Industrie 4.0: Kenne deine Kronjuwelen

Wie sich Unternehmen gegen Angriffe auf vernetzte Fabriken schützen können

Keyfacts

  • In der Euphorie um IoT und Industrie 4.0 werden Risiken gerne übersehen.
  • Die Vernetzung bietet Kriminellen neue Chancen.
  • Unternehmen sollten insbesondere ihre wichtigsten Assets definieren und schützen.
Marko Vogel
  • Partner, Cyber Security
Mehr über meine Themen Nachricht schreiben

Aktuell fließt mehr Geld als je zuvor in Industrie 4.0. Hinter dem Begriff steht die Vision einer selbstorganisierten Produktion, in der Maschinen, Logistik und Produkte direkt miteinander kommunizieren und diese Vernetzung die gesamte Wertschöpfungskette optimiert.

Mit den damit verbundenen Chancen befassen sich die Unternehmen nachvollziehbarerweise lieber als mit den Risiken. Dabei kann Sorglosigkeit bei diesem Thema für Unternehmen sehr gefährlich werden.

Ransomware kann Heizungsthermostat kapern

Wer eine Vorstellung davon bekommen möchte, warum es nicht ausschließlich lebenserleichternd ist, wenn alles mit allem kommunizieren kann, sollte sich zunächst mit dem Internet der Dinge (IoT), also der umfassenden Vernetzung von smarten Alltagsgeräten, auseinander setzen.

Es geht dabei um intelligente Kühlschränke, die selbständig ihren Inhalt checken und Fehlendes via Internet nachbestellen. Oder um Laufschuhe, die Schrittfrequenz und Geschwindigkeit messen und das Trainingsprogramm anschließend individuell anpassen, auf Wunsch in Abstimmung mit anderen Laufpartnern.

Die Aufzählung ließe sich unendlich fortsetzen, der Fantasie (und den technischen Möglichkeiten) sind hier tatsächlich fast keine Grenzen gesetzt. Leider gilt das auch für die Risiken: Auf einer Sicherheitskonferenz haben Hacker gezeigt, wie leicht sich via Ransomware ein per Internet ferngesteuertes Heizungsthermostat kapern lässt. Eine Ansage wie: „Entweder du bezahlst 500 Euro, oder deine Heizung bleibt kalt“ kann im Winter recht wirkungsvoll sein.

Tempo vor Sicherheit

Abgesehen von einem solchen Erpressungsszenario birgt die Vernetzung immer auch die Gefahr, ausspioniert zu werden.

Das Internet der Dinge erleichtert uns zwar das Leben, aber viele der Anwendungen haben erhebliche Sicherheitslücken. Denn Sicherheit kostet Geld und Zeit, deshalb fällt dieser Aspekt oft hinten runter, wenn ein Produkt so schnell wie möglich auf den Markt gebracht werden soll.

Cyberkriminellen eröffnet sich durch diese Schwäche und dadurch, dass der Markt insgesamt rasant wächst, eine unendliche Fülle von Möglichkeiten.

Das gilt im gleichen Maße für Industrie 4.0. Mit Denial-of-Service-Attacken oder Botnetzen können Täter hier Daten stehlen, Prozesse stören oder das Unternehmen erpressen.

Potentielle Einfallstore für Angriffe sind außerdem interne Schnittstellen, also etwa der Übergang von traditionellen Unternehmensanwendungen zur digitalen Produktionssteuerung. Denn während wir die etablierten Prozesse mittlerweile gut gegen Angriffe abgesichert haben, stellen die neuen Anforderungen der Digitalisierung, Unternehmen vor immense Herausforderungen.

Wie der Gefahr begegnen?

Unternehmen, die vernetzt produzieren wollen, sollten Security von Beginn an als immanenten Teil des Entwicklungsprozesses begreifen. Größte Herausforderung dabei ist das Zusammenspiel zwischen Geräteherstellern, Maschinenintegratoren und Anlagenbetreibern: Jeder der Beteiligten ist gefordert, für seinen Bereich klar definierte Anforderungen nicht nur zu erfüllen, sondern diese auch an die anderen Partner zurückzuspielen.

Wichtig dabei: In der Pflicht ist dabei ebenso der Betreiber einer Anlage – er hat diese Anforderungen in seinen Dienstleistungs- und Serviceverträgen festzuschreiben.

Interessanterweise sorgt hier jene Vorgehensweise für größtmögliche Sicherheit, die auf den ersten Blick dem Geist der Digitalisierung, also der grenzenlosen Verbindung von allem mit allem, widerspricht. Denn das „Zonenmodell“ zerteilt komplexe Produktionsprozesse in einzelne Segmente, damit im Falle eines Angriffs nur exakt dieses Segment und nicht die gesamte Prozesskette betroffen ist.

Entscheidend ist, seine „Kronjuwelen“ zu kennen

Von zentraler Bedeutung für Unternehmen ist es dabei, die wichtigsten Assets zu definieren. Niemand kann und will es sich leisten, sämtliche Teile der Produktion und sämtliche Prozesse mit der höchsten Sicherheitsstufe zu schützen.

Deshalb hilft KPMG bei solchen Projekten im ersten Schritt dabei, diese Kronjuwelen zu definieren. Im zweiten wird dann eine maßgeschneiderte Security-Roadmap mit entsprechenden Meilensteinen erstellt, die gemeinsam mit einem Security Readiness Assessment die Produktentwicklung begleitet.

Das funktioniert natürlich nur individuell. Standardlösungen kann es nicht geben, weil zum Beispiel ein Gabelstaplerproduzent zwangsläufig ganz andere Anforderungen hat als der Hersteller von smarten Babyphones.

Wichtig ist, dass Unternehmen Cyber Security nicht als Kostenthema, sondern als Wertschöpfungsfaktor betrachten. Denn an diesem Punkt zu sparen, wird am Ende immer teurer. Außerdem liegt langfristig ein großer Wettbewerbsvorteil darin, dieses komplexe Thema frühzeitig und systematisch in den Griff zu bekommen.

Marko Vogel
  • Partner, Cyber Security
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.