Industrie 4.0: Kenne deine Kronjuwelen

Kenne deine Kronjuwelen

Wie sich Unternehmen gegen Angriffe auf vernetzte Fabriken schützen können

Keyfacts über Industrie 4.0

  • IoT und Industrie 4.0 sorgen für Euphorie
  • Risiken werden dabei gerne übersehen
  • Vernetzung bietet Kriminellen neue Chancen
Zusammenfassung lesen

Aktuell fließt mehr Geld als je zuvor in das Thema Industrie 4.0. Hinter dem Begriff steht die Vision einer selbstorganisierten Produktion, in der Maschinen, Logistik und Produkte direkt miteinander kommunizieren und diese Vernetzung für eine Optimierung der gesamten Wertschöpfungskette sorgt.

Mit den damit verbundenen Chancen befassen sich die Unternehmen nachvollziehbarer Weise lieber als mit den Risiken. Dabei kann Sorglosigkeit bei diesem Thema für Unternehmen sehr gefährlich werden.

Wer eine Vorstellung davon bekommen möchte, warum es nicht ausschließlich lebenserleichternd ist, wenn alles mit allem kommunizieren kann, sollte sich zunächst mit dem Internet der Dinge (IoT), also der umfassenden Vernetzung von smarten Alltagsgeräten auseinander setzen.

Ransomware kann Heizungsthermometer kapern

Es geht dabei um intelligente Kühlschränke, die selbständig ihren Inhalt checken und Fehlendes via Internet nachbestellen. Oder um Laufschuhe, die Schrittfrequenz und Geschwindigkeit messen und das Trainingsprogramm anschließend individuell anpassen, auf Wunsch in Abstimmung mit anderen Laufpartnern.
Die Aufzählung ließe sich unendlich fortsetzen, der Fantasie (und den technischen Möglichkeiten) sind hier tatsächlich keine Grenzen gesetzt.

Leider gilt das auch für die Risiken: Auf einer Sicherheitskonferenz haben Hacker gezeigt, wie leicht sich via Ransomware ein per Internet ferngesteuertes Heizungsthermostat kapern lässt. Eine Ansage wie: „Entweder du bezahlst 500 Euro, oder deine Heizung bleibt kalt“ kann im Winter recht wirkungsvoll sein.

Abgesehen von einem solchen Erpressungsszenario birgt die Vernetzung immer auch die Gefahr des Ausspioniertwerdens.

Das Internet der Dinge erleichtert uns zwar das Leben, aber viele der Anwendungen haben erhebliche Sicherheitslücken. Denn Sicherheit kostet Geld und Zeit, deshalb fällt dieser Aspekt oft hinten runter, wenn ein Produkt so schnell wie möglich auf den Markt gebracht werden soll.

Cyberkriminellen eröffnet sich durch diese Schwäche und dadurch, dass der Markt insgesamt rasant wächst, eine unendliche Fülle von Möglichkeiten.

Das gilt im gleichen Maße für Industrie 4.0. Mit Denial-of-Service-Attacken oder Botnetzen können hier Täter Daten stehlen, Prozesse stören oder das Unternehmen erpressen.

Potentielle Einfallstore für Angriffe sind ebenso interne Schnittstellen, also etwa der Übergang von traditionellen Unternehmensanwendungen zur digitalen Produktionssteuerung. Denn während wir die etablierten Prozesse mittlerweile gut gegen Angriffe abgesichert haben, stellen die neuen Anforderungen der Digitalisierung, Unternehmen vor immense Herausforderungen.

Um den Gefahren zu begegnen, müssen Unternehmen, die vernetzt produzieren wollen, Security von Beginn an als immanenten Teil des Entwicklungsprozesses begreifen. Größte Herausforderung dabei ist das Zusammenspiel zwischen Geräteherstellern, Maschinenintegratoren und Anlagenbetreibern: Jeder der Beteiligten muss für seinen Bereich klar definierte Anforderungen nicht nur erfüllen, sondern diese auch an die anderen Partner zurückspielen.

Wichtig dabei: In der Pflicht ist dabei ebenso der Betreiber eine Anlage, er muss diese Anforderungen in seinen Dienstleistungs- und Serviceverträgen festschreiben.

Interessanterweise sorgt hier jene Vorgehensweise für größtmögliche Sicherheit, die auf den ersten Blick dem Geist der Digitalisierung, also der grenzenlosen Verbindung von allem mit allem, widerspricht.
Denn das „Zonenmodell“ zerteilt komplexe Produktionsprozesse in einzelne Segmente, damit im Falle eines Angriffs nur exakt dieses Segment und nicht die gesamte Prozesskette betroffen ist.

Entscheidend ist, seine Kronjuwelen zu kennen

Von zentraler Bedeutung für Unternehmen ist es dabei, seine „Kronjuwelen“ zu kennen. Denn niemand kann und will es sich leisten, sämtliche Teile der Produktion und sämtliche Prozesse mit der höchsten Sicherheitsstufe zu schützen.

Deshalb hilft KPMG bei solchen Projekten im ersten Schritt dabei, diese Kronjuwelen, also die wichtigsten Assets, zu definieren.

Im zweiten wird dann eine maßgeschneiderte Security-Roadmap mit entsprechenden Meilensteinen erstellt, die gemeinsam mit einem Security Readiness Assessment die Produktentwicklung begleitet.

Das funktioniert natürlich nur individuell. Standardlösungen kann es nicht geben, weil ein Gabelstaplerproduzent zum Beispiel zwangsläufig ganz andere Anforderungen hat als der Hersteller von smarten Babyphons.

Wichtig ist, dass Unternehmen Cyber Security nicht als Kostenthema sondern als Wertschöpfungsfaktor betrachten. Denn an diesem Punkt zu sparen, wird am Ende immer teurer. Außerdem liegt langfristig ein großer Wettbewerbsvorteil darin, dieses komplexe Thema frühzeitig und systematisch in den Griff zu bekommen.

08. Mai 2017
Zusammengefasst

»Unternehmensspezifische Sicherheitsstrategien sind notwendig um den individuellen Cyber-Risiken entgegenzuwirken. «

Industrie 4.0 ist aktuell für viele Unternehmen eines der wesentlichen Hype-Themen. Dabei geraten die mit der Vernetzung zwangsläufig verbundenen Gefahren allzu leicht aus dem Blickfeld. Damit das nicht geschieht, müssen Unternehmen diesen Aspekt schon bei der Produktentwicklung berücksichtigen. KPMG unterstützt sie dabei mithilfe eines strukturierten, aber zugleich sehr individuellen Prozesses.

Marko Vogel Director, Security Consulting
Ganzen Artikel lesen

Kommentare

Warum gelingt es dem Hype um Industrie 4.0 so sehr, Sicherheitsaspekte zu überdecken?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen