Interview mit Prof. Dr. Claudia Eckert

Internet der Dinge und Industrie 4.0 benötigen mehr IT-Security

Das Internet der Dinge und Industrie 4.0 stehen mehr und mehr im Fokus von Cyberkriminellen und Wirtschaftsspionen. Bereits heute können Cyberattacken Fließbänder zum Stillstand bringen und Datendiebe wertvollstes Industrie Know-how abzapfen. Welche Risiken drohen, weiß Prof. Dr. Claudia Eckert, Leiterin des Fachgebiets „Sicherheit in der Informatik“ an der Technischen Universität München sowie Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit.

Beim Internet der Dinge und Industrie 4.0 sind sich IT-Security-Fachleute sehr einig und attestieren unisono massiven Investitionsbedarf. Warum aber bedarf es dabei besonderer Sicherheitsmechanismen?

Daten sind der Kernbestand dieser Entwicklung und sie steuern diese. Und um überhaupt Services in diesen Szenarien erbringen zu können, sind sie die Grundvoraussetzung. Kurz und gut: Daten sind die Währung der beiden Phänomene und deshalb muss man sie vor Manipulation schützen und gleichzeitig, falls erforderlich, ihre Vertraulichkeit gewährleisten. Beziehungsweise man muss gewährleisten, dass keine unberechtigte Weitergabe der Daten erfolgt, also das Durchsickern von Informationen verhindern. Tut man das nicht, dann wackelt die Grundfeste der gesamten Digitalisierung.

Warum ist die Gefahr denn so groß?

Nehmen sie beispielsweise Produktionsanlagen: Das sind derzeit noch weitestgehend „Closed Shops“. Um das Internet der Dinge und Industrie 4.0  jedoch erfolgreich etablieren zu können, muss man diese Umgebungen stärker öffnen, um beispielsweise über Netzzugänge Fernwartungen zu ermöglichen oder um Produktions-IT mit der Business IT vernetzen, um Logistikprozesse effizienter zu gestalten. Und das nicht nur zur Bedienung der dann mehr vernetzten Maschinen, sondern auch deshalb, weil sie viel intensiver in die Wertschöpfung miteingebunden sein werden. Nicht mehr nur die reine Produktion, sondern auch Logistik und Wartung werden dann Zugriff bekommen. Und da gerade in Deutschland in diesen Produktionsanlagen viel Know-how steckt, bestehen selbstverständlich berechtigte Sorgen, dass dieses wertvolle Wissen verloren gehen könnte.

Wie sind Unternehmen auf diese Herausforderung eingestellt?

Sehr gut und sehr schlecht. In Großunternehmen gibt es bereits viel Aufmerksamkeit dem Thema gegenüber. Vielerorts wurden spezielle Teams gegründet, die Strategien entwickeln. Im Mittelstand ist das genaue Gegenteil der Fall. Es gibt dort kaum Ressourcen für das Thema, die eigene Produktion steht weiterhin einzig im Mittelpunkt. Man muss aber auch anerkennen, dass es eine schwierige Gemengelage aus Security, Compliance und Datenschutz ist, die Sicherheit in der Digitalisierung ausmacht. Fakt ist jedenfalls: Hier bestehen noch große Lücken …

… die von mittleren Unternehmen indes schnellstmöglich geschlossen werden sollten...?

Absolut, ja. Aber ohne Hilfe von außen werden diese Unternehmen das in den wenigsten Fällen alleine stemmen können. Pragmatisch müssen hier externe Berater Wege zu mehr Sicherheit aufzeigen. Basierend auf solidem Risikomanagement, muss hier eine stufenweise IT-Security der Digitalisierung Einzug halten. Langfristig wird aber kein Weg daran vorbeigehen, dass auch diese Unternehmen ihre eigene IT-Security-Kompetenz ausbauen und stärken. Sicherheit mit der Gießkanne ist dabei nicht zielführend, sondern es wird ein mehrstufiges Sicherheitsniveau benötigt, der jeweiligen Gefahrenlage angepasst. Denn nicht längst jeder Sensor und jede Maschine der Industrie 4.0 benötigt unbedingt High-Level-Security.

Können Sie konkrete Punkte nennen, an denen die Unternehmen demnach ansetzen müssen?

Gerne. Im Maschinenbau etwa existieren viele Eigenentwicklungen. Kleine Software-Programme, die Unternehmen beispielsweise zur Steuerung einsetzen. Hier müssen viele Entwickler noch lernen, dass IT-Sicherheit bereits bei der ersten Codezeile integriert sein muss. Auch das gesamte Feld Mobile Sicherheit braucht unsere maximale Aufmerksamkeit. Ein weiteres Beispiel wäre Produktpiraterie. Die Intelligenz vieler Maschinen liegt in ihrer Firmware, diese muss intensiver geschützt werden, sonst drohen uns Milliardenschäden.

Welcher Art? Wie schätzen Sie die tatsächliche Gefahrenlage ein?

Es gibt zwei Szenarien, „push“ und „pull“. „Pull“ derart, dass andere Nationen und Organisationen sprichwörtlich die eben von mir angesprochene Intelligenz aus unseren Produktionsanlagen „herausziehen“. Und eines ist klar: Diese Intelligenz steigt täglich, denn in dem Ausmaß, in dem die Maschinen smarter werden, werden sie auch immer wertvoller. „Push“ in der Hinsicht, dass etwa Schadcode in die Industrieanlagen eingeschleust wird. Bereits eine minimale Fehleinstellung von 0,5 Millimetern kann eine gesamte Produktionsanlage und ihre Abläufe schmerzhaft treffen. Oder man ändert die Taktung, eine Anlage läuft plötzlich heiß und ein Roboter tut Dinge, die er gar nicht tun sollte. Derartige Angriffe sind ein großes Risiko. Deshalb kommt auch dem Thema der vertrauenswürdigen, digitalen Identität von Komponenten, Sensoren, Diensten  in der Industrie 4.0 eine große Bedeutung zu.

Angenommen, diese Gefahrenlage ist erkannt, welche praktische Umsetzung folgt dann?

Wichtig ist seitens der Industrie eine Bestandsaufnahme in Form einer risikobasierten Analyse. Es gilt Checklisten zu erstellen: Was ist der zentrale Wertgegenstand unseres Unternehmens? Sind es Produktionsprozesse? Oder ist es etwa das patentierte Schmelzverfahren? Nach dieser Betrachtung muss man dann Sicherheit in den gesamten Zyklus des jeweiligen Wertgegenstandes implementiert werden. Wichtig ist auch die Erkenntnis, dass nicht jede Maschine geschützt und jeder Gegenstand vernetzt werden muss. Sicherheit im Internet der Dinge und in der Industrie 4.0 sollte soweit möglich proaktiv sein, aber auch so vorbereitet sein, dass beim Eintreten eines Schadensfalls reagiert und das Schadensausmaß begrenzt werden kann. .Benötigt werden gestaffelte undaufeinander abgestimmte Maßnahmen, der Prävention, Detektion und Reaktion. In diesen Szenarien muss Vorsorge getragen werden, dass mögliche Gefährdungen frühzeitig erkannt und rechtzeitig gebannt werden können, bevor womöglich irreparable Schäden auftreten. Und entsprechende Vorsorgemaßnahmen benötigen wir auch für Risiken, die wir heute noch gar nicht richtig auf dem Schirm haben …

… die da wären?

… beispielsweise Wearables und Sensoren. Diese werden in Zukunft ebenfalls enorm in ihrer Bedeutung steigen. In der Industrie 4.0 wird man überall von Sensoriken umgeben sein, die „sprechen“ können, also Daten ausgeben, aus denen wir dann die richtigen Schlüsse ziehen. Dieses „Sprechen“ darf aber nicht in ein „Ausplaudern“ ausarten. Es muss Vertraulichkeit, aber auch Manipulationsschutz hergestellt werden. Und – dies gewährleistet durch entsprechende Berechtigungskonzepte – erst wer sich zweifelsfrei identifizieren kann, darf dann Zugriff auf die Daten haben. Auch wenn es Milliarden dieser Informationsträger geben wird, diese Sicherheit müssen wir gewährleisten, sonst wird die Digitalisierung in diesem Bereich scheitern.