„Unsere Produktion läuft nach einem Hacker-Angriff wieder normal“

„Unsere Produktion läuft nach einem Hacker-Angriff wieder normal“ – Wer möchte diesen Satz seinen Kunden und Lieferanten sagen müssen?

Niemand!

wieder gibt es diese Schlagzeile in den Nachrichten. Damit dies nicht passiert, haben viele Produktionsunternehmen sich mit der IT-Sicherheit Ihres Unternehmens auseinandergesetzt und Lösungen umgesetzt, auch wenn es jedem bewusst ist das eine 100 % ige Sicherheit aufgrund der Komplexität und Schnelllebigkeit dieses Bereichs nie erzielt werden kann.

Und doch: Die Hürde, Mitarbeiter, Verwaltungs-IT und die Vernetzung mit neuen und alten Produktionsanlagen mit einem erfolgreichen Sicherheitskonzept effizient zu schützen, scheint für viele Unternehmen fast unüberwindbar zu sein. Dabei ist der Weg zu einem professionellen IT-Sicherheitsmanagement viel weniger steinig als angenommen!

Es muss nur ein Stein nach dem anderen gelegt werden: So müssen die Bereiche Technik, Organisatorisches und Mensch/Mitarbeiter bezogen auf die IT-Sicherheit analysiert und die Ergebnisse dieser Analyse konsequent Steinchen für Steinchen umgesetzt werden.

Dabei steht in der Regel die Technik im Vordergrund, auch in meiner Auflistung; das ist aber nicht notwendigerweise auch die Reihenfolge, in der die Steine gesetzt werden müssen. Viel wichtiger ist es, Ihre individuelle Ist-Situation festzustellen und dann die für Sie wichtigsten Maßnahmen – also diejenigen, die für Sie in Ihrer aktuellen Situation den größten Hebel haben – konsequent zu priorisieren und umzusetzen. Sonst verzetteln Sie sich schnell.

So kann ein Unternehmen erkannt haben, dass die Vernetzung von Maschinen und der Einbruch über Fernwartungszugänge als besonders unsicher erkannt worden sind und dieses Thema dadurch eine hohe Priorität erhält. In einem anderen Fall kann menschliches Fehlverhalten oder sogar die Sabotage von Daten durch Mitarbeiter als größtes Risiko erkannt worden sein und hier die höhere Priorität gesetzt werden. Oder es ist eine organisatorische Frage: Es gibt kein 'need to know' Konzept – also wer muss überhaupt Zugriff auf bestimmte Daten haben und warum?

Last but not least kann es sein, dass die Priorität auf einer Mischung von prozessualen und technischen Anforderungen liegen kann. Zum Beispiel wenn der Einkauf die Produktionsanlagen unter dem Aspekt der IT-Sicherheit nicht ausreichend bewertet. So sollte nicht nur der Kaufpreis einer Anlage betrachtet werden, sondern der Hersteller einer Anlage muss auch sicherstellen, dass das Betriebssystem der Maschinensteuerung regelmäßig ein Update erhält und dass möglichst auch für die Laufzeit der Anlage. Tatsächlich finden sich auch heute noch regelmäßig Maschinensteuerungen die mit Windows 7 oder mit MS-DOS arbeiten – also mit Betriebssystemen, die schon lange keine Sicherheits-Updates mehr erfahren und somit auch beträchtliche Sicherheitslücken aufweisen. Solange die Produktion nicht an das Internet angebunden ist, stellt das oftmals keine Gefahr dar – aber mit der zunehmenden Vernetzung ändert sich das. Vor allem dort, wo Maschinen und Anlagen für den Fernzugriff mit Herstellern und Wartungstechnikern vernetzt sind, entstehen hohe Sicherheitsrisiken.

Durch die Entwicklungen die mit den Schlagwörtern digitale Transformation, ioT und Industrie 4.0 sind die Steine nicht weniger geworden, um sich vor Angriffen und Ausfällen schützen zu können, aber wenn Sie die IT-Sicherheits-Steine richtig setzen, dann werden Sie wahrscheinlich nicht sagen müssen: „Die Produktion läuft nach Hacker-Angriff wieder normal“.

Ihr Thomas Schubert, 

Verstriebsleitung R.iT GmbH