Wie sicher ist die Industrie 4.0?
18. Mai 2016
Vor 25 Jahren waren Computer in deutschen Büros entweder gar nicht vernetzt oder nur innerhalb der Firma. Heute ist ein Computer ohne Internetzugang kaum noch vorstellbar. Im Zuge der Vernetzung gewann die IT-Sicherheit an Bedeutung - Virenscanner, Nutzungsrechte und Passwörter sind heute überall Standard.
Diese Entwicklung steht noch am Anfang bei dem, was Industrie 4.0 genannt wird: Maschinen, die miteinander kommunizieren, etwa um je nach Auftrag die Werkzeuge zu wechseln oder Informationen für die nächste Wartung mitzuteilen.
Geschieht das global, also über das Internet, stellen sich die gleichen Sicherheitsfragen wie beim Computer. "Aber sie finden keinen Virenscanner für eine Maschine, so etwas gibt es einfach noch nicht", sagt Gordon Mühl, Deutschland-Chef der indischen IT-Firma Infosys und dort auch als Vizepräsident für Industrie 4.0 zuständig.
Im Gegensatz zu Bürocomputern, die alle paar Jahre durch neue ersetzt werden, sind Industrieanlagen oder Roboter sehr viel länger im Einsatz. Entsprechend veraltet sind die sogenannten Bus-Systeme, mit denen die Maschinen Daten übermitteln. "Die existierenden Bus-Systeme sind teilweise 20 Jahre oder älter", so Mühl. "Bei ihrer Entwicklung wurde nicht an das Internet gedacht und daran, dass man auch Maßnahmen zur Datensicherheit braucht."
Viele Industrieanlagen und Roboter basierten noch auf Windows 2000, sagt Hans-Peter Bauer, Vizepräsident von Intel Security, einem Anbieter von IT-Sicherheit. "Dieses Betriebssystem wird von Windows seit über zehn Jahren nicht mehr gewartet. Wir müssen dann spezielle Software schreiben, um diese Systeme zu schützen."
Sicherheitslücken überall
Für Firmenbetreiber ist das ein Dilemma. Auf der einen Seite locken Produktivitätszuwächse durch weltweit vernetzte Maschinen und Mitarbeiter. Auf der anderen Seite drohen Sicherheitslücken, durch die Viren, Datendiebe oder Saboteure eindringen können - und natürlich beträchtliche Kosten, um diese Lücken zu stopfen.
Zwei Drittel aller Industrieunternehmen in Deutschland wurden im vergangenen Jahr Opfer von Datendiebstahl, Wirtschaftsspionage und Sabotage, so eine repräsentative Umfrage, die der IT-Branchenverband Bitkom im April veröffentlicht hat.
Wettbewerber waren demnach für 16 Prozent der Fälle verantwortlich, organisierte Banden für 14 Prozent und ausländische Geheimdienste für sechs Prozent. Die größte Gefähr gehe aber von den eigenen Mitarbeitern aus, so die Studie. In 65 Prozent der Fälle waren aktuelle oder ehemalige Beschäftigte verantwortlich.
Schwachstelle Mensch
Oft geschieht das ohne böse Absicht. Es reicht schon, wenn Mitarbeiter ein Handy im Taxi vergessen, auf dem wichtige Passwörter gespeichert sind. Oder wenn sie sich im Kontrollraum einer Industrieanlage Pornos auf dem Rechner anschauen. "Pornoseiten sind die größte Quelle von Schadsoftware", sagt Alexey Polyakov vom russischen IT-Sicherheitsdienstleister Kapersky Lab.
Unternehmen seien daher gut beraten, in Sicherheitsfragen den Menschen nicht aus den Augen zu verlieren. "Menschen sind eine Gefahrenquelle für jedes Netzwerk", so Polyakov. "Nicht nur die eigenen Angestellten, sondern auch externe Mitarbeiter - der Vertrieb, die Subunternehmer, die Wartungsfirma für Hard- und Software."
Selbst bei gezielten Angriffen, bei denen es um den Diebstahl von Geschäftsgeheimnissen oder um Sabotage geht, sei der Mensch oft eine größere Schwachstelle als die Technik, sagt Gordon Mühl von Infosys. "Deshalb ist es ganz wichtig, dass Unternehmen ihre Mitarbeiter schulen und darüber aufklären, was sie wem weitergeben dürfen."
Gerade hier gibt es laut Bitkom-Studie großen Nachholbedarf, nur jedes vierte Industrieunternehmen bilde seine Mitarbeiter entsprechend weiter. Die Schäden sind enorm. "Es sind Entwicklungsdaten deutscher Autobauer in China aufgetaucht", sagt Hans-Peter Bauer von Intel Security, "die hatten den Wert von ein paar hundert Ingenieur-Mann-Jahren." Der Branchenverband Bitkom schätzt den Schaden durch IT-Sicherheitsmängel allein für die deutsche Industrie auf jährlich 22 Milliarden Euro.
Harter Wettbewerb
Die Risiken zu begrenzen, bleibt auf absehbare Zeit eine enorme Herausforderung. Zusätzlich kompliziert wird die Lage durch die zunehmende Auslagerung von Anwendungen und Daten in eine Cloud und die wachsende Bedeutung mobiler Anwendungen, damit Mitarbeiter per Handy oder Tablet arbeiten können.
Angesichts des Flickenteppichs unterschiedlicher Plattformen, Geräte und Betriebssysteme werben IT-Firmen zunehmend mit "integrierten Lösungen". Wenn die Sicherheitssoftware aus einer Hand kommt und sämtliche Geräte - vom Firmenhandy über den Bürorechner bis zur Industrieanlage - in ein zusammenhängendes Konzepts einbindet, so ihr Argument, seien Gefahren und auch Kosten geringer.
Um das leisten zu können, brauchen IT-Firmen aber eine gewisse Größe. Der Verdrängungswettbewerb in der Branche wird deshalb wahrscheinlich härter werden. Hans-Peter Bauer von Intel Security erwartet, dass von den rund 100 Anbietern von Sicherheitslösungen nur ein Bruchteil überleben wird. Bauers Arbeitgeber entstand, nachdem der US-Chiphersteller Intel 2010 den Antivirus-Spezialisten McAfee für fast acht Milliarden Dollar übernahm.
"Ich gehe davon aus," sagt Bauer, "dass dieser Trend weitergeht." Die Branche für IT-Sicherheit werde sich möglicherweise ähnlich entwickeln wie die für Unternehmenssoftware. Früher habe es dort zahlreiche Wettbewerber gegeben, sagt Hans-Peter Bauer. "Heute gibt es nur noch zwei namhafte Anbieter: Oracle und SAP."