Wie groß das Risiko eines Cyber-Angriffs auf Produktionsprozesse ist und wie wirksam getroffene Schutzmaßnahmen bereits sind, beschreibt ein neues Whitepaper des Fraunhofer-Instituts für Produktionstechnologie IPT aus Aachen. Hintergrund ist die zunehmende Digitalisierung von Produktionsprozessen, die einerseits ein enormes Wertschöpfungspotenzial birgt, gleichzeitig jedoch auch das Risiko von Cyber-Kriminalität. Und bei Schutzmaßnahmen gegen dieses Risiko gibt es bei vielen Unternehmen noch Nachholbedarf.
In einer weitgehend vernetzten Produktion sind Maschinen und Anlagen sowie Netzwerk- und Computertechnik verschiedener Generationen in einer gemeinsamen IT-Umgebung miteinander verknüpft. Während es für die gängigen Betriebssysteme in der Unternehmens-IT regelmäßige Sicherheitsupdates gibt, so das Fraunhofer IPT, bleiben Maschinen in der Regel mehrere Jahrzehnte weitgehend unverändert im Einsatz und werden dadurch leicht angreifbar. Nicht selten sitze zudem eine Gefahrenquelle vor der Tastatur. Als Folge könnten Schadsoftware, Exploitkits und Insider-Angriffe das gesamte Unternehmensnetzwerk bedrohen.
Doch nicht nur die eigene Organisation macht produzierenden Unternehmen aus Sicht des Fraunhofer IPT das Leben schwer, sondern auch das Verhalten der Maschinenhersteller: Im Gegensatz zu PC-Komponenten, die einem aktiven Patch-Management unterliegen, gebe es von Anbietern für SPS-Steuerungen in der Regel keine aktiven Sicherheitsupdates und auch keine Kommunikation dazu, wie Maschinen und Anlagen im Netzwerk zu überwachen sind. Der eigene Maschinenpark werde so für Unternehmen zur Blackbox, auf deren Sicherheit und Integrität blind vertraut werden müsse. Begünstigt werde dieser Mangel dadurch, dass es keine einheitlichen Normen und Gesetze für die IT-Sicherheit von Produktionsanlagen gebe – Nachholbedarf besteht damit auch seitens der Politik.
Production Security Readiness Check
Für die Untersuchung hat das Forschungsteam des Fraunhofer IPT den Production Security Readiness Check (PSRC) entwickelt. Den Test stellt das Institut nun auch weiteren Unternehmen zur Verfügung, die nicht an der Untersuchung teilgenommen haben. Er besteht aus neun Teilgebieten, die jene Themen abbilden, die für einen ganzheitlichen Sicherheitsansatz betrachtet werden müssen. Dabei konzentriert sich der PSRC auf die Einführung und das Management von Methoden zur Sicherung der Unternehmens-IT, der Betriebstechnik und der Umgebungen, in denen beide eingesetzt werden. Wissenschaftlicher Ansprechpartner ist Wirtschaftsingenieur Thomas Vollmer. Der Abteilungsleiter Produktionsqualität am Fraunhofer IPT gehört zu den Autoren des Whitepapers „Cybersecurity in der vernetzten Produktion“.
— Ein Kommentar —