In der Fabrik von morgen sind die Abläufe zunehmend digital vernetzt. Dies erfolgt zum einen, um sehr flexibel und unternehmensübergreifend agieren zu können. Zum anderen gilt es, die Digitalisierung der Wertschöpfungskette vom Lieferanten bis zum Endkunden voranzutreiben. Eine derart umfängliche automatisierte Vernetzung ermöglicht es, schneller zu handeln, effizienter zu fertigen und konventionelle Geschäftsfelder durch neue Businessmodelle zu ergänzen.
Trotz aller Chancen beinhaltet die zunehmende Vernetzung auch Risiken. Die virtuelle Welt ist angreifbar. Sie birgt Gefahren, deren Art und Ausmaß oftmals gar nicht bekannt sind – von Datendiebstahl und Serviceunterbrechungen bis hin zum gänzlichen Kontrollverlust über die einzelnen Geräte.
Im Zuge von Industrie 4.0 wird Cyber Security zum Wertschöpfungsfaktor
Unverzichtbare Grundvoraussetzung ist daher ein an die spezifischen Unternehmensbelange angepasstes Cyber Security-Niveau. Um das enorme Potenzial von Industrie 4.0 erfolgreich umsetzen zu können, ist der sichere und vertrauensvolle Umgang mit Daten unerlässlich. Zudem muss ein verlässlicher Schutz der unternehmensübergreifenden Kommunikation vor Angriffen von außen gewährleistet sein. Infolgedessen entwickelt sich Cyber Security für Unternehmen immer mehr von einem reinen Kosten- zu einem wichtigen Wertschöpfungsfaktor. Nur die smarten Fabriken von morgen, die in der Lage sind, verlässlich und ohne größere Ausfallzeiten gleichbleibend hochwertige Produkte zu entwickeln und zu produzieren, werden den zukünftigen Markt- und Wettbewerbsanforderungen gerecht werden können.
Aggressiver, technisch komplexer und besser organisiert: Bedrohung durch Cyber-Angriffe steigt
Um den komplexen Anforderungen zu entsprechen, muss die Sicherheit von Endgeräten, Maschinen und Anlagen über den gesamten Lebenszyklus hinweg gewährleistet sein. Zugleich sollten Sicherheitsaspekte bereits bei der Produktentwicklung berücksichtigt werden. Eine nachträgliche Implementierung von Cyber Security-Maßnahmen ist meist kostenintensiv und dürfte zudem den sich abzeichnenden stetig aggressiveren, ausgefeilteren Cyber-Angriffen nicht gerecht werden. Auch müssen sich Unternehmen frühzeitig darüber Gedanken machen, wie sie nach einem Sicherheitsvorfall adäquat mit Cyber-Angriffen und deren Auswirkungen umgehen wollen – vor allem im Hinblick auf die Kommunikation mit internen und externen Stakeholdern. Angesichts der zunehmenden Digitalisierung dürften Cyber-Angriffe im Zeitalter von Industrie 4.0 zum Tagesgeschäft gehören.
Daher ist es künftig unumgänglich, Cyber Security als integralen Bestandteil des Produktes oder der Dienstleistung zu betrachten – von der ersten Idee an über den gesamten Produktlebenszyklus hinweg. Dies bedeutet auch ein verstärktes Zusammenspiel von Geräteherstellern, Maschinenintegratoren und Anlagenbetreibern. Denn nur wenn allen Beteiligten die jeweiligen spezifischen Anforderungen bekannt sind, können entsprechende Bedrohungen fundiert analysiert und Schutzziele ermittelt werden, um den Risiken adäquat zu begegnen. Ein solcher ganzheitlicher Risikomanagementansatz versetzt Unternehmen darüber hinaus in die Lage, übergreifende Schutzmaßnahmen zu ermitteln, zu bewerten und effizient umzusetzen.
Doch nicht nur im Zusammenhang mit der zunehmenden Digitalisierung von Industrieanlagen und deren Wertschöpfungsketten gewinnen Sicherheitsaspekte immer größere Bedeutung. Auch im Internet of Things (IoT) – der steigenden Vernetzung von Millionen intelligenter (Alltags-) Geräte und Sensoren – werden Cyber Security-Fragen relevant. Das Internet der Dinge macht den Alltag angenehmer, die neuen Möglichkeiten erstrecken sich auf alle Lebensbereiche. Damit ergeben sich aber zugleich unzählige Angriffsflächen.
Im privaten Umfeld etwa kommuniziert bereits heute der Fernseher oder Kühlschrank mit dem Lieferanten – zum Beispiel durch automatisierte Nachbestellungen. Die über das Internet offen zugänglichen Schnittstellen, teilweise unsichere Konfigurationen oder nicht ausreichende Sicherheitseinstellungen bei der Auslieferung lassen diese Geräte jedoch schnell zu lukrativen Angriffszielen werden. Und selbst eigentlich Harmloses birgt plötzlich Gefahren: Wer hätte je gedacht, dass die Bundesnetzagentur gegen spionagefähiges Kinderspielzeug vorgeht?
Unternehmen sollten die Bedeutung von Sicherheitsvorfällen nicht unterschätzen. Selbst kurze Ausfallzeiten im Produktionsumfeld können bereits hohe Schäden verursachen.
Industrie 4.0 erfordert unternehmensspezifische Sicherheitsstrategien
Umfängliche Schutzmaßnahmen sind also unumgänglich – ob im Internet of Things oder bei der Absicherung vernetzter Industrieanlagen. Patentrezepte gibt es dabei nicht: Cyber Security in der Industrie 4.0 kann nur individuell für jedes Unternehmen umgesetzt werden, entsprechend der jeweiligen Anforderungen.
Mit unternehmensspezifischen, bedarfsgerechten Sicherheitskonzepten, die zudem bewährte Industriestandards wie etwa die Normenreihe IEC 62443 berücksichtigen, lassen sich auch vernetzte Industrieumgebungen schützen, die bislang aus autarken Steuerungs- und Automatisierungsanlagen bestanden. Dass dies nötig ist, beweisen die immer gezielteren Angriffe mit ausgeklügelter Schadsoftware, die auf bestimmte Anlagen und Steuerungen zugeschnitten ist. Auch infolge der zunehmenden Vernetzung von IT und OT (Operational IT) im Internet der Dinge steigen die Herausforderungen in puncto Cyber Security. Dabei stellt bereits heute der Netzübergang zwischen der Office-IT und dem Produktionsnetzwerk ein erhebliches Einfallstor für Cyberkriminelle dar. So können beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Künftig dürften die immer professionelleren Angriffsmethoden hier für noch mehr Gefährdungspotenziale sorgen.
Unternehmen sollten die Bedeutung von Sicherheitsvorfällen nicht unterschätzen. Selbst kurze Ausfallzeiten im Produktionsumfeld können bereits hohe Schäden verursachen – von zerstörten Anlagen ganz abgesehen. Um solchen Bedrohungen effizient entgegenzuwirken, empfiehlt sich der Einsatz einer gestaffelten Verteidigung (Defense-in-Depth) zur Steigerung der Robustheit. Die Basis hierfür liefert das sogenannte Zonenmodel, das schutzbedürftige Güter (Assets) entsprechend ihrer Kritikalität in verschiedene Sicherheitszonen unterteilt. Die zonenübergreifende Kommunikation erfolgt dabei ausschließlich über sichere, geschützte und definierte Kanäle. Informationen können dabei je nach Zone uni- oder bidirektional ausgetauscht werden. Auf Basis der mittels des Zonenmodells gewonnenen Ergebnisse können weitere Sicherheitsmaßnahmen und -prozesse (zum Beispiel Schwachstellenmanagement, Incident Management) definiert und umgesetzt werden.
KPMG unterstützt bei der Entwicklung effizienter Sicherheitskonzepte
Im Rahmen des Cyber Security-Ansatzes von KPMG begleiten wir unsere Kunden ganzheitlich von der IoT-Konzeption bis hin zur -Implementierung. Dabei berücksichtigen wir sowohl die erforderlichen organisatorischen als auch die prozessualen und technischen Aspekte. Unsere Cyber Security-Dienstleistungen sind integraler Bestandteil unserer umfassenden Industrie 4.0-Expertise. So führen wir zum Beispiel Potenzialbestimmungen und Benchmark-Vergleiche durch oder unterstützen bei der Identifizierung und Bewertung von Anwendungsfällen oder neuen Geschäftsmodellen. Aufgrund unseres multidisziplinären Ansatzes können wir sowohl bei technologischen, rechtlichen* und steuerlichen als auch bei Compliance- und Cyber Security-Fragestellungen kompetent zur Seite stehen.
* Die Rechtsdienstleistungen werden durch die KPMG Rechtsanwaltsgesellschaft mbH erbracht.
Thomas Gronenwald
ist Prokurist und Senior Manager bei der KPMG AG Wirtschaftsprüfungsgesellschaft im Bereich Cyber Security. Seine Kernthemen sind insbesondere Industrial Cyber Security, Industrie 4.0- und IoT-Security. Thomas Gronenwald ist Autor diverser Fachpublikationen zum Thema Industrial Cyber Security und häufig Referent zu diesem Schwerpunkt.
Dieser Beitrag ist Teil der aktuellen Ausgabe des Handelsblatt Journals „Industrie 4.0“, das Sie hier erhalten können
