Sicherheitskonzepte

Andrea Gillhuber,

Schutz beginnt bei Vertragsunterzeichnung

Ähnlich wie im IoT ist auch im IIoT die Datensicherheit immens wichtig. Allerdings können Hackerangriffe im industriellen Umfeld deutlich gravierendere Folgen haben als im Consumer-Umfeld. Um dem vorzubeugen, sollten Unternehmen auch die Cyber-Sicherheitsstandards ihrer Zulieferer prüfen. 

IIot-Devices schicken Sensordaten in die Cloud und potenzieren so die Angriffsflächen für Hacker. © Alter Solutions / iStock

Der Vernetzung von Gegenständen gehört die Zukunft – nicht nur bei Kühlschränken, Fitnessarmbändern und Autos, sondern auch in Form von intelligenten Maschinen und Geräten. Die Sicherheitsaspekte beim Internet of Things (IoT) und beim Industrial Internet of Things (IIoT) mögen in etwa den gleichen Standards entsprechen, die Folgen eines Cyberangriffs für beispielsweise eine Produktionsstraße sind allerdings ungleich schwerwiegender. Dabei sind nicht die intelligenten Maschinen an sich und deren Kommunikation untereinander die größte Gefahrenquelle, sondern das Auslagern der Daten ins Internet. Denn im Gegensatz zu klassischen Geräten, die nur an das Firmennetzwerk angeschlossen sind, schicken IIoT-Devices Sensordaten oder Ähnliches in die Cloud und potenzieren so die Angriffsflächen für Hacker in das Unermessliche.

Full-Service-Lieferanten von Maschinen haben ein berechtigtes Interesse an den Gerätedaten – zum Beispiel für aktives Monitoring oder Predictive Maintenance. Davon profitiert natürlich auch der produzierende Betrieb. Die Geräte schicken Messdaten und Co. in die Cloud, auf die dann der Lieferant von überall und jederzeit zugreifen kann. Bei Bedarf reagiert dieser und tauscht zum Beispiel ein Bauteil an der Maschine aus, ohne das Gerät vor Ort begutachten zu müssen. Allerdings ist bei der Nutzung von Cloud-Strukturen intensiv auf deren Sicherheit zu achten, damit keine relevanten Daten abhandenkommen können. Entschließt sich ein Unternehmen (freiwillig oder aufgrund von Lieferantenvorgaben) für eine Cloud-Lösung, sind der Verbleib und der Schutz der Daten von Seiten der Firma aus nicht mehr steuerbar. Ob die Unternehmensdaten in der Cloud des Lieferanten vor Cyberangriffen geschützt sind, liegt allein in dessen Händen. Die Verantwortung über die Daten hat aber weiterhin das Unternehmen. Ein Auslagern der Verantwortung ist nur mit großem Aufwand und in speziellen Bereichen beziehungsweise bei speziellen Konstruktionen möglich.

Anzeige

Lieferanten als beliebtes Ziel für Hackerangriffe

Für Hacker ist ein Lieferant beziehungsweise Hersteller von IoT-Devices deutlich attraktiver als das produzierende Gewerbe – liegen doch in seiner Cloud gleich Abertausende von Datensätzen verschiedenster Unternehmen. Aus Sicht des Angreifers also das deutlich wirtschaftlichere Ziel; mehr potenzielle Opfer mit dem gleichen Arbeitsaufwand. Im für den Hacker besten Fall kümmert sich der Lieferant sogar darum, eine bereits durch ihn modifizierte Device bei seinem Kunden einzubauen, da ihm die Manipulation nicht bekannt ist.

Viele Unternehmen reagieren erst auf Cyberbedrohungen, wenn ein Angriff bereits stattgefunden hat. © Alter Solutions Deutschland / iStock

Große Konzerne sind in der Regel besser vor Cyberangriffen geschützt. Den meist kleineren Zulieferer-firmen fehlt häufig das Geld, die Zeit und die Ressourcen, um sich adäquat abzusichern. Das zeigt auch die Studie Wirtschaftsschutz 2018 der Bitkom: Bei Unternehmen mit mehr als 500 Mitarbeitern wurden 60 Prozent der Befragten Opfer einer Cyberattacke. Bei mittleren Unternehmen waren es 78 Prozent. Um alle potenziellen Einfallstore gegen Hacker-angriffe zu schützen, sollten die Unternehmen daher bereits im Vertrag Schutzmaßnahmen ergreifen. Sinnvoll ist es, eine Klausel einzufügen, die es dem Auftraggeber, also dem Produktionsunternehmen zum Beispiel erlaubt, beim Zulieferer einen Audit durchzuführen. Ohne einen solchen Vertragszusatz hat das Unternehmen keine rechtliche Grundlage, die Cyber-Sicherheitsstandards zu überprüfen. Hier sollte auch geklärt sein, welche Maßnahmen bei gefunden Audit-Schwachstellen eingeleitet werden, in welchen Zeitrahmen diese zu erfolgen haben und wer die Kosten zu tragen hat. Folglich muss der Einkauf eng mit der IT-Abteilung zusammenarbeiten, um bei der Vertragsgestaltung alle wichtigen Faktoren abzudecken.

Derzeit wird diese Option im Maschinen- und Anlagenbau wenig bis gar nicht betrachtet – der Leitfaden für Security im Maschinen- und Anlagenbau des Verbands Deutscher Maschinen- und Anlagenbauer (VDMA) betont, dass insbesondere KMUs bei der Wahl der Methoden zur Absicherung gegen Cyberangriffe auf sich allein gestellt sind und sich deshalb schwer tun mit der Einhaltung der Sicherheitsstandards. Der Tenor in der Wirtschaft lautet bisher: „Unsere langjährigen Vertragspartner wissen schon, was sie tun, das brauchen wir nicht zu überprüfen.“ Das widerspricht jeglichen Grundsätzen des Qualitätssicherungsprozesses und wäre in anderen Stufen des Produktionsprozesses undenkbar. Insbesondere in sensiblen Branchen wie dem Bankensektor mit seiner strengen Regulatorik müssen umfassende Sicherheitstests unter anderem einzelner Netzwerke und Rechner (Penetrationstests und Red-Team-Testing) von Zulieferern fester Bestandteil des Qualitätsmanagements sein. Ein Umdenken ist mehr als dringend notwendig, um schwerwiegende Schäden zu verhindern.

Unternehmen verhalten sich nur reaktiv

Viele Unternehmen reagieren erst auf Cyberbedrohungen, wenn es schon zu spät ist und ein Angriff bereits stattgefunden hat. Denn: Eine angemessene Absicherung bedeutet eine hohe Anfangsinvestition. Zudem müssen sie Audits regelmäßig wiederholen, um die Sicherheitsstandards konsequent auf einem hohen Level zu halten. In der Folge sind gerade kleine und mittlere Betriebe im Fall einer Cyberattacke in ihrer Existenz oft bedroht. Aufgrund ihrer spezialisierten Produkte sind sie extrem von den Zulieferern abhängig. Kommt es zu einem Ausfall in der Lieferkette, können sie auf keine Alternative zurückgreifen. Neben den finanziellen Verlusten ist meist auch ein beträchtlicher Imageschaden die Folge.

Externe Dienstleister als Digitalisierungsspezialisten

Um die Audits durchzuführen, bedarf es spezialisierter Mitarbeiter – die, außer in Großkonzernen, in den meisten kleineren Unternehmen aufgrund mangelnder Kapazitäten in keiner Fachabteilung zu finden sind. Auch das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste kam in seiner Studie zur Lage der aktuellen IT-Sicherheit in KMU zu dem Ergebnis, dass aufgrund von eingeschränkten Ressourcen in kleinen und mittleren Unternehmen noch immer erhebliche IT-Sicherheitsdefizite bestehen. Deswegen empfiehlt es sich, hier mit externen Servicedienstleistern zusammenzuarbeiten. Die Experten bringen das entsprechende Skill-Set mit und stehen beratend sowohl bei der Vertragsausgestaltung als auch beim anschließenden Penetrationstest und weiteren Risikominimierungsmaßnahmen zur Seite, damit der CEO die richtige Risikojustierung vornehmen kann.

Die Digitalisierung schreitet unaufhörlich voran und in Zukunft wird es wohl kaum mehr Maschinen geben, die nicht mit dem Internet verbunden sind – laut einer Studie des weltweit führenden Unternehmens für digitale Sicherheit Gemalto soll die Zahl der ans Internet angeschlossenen Geräte bis 2023 sogar auf 20 Milliarden Stück ansteigen. Deswegen sind Unternehmen gut beraten, Partnerschaften mit Cybersecurity-Dienstleistern aufzubauen. Denn zum einem ist Sicherheit eine Vertrauensfrage und sollte ausschließlich in kompetente Hände gelegt werden. Und zum anderen lässt sich nur mit einer tragfähigen und nachhaltigen Cybersecurity-Strategie an den Vorteilen der Digitalisierung teilhaben.

Michael Zobel, Direktor Cyber & Information Security und Big Data & Analytics, Alter Solutions Deutschland / ag

Anzeige

Das könnte Sie auch interessieren

Anzeige

SCOPE-Veranstaltungsreihe

"OT meets IT" – die Serie

Am 16. und 17. Oktober laden wir von SCOPE Sie zu den ersten beiden Veranstaltungen der Serie „OT meets IT“ nach Darmstadt ein. Starten wird die Reihe mit der Veranstaltung „Vernetzung und Kommunikation“ am 16.Oktober und wird fortgesetzt am 17....

mehr...
Anzeige
Anzeige
Anzeige

Security

Cybersicherheit für die Industrie 4.0

Das Industrial Internet of Things (IIoT) befeuert die Heterogenität von Systemen und Geräten innerhalb von Unternehmen. Damit wächst die potenzielle Angriffsfläche für Cyberattacken. Denn egal ob Produktions-straße, IoT-Gerät oder Roboter; alles ist...

mehr...
Anzeige
Anzeige
Anzeige

CyberArk

5 Tipps gegen Insider-Bedrohung

Damit Insider-Bedrohung frühzeitig erkannt und unterbunden werden kann, helfen einfache Tipps, wie beispielsweise das Sichern von Anmeldedaten oder die Befugnisse der Accounts einzugrenzen.

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite