Fraun­ho­fer IPT: White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Produktion“

Die Digi­ta­li­sie­rung von Pro­duk­ti­ons­pro­zes­sen ermög­licht es den Unter­neh­men, ein enor­mes Wert­schöp­fungs­po­ten­zi­al zu erschlie­ßen. Ande­rer­seits sind ver­netz­te Unter­neh­men beson­ders stark der Gefahr von Cyber-Angrif­fen aus­ge­setzt. Die wenigs­ten von ihnen sind aller­dings dar­auf vor­be­rei­tet. Die Exper­ten für Cyber­se­cu­ri­ty beim Fraun­ho­fer-Insti­tut für Pro­duk­ti­ons­tech­no­lo­gie IPT in Aachen zei­gen in einem neu­en White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“, wie groß das Risi­ko für die Unter­neh­men im Ein­zel­fall wirk­lich ist und wie wirk­sam Schutz­maß­nah­men sind.

Wenn Unter­neh­men IT in allen Arbeits­be­rei­chen vom Büro­ar­beits­platz bis in die Maschi­nen­hal­le ein­set­zen, wächst zudem auch die Gefahr von Cyber-Angrif­fen. Ist die Pro­duk­ti­on weit­ge­hend ver­netzt, sind Maschi­nen und Anla­gen, außer­dem auch Netz­werk- und Com­pu­ter­tech­nik ver­schie­de­ner Gene­ra­tio­nen in eine gemein­sa­me IT-Umge­bung ein­ge­bun­den. Für die gän­gi­gen Betriebs­sys­te­me in der Unter­neh­mens-IT gibt es zwar regel­mä­ßi­ge Sicher­heits­up­dates. Die Ver­fas­ser des White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“ bemän­geln aller­dings, dass die Soft­ware indes auf den Maschi­nen in der Regel meh­re­re Jahr­zehn­te weit­ge­hend unver­än­dert bleibt. Damit wer­den sie leicht angreif­bar. Außer­dem sitzt die Gefah­ren­quel­le in vie­len Fäl­len sogar vor der Tas­ta­tur – der Mit­ar­bei­ter. Schad­soft­ware, Exploit­kits und Insi­der-Angrif­fe, die hier ein­ge­schleust wer­den, bedro­hen oft das gesam­te Unternehmensnetzwerk.

White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“ zeigt Lücken auf

Es ist aber oft nicht nur die eige­ne Orga­ni­sa­ti­on, die pro­du­zie­ren­den Unter­neh­men das Leben in Sachen Cyber­se­cu­ri­ty schwer macht. So lie­fern nach Erkennt­nis­sen aus dem White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“ die Anbie­ter für SPS-Steue­run­gen in der Regel kei­ne akti­ven Sicher­heits­up­dates. Und sie kom­mu­ni­zie­ren dar­über hin­aus auch nicht, wie Maschi­nen und Anla­gen im Netz­werk zu über­wa­chen sind. Damit wird der eige­ne Maschi­nen­park für die Unter­neh­men qua­si zu einer Black­box. Und auf deren Sicher­heit und Inte­gri­tät müs­sen die Unter­neh­men dann blind ver­trau­en. Die Krux ist, dass es zudem kei­ne ein­heit­li­chen Nor­men und Geset­ze gibt, die die IT-Sicher­heit von Pro­duk­ti­ons­an­la­gen regeln.

Im Fokus
White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on„
Es gibt laut der Unter­su­chung kaum ein Unter­neh­men, das der­zeit aus­rei­chend auf die Bedro­hung vor­be­rei­tet ist. In einer Unter­su­chung des Fraun­ho­fer IPT mit 28 Unter­neh­men ver­schie­de­ner Indus­trie­zwei­ge und Grö­ße konn­te kein ein­zi­ges allen Anfor­de­run­gen der Cyber­se­cu­ri­ty gerecht wer­den. Immer­hin konn­ten die Cyber­se­cu­ri­ty-Exper­ten knapp der Hälf­te der Unter­neh­men mit mehr als 250 Mit­ar­bei­tern zumin­dest eine teil­wei­se Umset­zung der not­wen­di­gen Maß­nah­men zur Cyber­se­cu­ri­ty beschei­ni­gen. Ande­rer­seits schafft es eine Mehr­heit der klei­nen und mitt­le­ren Unter­neh­men nicht ein­mal auf die­sen Stand. Im White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“ stel­len die Aache­ner Exper­ten jetzt die Ergeb­nis­se ihrer Unter­su­chung vor. Eine Erkennt­nis dar­aus ist, dass Unter­neh­men sehr unter­schied­lich mit die­ser Bedro­hungs­la­ge umge­hen. In gro­ßen Unter­neh­men gibt es meist haupt­amt­li­che Exper­ten für IT-Sicher­heit. Den­ent­ge­gen muss die­ses Auf­ga­ben­feld in klei­nen Unter­neh­men oft der IT-Sup­port „neben­bei“ mit erle­di­gen. Das White­pa­per steht zum kos­ten­lo­sen Down­load ver­füg­bar unter: https://s.fhg.de/whitepaper-cybersecurity-vernetzte-produktion

Das For­scher­team des Fraun­ho­fer IPT hat für die Stu­die zum White­pa­per „Cyber­se­cu­ri­ty in der ver­netz­ten Pro­duk­ti­on“ die Anbie­ter für SPS-Steue­run­gen in der Regel kei­ne akti­ven Sicher­heits­up­dates. Und sie kom­mu­ni­zie­ren dar­über hin­aus auch nicht,einen „Pro­duc­tion Secu­ri­ty Rea­di­ness Check“ entwickelt.

Machen Sie den „Pro­duc­tion Secu­ri­ty Rea­di­ness Check!

Die­ser Test steht nun auch Unter­neh­men zur Ver­fü­gung, die nicht an der Unter­su­chung betei­ligt waren. Ein intui­tiv zu beant­wor­ten­der Fra­ge­bo­gens und ein beglei­ten­des Inter­view soll es auch auch klei­nen und mitt­le­ren pro­du­zie­ren­den Unter­neh­men ermög­li­chen, schnell und mit hoher Rele­vanz ihr aktu­el­les Sicher­heits­ni­veau bes­ser ein­zu­schät­zen. So kön­nen die Ver­ant­wort­li­chen zudem Ver­bes­se­run­gen erken­nen und umset­zen. Der Test ist so ange­legt, dass ihn pro­du­zie­ren­de Unter­neh­men unab­hän­gig von ihrer Bran­che, Struk­tur und Grö­ße nut­zen kön­nen. Ins­ge­samt neun Teil­ge­bie­te bil­den all die The­men ab, die in einem ganz­heit­lich aus­ge­rich­te­ten Sicher­heits­an­satz zu betrach­ten sind. Im Fokus des „Pro­duc­tion Secu­ri­ty Rea­di­ness Check“ ste­hen die Imple­men­tie­rung und das Manage­ment von Metho­den, mit denen sich die Unter­neh­mens-IT, die Betriebs­tech­nik und zudem die Umge­bun­gen sichern las­sen, in denen bei­de ein­ge­setzt werden.