Cyber Security – Muss die produzierende Industrie um ihr Wissen fürchten?

Herr Dr. Müller, Sie begleiten als Unternehmensberater sowohl etablierte Unternehmen bei der Weiterentwicklung ihrer Geschäftsmodelle als auch Startups beim Markteintritt in Deutschland. In den letzten Jahren lag der Fokus Ihrer Beratung durch die stetig wachsende Digitalisierung und Vernetzung von Produkten und Prozessen auf High-Tech Lösungen, digitalen Geschäftsmodellen und vor allem der Absicherung Ihrer Kunden und deren Produkte durch notwendige Cyber Security-Maßnahmen. Welche Relevanz kommt dabei dem Thema in der deutschen produzierenden Industrie zu?

Die produzierende Industrie befindet sich momentan inmitten der digitalen Transformation. Industrie 4.0 und Smart Factory sind längst keine Unbekannten mehr. Produktionsprozesse werden digitalisiert und internationale Standorte und Produktionswerke vernetzt. Doch die digitale Vernetzung umfasst nicht nur die Produktion, sondern auch die ihr vorgelagerte Supply Chain sowie sämtliche nachgelagerten Prozesse hin zum und beim Kunden. Ein großer Vorteil der Industrie 4.0 ist die Möglichkeit der Echtzeitsteuerung von Produktionsabläufen. 

Sobald jedoch vernetzte Geräte und Maschinen zum Einsatz kommen, ganz gleich in welchem Stadium der Wertschöpfungskette, müssen diese vor Manipulation geschützt werden. Durch die Anwendung von Cyber Security-Schutzmaßnahmen, welche die gesamte elektronische Datenkommunikation absichern, wird die Basis für ein ganzheitliches sicheres Fertigungssystem gebildet. Dies dient auch zur Sicherstellung von Personendatenschutz und funktionaler Sicherheit.

Welche Einfallstore nutzen die Hacker hauptsächlich, um in Unternehmen einzudringen? Gibt es besonders sensible Angriffspunkte?

Ja, die gibt es. Die meisten Cyber-Attacken treffen die Unternehmen über die Menschen. Entweder klassisch durch Phishing-E-mails, über verseuchte Apps oder mittels Schadsoftware auf USB-Sticks. Eine weitere beliebte Angriffsfläche bietet die Serverstruktur des Unternehmens mit den dahinterliegenden IP-Adressen. Und zu guter letzt werden Cyber-Angriffe oft über im IoT vernetzte Maschinen ausgeführt. Im Grunde kann man also drei Angriffslevel unterscheiden, auf die Unternehmen ihre Cyber Security-Strategie ausrichten sollten, die Personensicherheit, die IT-Sicherheit und die OT-Sicherheit. OT steht als Abkürzung für Operational Technology und umfasst die produktionsnahe Steuerung sämtlicher operativer Abläufe von Cyber Physical Systems (CPS) in einer smarten Fabrik (Smart Factory). 

Wie gut sind produzierende Unternehmen derzeit schon geschützt? Könnten Sie uns eine Einschätzung zum Status quo bestehender Schutzmaßnahmen in diesen Unternehmen geben?

Die Mitarbeiter sind in den produzierenden Unternehmen oft nur unzureichend für die Cyber Security-Thematik sensibilisiert. In der klassischen IT gibt es zudem zahlreiche Sicherheitslücken und die vernetzte OT ist leider meist offen wie ein Scheunentor. 

Welche Schutzmaßnahmen sind für produzierende Unternehmen in Deutschland unumgänglich, also „State of the Art“?

• Die Qualifikation der eigenen Mitarbeitenden zum Thema Cyber Security unter Einbeziehung der gesamten Supply Chain und der Kunden. Hier kann im ersten Schritt ein internes Cyber Security-Awareness-Training Abhilfe schaffen. Mitarbeiter, die an Schnittstellen positioniert sind, sollten darauf aufbauend regelmäßig mit weiteren Cyber Security-Schulungen auf dem neuesten Stand gehalten werden.
   
• Ein konsequenter Aufbau und die Umsetzung der IT-Security-Maßnahmen sind zwingend notwendig. Die Firmenserver müssen mit Sicherheitssystemen geschützt sein, die immer “up-to-date” sind. Für Clouds inklusive aller Endgeräte und eingesetzter Software gilt dasselbe.
   
• Der Aufbau und die Implementierung von OT-Cyber Security Management Systemen und die ständige Überwachung der eingesetzten IT-Software auf mögliche Vulnerabilities, und das über den kompletten Lebenszyklus.

Wie werden Ihrer Meinung nach rechtliche oder regulatorische Faktoren die Märkte für Cybersicherheit in der produzierenden Industrie beeinflussen?

Wir gehen davon aus, dass sukzessive für alle Anwender von IT-Systemen gesetzliche Rahmenbedingungen für Cyber Security geschaffen werden, und zwar in Gestalt eines Cyber Security Management Systems (CSMS). Ein solches CSMS betrifft zum einen die Produkte und die darin eingesetzte Software selbst, es zielt aber auch auf die organisatorischen und prozessualen Belange ab.

Vorreiter ist auch hier einmal mehr die Automobilindustrie. Dies beeinflusst dann auch die notwendige Qualifikation der mit den Systemen arbeitenden Menschen. Cyber Security wird in die Standard Entwicklungs- und Produktionssysteme integriert und wird so ein Teil des Qualitätsmanagements (QMS). Das gilt entlang der kompletten Hard- und Software-Value Chain und end-to-end vom Sensor und Produkt über die Cloud bis zur App auf dem Smartphone und darüber hinaus über den kompletten Produktlebenszyklus von der Produktidee bis zum After Sales und der Entsorgung.

Es sind in allen unternehmerischen Bereichen die Rollen und Verantwortlichkeiten (AKV) für Cyber Security-Belange festzulegen und schon in die jeweiligen Stellenbeschreibungen aufzunehmen. Je nach Unternehmensgröße empfiehlt es sich, eine zentrale Anlaufstelle für Cyber Security-Themen festzulegen.

Welche Frühwarnsysteme gibt es, um Cyber-Attacken frühzeitig zu erkennen? Wie ist vorzugehen, wenn eine Cyber-Attacke bemerkt wird? Wie kann sich das Unternehmen vor weiterem größerem Schaden schützen?

Frühwarnsysteme sind z.B. durchgeführte Penetration-Tests oder Cyber Security-Software Analysen. Wir empfehlen zudem ein sofortiges Update jeglicher eingesetzten Software, wenn neue Releases oder neue Varianten zum Einsatz kommen. Dies gilt auch für Maschinen und Produkte beim Kunden vor Ort. Außerdem sollte für den Fall, dass trotz aller Vorsichtsmaßnahmen ein Cyber-Angriff durchkommt, ein Standardprozess definiert werden, in den alle relevanten Unternehmensbereiche eingebunden sind. Wenn eine Attacke bemerkt wird, sollte die sofortige Einschaltung der entsprechenden vorab definierten Verantwortlichen (CPSO oder CISO) erfolgen und, wenn notwendig, externe Cyber Security Experten sowie Polizeibehörden eingeschaltet werden. Außerdem ist die Cyber Security-Versicherung zu informieren.

Zum Abschluss des Interviews möchte ich Sie bitten, mir einen Ausblick in die Zukunft der Cyber Security-Thematik zu gewähren. Was wird auf diesem Feld auf die deutsche produzierende Industrie in den nächsten Jahren zukommen?

Die Anzahl der im IoT vernetzten Systeme und Endgeräte wird exponentiell zunehmen. Damit steigt auch die Gefahr für Cyber-Angriffe exponentiell. Außerdem stellen die zunehmenden gesetzgeberischen Aktivitäten neue Anforderungen an die Unternehmen. Cyber Security bekommt deshalb in Zukunft idealerweise den Stellenwert einer neuen Unternehmensfunktion, die Produktsicherheit, IT-Sicherheit, Privacy sowie das Risikomanagement einschließt. Cyber Security wird zur Managementaufgabe, die ganzheitlich systemisch gedacht und umgesetzt werden muss, d.h. als ein ganzheitlicher Risikomanagementansatz, der Bedrohungsanalysen, Risikobewertungen, Sicherheitsaudits und die Integration von Cyber Security-Lösungen über die gesamte Supply Chain und den gesamten Produktlebenszyklus einschließt und dabei bevorstehende gesetzliche und regulatorische Anforderungen von Anfang an mit beachtet.

Wenn die produzierende Industrie die Abläufe ihrer gesamten Wertschöpfungskette auf ein ganzheitlich sicheres Niveau bringen möchte, um dadurch im Wettbewerb zu bestehen, gilt es, die Brücke zu schlagen zwischen der Cybersicherheit und der funktionalen Sicherheit. Beide müssen im Zeitalter des IoT zwingend gemeinsam betrachtet werden. Wenn Cybersicherheit (Cyber Security), Datenschutz (Privacy) und funktionale Sicherheit (Functional Safety) dann noch ideal zusammenwirken, sind produzierende Unternehmen für die Zukunft bestens gewappnet und müssen auch in Zukunft nicht um ihr Wissen fürchten.