© shutterstock
„Für die Unternehmen steht sehr viel auf dem Spiel. Unwissenheit und Sorglosigkeit können und dürfen wir uns angesichts dieser Bedrohungslage nicht leisten“, mahnt Wirtschaftsstaatssekretär Dr. Patrick Rapp bei der Konferenz „Cybersecurity in der Industrie“ am 6. Juli in Stuttgart. Dabei zieht er den passenden Vergleich, seine Worte seien wie die des Pfarrers in der Kirche, der stets diejenigen ermahnt, die seine Botschaft bereits kennen.
Rund 90 Teilnehmer der Veranstaltung diskutierten mit den Referierenden zum Thema. Viele der Anwesenden sind in diesem Bereich tätig und beschäftigen sich mit Maßnahmen, die vor Cyberangriffen schützen.
Der Staat handelt
Den Auftakt des Programms machte Staatssekretär Dr. Rapp und lobte das Ökosystem aus Wirtschaft, Staat und Forschung im Bereich der Cybersecurity. Nicht zuletzt die Cybersicherheitsstrategie Baden-Württemberg zielt auch auf eine starke Vernetzung der verschiedenen Akteure. Wie Staat und Unternehmen zusammenarbeiten, zeigten anschließend die Vorträge der Zentralen Ansprechstelle Cybercrime, und die des Landesamtes für Verfassungsschutz und des Bundesamtes für Verfassungsschutzes. Die Informationen, die Sicherheitsbehörden zur Verfügung stehen, können auch Unternehmen helfen, Angriffe besser zu erkennen und abzuwehren. Insbesondere Indicators of Compromise (IoC) sind hier zu nennen. Die Referenten empfahlen Unternehmen, sich nicht nur bei Vorfällen, sondern auch bei verdächtigen Ereignissen an die Behörden zu wenden, die mit ihrer Expertise beratend unterstützen können.
Neben dieser operativen Cyberabwehr existieren sowohl auf europäischer als auch auf nationaler Ebene umfangreiche Aktivitäten für strengere Regulierungen der Cybersicherheit von Unternehmen. Insbesondere mit der „NIS 2-Richtlinie“ kommen auf mittelständische Unternehmen aus dem Maschinenbau spürbare Auflagen zu. Der VDMA stellt dazu umfangreiches Informationsmaterial zur Verfügung.
Die Industrie schafft sichere Strukturen
In der Industrie bringt die IT-/OT-Konvergenz vielfältige Herausforderungen nicht nur für Betreiber von Maschinen und Anlagen mit sich, sondern auch für Hersteller einzelner Komponenten, wie Steuerungseinheiten oder Software, und für Integratoren, die diese Komponenten in Systeme einbauen.
Die Produktsicherheit spielt eine zunehmend wichtige Rolle. Produkte müssen so entwickelt sein, dass sie sicher betrieben werden können und sich in komplexen Systemen und Anlagen einbetten lassen. Die Fähigkeit zu Updates muss gegeben sein, um Sicherheitslücken schließen zu können. Gerade auf dem Shopfloor ist das ein häufiges Problem. Bei Einsatzzeiten von mehreren Jahrzehnten sind einzelne Komponenten eine ernste Gefahr für ganze Produktionsanlagen, wenn Schwachstellen nicht behoben werden können. In der IT sind solch lange Einsatzzeiten allerdings ungewöhnlich. Kommen PCs mit veralteten Betriebssystemen zur Steuerung von Industrieanlagen zum Einsatz, kann das zu ernsthaften Problemen führen. Sind Betriebssysteme nicht mehr updatefähig, weil der Support des Herstellers ausgelaufen ist, können Schwachstellen nicht mehr behoben werden, diese Komponenten müssen dann aufwändig vom Netzwerk isoliert werden.
Um zwischen Betreibern von Anlagen, Integratoren und Komponentenherstellern Prozesse zu etablieren, die jeweiligen Security-Maßnahmen vom Entwicklungsprozess über die Herstellung bis hin zum sicheren Betrieb transparent zu machen, gibt es im VDMA Aktivitäten, um den Unternehmen Handreichungen über solche Prozesse zur Verfügung zu stellen. Damit sollen die oben genannten Probleme künftig verhindert werden, indem schon im Entwicklungsprozess Security mitgedacht wird.
Für Bestandsanlagen können allerdings auch nachträglich Security-Maßnahmen ergriffen werden. Dieses Retrofitting stellten asvin GmbH und Kallfass Verpackungsmaschinen GmbH am Beispiel von Verpackungsmaschinen dar. Es wurden auf pragmatische Art und Weise Datendioden an Maschinen implementiert, mit deren Hilfe Zustandsdaten online ausgelesen werden können, ohne einen Angriffsvektor von außen zu öffnen.
Die Forschung blickt voraus
Die Anwesenden waren sich einig, dass sich hinsichtlich des Problembewusstseins und konkreten Handelns in den letzten Jahren einiges getan hat, insbesondere im produzierenden Gewerbe. Im Vortrag des Fraunhofer IOSB wurde dargestellt, welche weiteren technischen Maßnahmen möglich sind, um industrielle Anlagen abzusichern. Beispielsweise sei es noch nicht bei allen Herstellern möglich, Schwachstellen problemlos zu melden. Auch hier lohnt es sich für Hersteller Prozesse zu etablieren und zu verstetigen, um die Komponenten und Maschinen sicherer zu machen.
Jeden Tag ein bisschen sicherer
Die Veranstaltung brachte verschiedene Akteure und Perspektiven zusammen. Auch wenn die Bedrohungslage Sorgen bereitet, zeigt die fachliche Diskussion, dass in den letzten Jahren einiges passiert ist. Auf Seiten des Risko-Controllings entsteht Handlungsdruck innerhalb der Unternehmen. Von außen Sorgen aber auch zunehmend Kunden, Versicherer und Aufsichtsbehörden dafür, dass Cybersicherheit einen hohen Stellenwert gewinnt.
Autor: Lukas Schleicher
Weiterführende Links:
Cybersicherheit für Unternehmen – Ansprechpartner und Förderprogramme
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Leitfaden für Supply-Chain-Security
