Wer an IT Sicherheit in Unternehmen denkt, der denkt vermutlich häufig zunächst an die vernetzten Rechner und Server primär in der Verwaltung oder auch Forschung, vielleicht auch an Sicherheit rund um Cloud-basierte Lösungen. Im Zuge der vernetzten Produktion und Fertigungsprozesse, bei denen Daten sowohl unternehmensintern als auch nach außen in, wie beispielsweise mit Zulieferern ausgetauscht werden, rücken allerdings auch die industriellen Produktionsanlagen zunehmend in den Fokus.

Nach dem Artikel „Mehr IT-Sicherheit in Industrie 4.0“ des Bundesministeriums für Bildung und Forschung erlebte fast jedes dritte Unternehmen in Deutschland in den vergangenen zwei Jahren Angriffe auf seine IKT-Systeme, der jährliche finanzielle Schaden durch Industriespionage wiederum soll sich gar auf 11.8 Milliarden Euro belaufen – Grund genug, um IT Sicherheit in Unternehmen nicht nur ernst zu nehmen, sondern auch ganzheitlich zu betrachten.

Gefahren der vernetzten Produktion

Neben den Gefahren durch Industriespionage können Angriffe auf Steuerungssysteme, wie etwa durch den bekannten Fall der Schadsoftware Stuxnet, auch zu teuren Fertigungsunterbrechungen führen. Insbesondere wenn Systeme bereits durch Schadsoftware infiziert sind, kann das Entfernen dieser sehr zeitaufwendig werden. Diebstahl von Unternehmensgeheimnissen, teure Leerlaufzeiten oder auch Fehler in der Produktion, bis hin zu Manipulationen, die die Sicherheit der Mitarbeiter gefährden können, sind die Risiken (und traurigen Nebenwirkungen) der vernetzten Produktion. Gut vorstellbar, dass sich daher so manches Unternehmen nach der guten alten abgeschotteten Zeit zurücksehnt. Da ein modernes Unternehmen, welches den Anschluss nicht verpassen möchte, aber nun mal nicht in der Vergangenheit leben kann, sind natürlich sowohl Wissen als auch Investitionen gefragt, um die eigenen IT-Systeme inklusive vernetzter Produktionsanlagen zu schützen, wobei am Anfang aber zunächst ein entsprechendes Bewusstsein für die Komplexität der Gefahren entwickelt werden muss.

Spezialisierte Dienstleister in diesem Bereich der Industrial IT Security, helfen einen objektiven und neutralen Blick auf den aktuellen Sicherheitsstandard der Anlagen zu werfen, diesen zu ermitteln und eventuelle Sicherheitslücken wie auch mögliche Bedrohungsszenarien aufzudecken. Ursachen für Schwachstellen liegen dabei oft in:

• unübersichtlichen Netzwerkstrukturen
• fehlendem Bewusstsein für Sicherheit
• fehlendem oder nicht ausreichendem Know-How
• keinen klaren Verantwortlichkeiten
• Zeitmangel
• veralteten oder im schlimmsten Fall sogar fehlenden Sicherheitskomponenten wie Virenscanner oder Firewall.

Auf Basis der Gesamtheit der ermittelten Informationen zum Ist-Zustand können dann individuell auf das Unternehmen zugeschnittene Empfehlungen gegeben und letztlich ein Maßnahmenkatalog geschnürt werden, um Produktions- und Steuerungssysteme vor Angriffen gegen Außen zu schützen. Diese Maßnahmen müssen dann natürlich auch umgesetzt und kontrolliert werden. Der Rückgriff auf Industrie Services wie Betriebsbegleitung, 1st Level Support externer Serviceanbieter mit Remoteservice sind auf diesem Weg empfehlenswert.

IT Sicherheit als Ganzes annehmen und umsetzen

Wichtig ist dabei aber auch die Erkenntnis, dass IT Sicherheit in Unternehmen als Ganzes angenommen werden muss, welches sämtliche Bereiche von der Verwaltung bis zur Produktion einschließt ebenso wie die Erkenntnis, dass Industrial IT Security ein permanenter Prozess ist, da genauso wie im privaten Bereich täglich neue mögliche Gefahren entstehen. Wichtig ist es daher immer auch Prioritäten zu setzen, sodass die wichtigsten Bereiche maximal geschützt sind und so möglichst Unterbrechungen vermieden werden können.

Gesteigert werden kann die Sicherheit in Unternehmen immer dadurch, dass Mitarbeiter in die Sicherheitskultur des Unternehmens mit eingebunden werden, damit eine entsprechende Sensibilisierung für das Thema, und vor allem dessen Bedeutung in der heutigen Zeit vorhanden ist.

100% Sicherheit wird es zwar nie geben, aber man kann Risiken minimieren. Trotzdem sollte man aber immer auch entsprechende „Was ist, wenn“ – Lösungsverfahren bereithaben, als einfachstes Beispiel natürlich ein Backup wichtiger Daten.

Industrial IT Security ist ein wichtiger Teil der optimalen und störungsfreien Produktion, die verschiedene Aspekte berücksichtigt, von einem Konzept zur Instandhaltung / Wartung bis hin zur Ersatzteilversorgung und Erweiterungen an bestehenden Anlagen, was letztlich dann auch wiederum oft eine erneute Überprüfung der IT – Sicherheit nach sich ziehen wird.

Die positive Seite der vernetzten industriellen Prozesse sind sicherlich Effizienz, Optimierung und oftmals auch ganz neue Möglichkeiten, aber wo Licht ist, ist halt auch immer Schatten. Richtig angepackt lassen sich aber auch im industriellen Einsatz Risiken deutlich minimieren.