstrategie Ambition 2039 mit deutlich reduziertem Energiebedarf zur Zero Carbon Fabrik, also vollständig CO2-neutral werden.
"Hersteller kennen die Vorteile der digitalen Transformation und investieren entsprechend massiv in Smart Factories – ein riskanter Schritt, wenn Cybersicherheit nicht von Beginn an integriert ist. Die wachsende Angriffsfläche, Vernetzung und die Menge an Betriebstechnologie sowie IIoT-Geräten machen Smart Factories zu einem leichten Ziel für Cyberkriminelle", warnt Torsten Jüngling, Head of Cybersecurity bei Capgemini in Deutschland. Es ist wie der Wettlauf zwischen Hase und Igel im Märchen der Gebrüder Grimm: Bei jeder technischen Verbesserung scheinen die Hacker längst einen Schritt weiter zu sein. Und die Zahl ihrer Angriffe nimmt zu – auch im deutschen Mittelstand, warnte jüngst der Verein Deutscher Werkzeugmaschinenfabriken (VDW). Ständig größer werdende Einfallstore für Cyberkriminelle seien etwa Homeoffice, Industrie 4.0, Künstliche Intelligenz (KI) oder das Internet of Things (IoT). Hinzu kommt inzwischen das Industrial Internet of Things (IIoT). Was von der Hackerszene noch alles zu erwarten ist, wie die deutsche Wirtschaft aufgestellt ist, welche Prozesse einzelne Unternehmen für den Fall der Fälle unbedingt installieren sollten und wer gegebenenfalls helfen kann, erörtert der VDW in einem Podcast, der fragt: "Cybersecurity: Wie groß ist die digitale Sicherheit wirklich?"
Erst wenige Hersteller verfügen über ausgereifte Strukturen in allen kritischen Bereichen der Cybersicherheit. Tatsächlich erhöht die mit dem IIoT geschaffene Konnektivität der Smart Factories die Gefahr durch Cyberangriffe in der Industrie exponentiell, lautet das beunruhigende Fazit einer aktuellen Studie des Capgemini Research Institute: Demnach rechnet jedes zweite Fertigungsunternehmen (51 Prozent) damit, dass die Zahl der Cyberangriffe auf Smart Factories in den nächsten 12 Monaten steigen wird. Dennoch sagt ebenfalls fast jeder zweite Hersteller (47 Prozent), dass die Cybersicherheit der eigenen intelligenten Fabriken nicht im Fokus der Unternehmensleitung steht.
Smart Factories setzen digitale Plattformen und Technologien ein, um Produktivität, Qualität, Flexibilität und Service deutlich zu verbessern. Sie basieren auf drei digitalen Schlüsseltechnologien: Konnektivität (Nutzung des industriellen Internets der Dinge zur Erfassung von Sensordaten), intelligenter Automatisierung (etwa fortschrittliche Robotik, maschinelles Sehen, Distributed Control oder Drohnen) sowie Cloud-basierter Datenverwaltung und -analyse. Auch wenn in dieser Gemengelange ein ausgeprägtes Gefahrenbewusstsein vorhanden ist, führt dies nicht automatisch dazu, dass Unternehmen entsprechend vorbereitet sind, fanden die Autoren des Capgemini Research Institute heraus: Unzureichende Aufmerksamkeit des obersten Managements, knappe Budgets und menschliche Faktoren werden in der Studie von den befragten Unternehmen als die größten Hürden für Cybersicherheit benannt. Nur 51 Prozent integrieren laut Studie standardmäßig Cybersicherheitspraktiken in ihre Smart Factories.
Anders als bei den großen IT-Plattformen sind möglicherweise einige Unternehmen überfordert, die Vielzahl der vernetzten Maschinen in ihren Smart Factories kontinuierlich zu überprüfen. So ist beispielsweise die Sichtbarkeit der Betriebstechnik, der Operations Technology (OT), und der IIoT-Geräte auf der Systemebene notwendig, damit Fachleute unmittelbar erkennen zu können, wenn sie angegriffen werden. 77 Prozent der Unternehmen sind laut Capgemini-Studie besorgt darüber, dass zur Reparatur oder Aktualisierung von OT-/IIoT-Systemen in der Regel nicht-standardkonforme Prozesse angewandt werden. Diese Problematik ist zum Teil auf die geringe Verfügbarkeit der richtigen Tools und Prozesse zurückzuführen. In rund der Hälfte der befragten Unternehmen ist man davon überzeugt, dass Cyberrisiken für Smart Factories in erster Linie von den Netzwerken ihrer Partner und Zulieferer ausgehen. 28 Prozent haben beobachtet, dass die Zahl der Mitarbeiter oder Zulieferer, die infizierte Geräte wie Laptops und Mobilgeräte zur Installation oder zum Patchen von Smart-Factory-Anlagen mitbringen, seit 2019 um 20 Prozent gestiegen ist.
Menschen bleiben die größte Gefahr für die Cybersicherheit
Nur wenige der befragten Unternehmen gaben an, dass ihre Cybersicherheitsteams über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um bei Vorfällen dringende Sicherheits-Patches ohne externe Unterstützung durchführen zu können. Eine häufige Ursache für diese verbreitete Schwachstelle besteht laut Studie darin, dass Cybersecurity Manager fehlen, um die erforderlichen Weiterbildungsprogramme umzusetzen.
In Verbindung mit dem Fachkräftemangel wird dies zu einer Herausforderung: 57 Prozent der Unternehmen halten den Mangel an Fachkräften für die Cybersicherheit von Smart Factories für weitaus akuter als für den Bereich der IT-Sicherheit. Viele Unternehmen berichten, dass ihre Cybersicherheitsanalysten überlastet sind von der Vielzahl an OT- und IIoT-Geräten, die sie überwachen müssen, um Angriffe zu erkennen und zu verhindern. Darüber hinaus sehen sich 43 Prozent der Cybersicherheitsmanager in Deutschland und weltweit nicht in der Lage, auf Angriffe in ihren Smart Factories und Produktionsstandorten zu reagieren.
Cybersecurity-Vorreiter haben Wettbewerbsvorteile
Es gibt Vorreiter unter den Herstellern – 6 Prozent, in der Studie als "Cybersecurity Leaders" bezeichnet –, die in ihren Smart Factories schon ausgereifte Konzepte für die drei entscheidenden Dimensionen der Cybersicherheit umsetzen: Sensibilisierung, Reaktionsfähigkeit und Implementierung. Die Autoren der Studie fanden heraus, dass sie ihren Wettbewerbern dadurch in mehreren Aspekten überlegen sind: 72 Prozent dieser Cybersecurity Leaders könnten sich gegen Cyberangriffe schützen und deren Auswirkungen minimieren, und 74 Prozent seien in der Lage, bekannte Angriffsmuster frühzeitig zu erkennen. Dies sei nur bei 41 Prozent beziehungsweise 46 Prozent der anderen Unternehmen der Fall.
Basierend auf der Auswertung und den Erfahrungen der ermittelten "Cybersecurity Leader" empfehlen die Capgemini-Autoren einen sechsstufigen Ansatz für die Ausarbeitung einer effektiven Cybersicherheitsstrategie für Smart Factories:
- Durchführung eines umfassenden Cybersecurity Assessments
- Sensibilisierung des gesamten Unternehmens für Cybergefahren für Smart Factories
- Definition der Verantwortlichkeiten für die Risiken von Cyberangriffen
- Einführung von Frameworks für Cybersicherheit in Smart Factories
- Entwickeln von auf Smart Factories zugeschnittenen Cybersicherheitspraktiken
- Aufbau einer Governance-Struktur und eines Frameworks zur Kommunikation mit der Unternehmens-IT
Es liegt auf der Hand, dass Digitalisierung und Cybersicherheit zusammengehören wie eineiige Zwillinge: "Eine erfolgreiche Digitalisierungsstrategie von Unternehmen braucht eine angemessene Cybersicherheit. Daraus lässt sich ableiten, dass eine Cybersicherheitsstrategie eine digitale Cybersicherheitsstrategie sein muss, sich am Geschäftsmodell und Digitalisierung ausrichten muss. Und weil die Dynamik der Digitalisierung hoch ist, ist die Verbindung dieser zwei Themenbereiche umso wichtiger", bringt es Ralf Kleinfeld in seinem Zeitschriftenbeitrag "Cybersicherheit braucht Digitalisierung … oder andersherum?" auf den Punkt – und offenbart ein Problem, dem sich die Forschung annehmen muss: Sicherheitsmaßnahmen rennen auf der handwerklichen Ebene den Schwierigkeiten von Schwachstelle zu Schwachstelle hinterher.
Theoretische Cybersicherheit
"In der Cybersicherheitsbranche herrscht ein deutlicher Mangel an theoretischer Innovation", konstatieren die Springer-Autoren Jacob G. Oakley, Michael Butler, Wayne York, Matthew Puckett und J. Louis Sewell in ihrer Einführung zu "Theoretical Cybersecurity – Principles and Advanced Concepts" und stellen sogleich klar: "Es mangelt nicht an Innovation – ganz im Gegenteil. Täglich tauchten neue Technologien, Dienste und Lösungen auf." Den Buchautoren geht es vielmehr darum, einen systemischen Mangel zu beheben. Cybersicherheit sollte in der Abstraktion von tatsächlichen Technologien, Systemen und Organisationen entwickelt werden – so wie sich beispielsweise die Entwicklung von der handwerklichen Produktion eines Autos hin zu dessen Fließbandproduktion unabhängig vom Produktionsgegenstand, dem Auto, vollzogen habe. Die Autoren blicken gemeinsam auf rund 50 Jahre einschlägige Berufserfahrung zurück und sind zu der Auffassung gelangt, dass es an der Zeit ist, Cybersicherheit auf einen theoretischen Nenner zu bringen. Damit meinen sie nicht die theoretische Konzeption von Technologien, die von Cybersicherheitsexperten zur Gefahrenabwendung verwendet werden, sondern die theoretische Erforschung ihres eigenen handwerklich befangenen Handelns. – Über 10 Kapitel hinweg nehmen die Autoren um Jacob G. Oakley den Leser mit auf eine Expedition zu möglichen Ansätzen einer Theorie der Cybersicherheit.