Cyberangriffe gefährden die vernetzte Produktion

Cyberangriffe sind eine große Gefahr für die vernetzte Produktion, doch die wenigsten Unternehmen sind darauf vorbereitet.

Egal ob Spritzgießmaschine, Extrusionsanlage, Automatisierungssystem oder Fräsmaschine für den Werkzeug- und Formenbau – die Mehrzahl der Produktionsanlagen der Kunststoffindustrie ist heute in einer gemeinsamen IT-Umgebung mit Computern und Netzwerktechnik vernetzt und damit potenziellen Cyberangriffen ausgesetzt.

Doch während es für die gängigen Betriebssysteme in der Unternehmens-IT regelmäßige Sicherheitsupdates gibt, bleiben Produktionsmaschinen in der Regel mehrere Jahrzehnte weitgehend unverändert im Einsatz und werden dadurch leicht angreifbar.

Wie eine Untersuchung des Fraunhofer-Instituts für Produktionstechnologie IPT mit 28 Unternehmen verschiedener Industriezweige und Größe zeigt, ist kaum ein Unternehmen ausreichend auf die Bedrohung vorbereitet. Kein einziges der untersuchten Unternehmen erfüllte alle Anforderungen der Cybersecurity.

Doch während knapp der Hälfte der Unternehmen mit mehr als 250 Mitarbeitenden zumindest eine teilweise Umsetzung der notwendigen Maßnahmen zur Cybersecurity bescheinigt werden kann, erreicht die Mehrheit der kleinen und mittleren Unternehmen nicht einmal diese Marke.

Nach Untersuchungen der Aachener Forscher gehen die Unternehmen sehr unterschiedlich mit dieser Bedrohungslage um. Während große Unternehmen eigens Experten für IT-Sicherheit einstellen können, fällt diese Aufgabe in kleinen Unternehmen bestenfalls dem IT-Support zu.

Doch nicht nur die eigene Organisation, sondern auch das Verhalten der Maschinenhersteller macht produzierenden Unternehmen nach Überzeugung des IPT das Leben schwer: Während PC-Komponenten einem aktiven Patch-Management unterliegen, liefern die Anbieter für SPS-Steuerungen in der Regel keine aktiven Sicherheitsupdates und kommunizieren auch nicht, wie Maschinen und Anlagen im Netzwerk zu überwachen sind.

Der eigene Maschinenpark wird so für Unternehmen zur Blackbox, auf deren Sicherheit und Integrität blind vertraut werden muss. Begünstigt wird dieser Mangel dadurch, dass es keine einheitlichen Normen und Gesetze für die IT-Sicherheit von Produktionsanlagen gibt.

Damit die Unternehmen ermitteln können, wie sicher ihre Produktion ist, hat das IPT den Production Security Readiness Check – PSRC – entwickelt. Mit einem intuitiv nutzbaren Fragebogen und eines begleitenden Interviews sollen damit auch kleine und mittlere produzierende Unternehmen ihr aktuelles Sicherheitsniveau besser einschätzen und Verbesserungen erkennen und umsetzen können.

Der Test kann von produzierenden Unternehmen jeder Branche, Struktur und Größe genutzt werden. Er besteht aus neun Teilgebieten, die jene Themen abbilden, die für einen ganzheitlichen Sicherheitsansatz betrachtet werden müssen. Dabei konzentriert sich der PSRC auf die Einführung und das Management von Methoden zur Sicherung der Unternehmens-IT, der Betriebstechnik und der Umgebungen, in denen beide eingesetzt werden.

Die Ergebnisse ihrer Untersuchung haben die Aachener Forscher zudem in ihrem Whitepaper »Cybersecurity in der vernetzten Produktion« zusammengefasst.

gk