IT-Sicherheit in Industrie 4.0. Eine literaturgestützte Analyse des aktuellen Sicherheitsniveaus

Inhaltsverzeichnis

1 Einleitung
1.1 Ausgangssituation und Problemstellung
1.2 Ziel der Arbeit und Vorgehensweise

2 Industrie 4.0 und IT-Sicherheit – Theoretische Grundlagen
2.1 Industrie 4.0
2.1.1 Phänomen „Industrie 4.0“
2.1.2 Industrielle Revolution
2.1.3 Internet der Dinge
2.1.4 Cyber-Physische Systeme
2.1.5 Intelligente Fabrik
2.2 IT-Sicherheit
2.2.1 Grundlegende Begriffe
2.2.2 Schutzziele
2.2.3 Schwachstellen, Bedrohungen und Angriffe

3 IT-Sicherheit in Industrie 4.0

4 Analyse der IT-Sicherheit von Industrie 4.0
4.1 Bundesbehörden
4.1.1 Bundesamt für Sicherheit in der Informationstechnik
4.1.2 Bundesministerium für Wirtschaft und Energie
4.1.3 Bundesministerium für Bildung und Forschung
4.2 Fraunhofer Forschungseinrichtungen
4.2.1 Institut für Optronik, Systemtechnik und Bildauswertung
4.2.2 Institut für Sichere Informationstechnologie
4.2.3 Institut für Arbeitswirtschaft und Organisation
4.2.4 Institut für Produktionstechnik und Automatisierung
4.3 Industrieverbände
4.3.1 Bundesverband der Deutschen Industrie
4.3.2 Plattform Industrie 4.0
4.4 Übersichtliche Darstellung und Diskussion der Ergebnisse
4.4.1 Überblick – Bundesbehörden
4.4.2 Überblick – Fraunhofer Institut
4.4.3 Überblick – Industrieverbände

5 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1 Phasen der Reviewforschung

Abbildung 2 Die vier Stufen der industriellen Revolution

Abbildung 3 Gefährdungsfaktoren

Abbildung 4 Die Bremsklötze bei der Realisierung von Industrie 4.0 aus Unternehmenssicht

Abbildung 5 Überblick der Informationsquellen

Abbildung 6 Schützenswertes Wissen in Industrie 4.0

Abbildung 7 IT-Sicherheit in Industrie 4.0 - Bundesbehörden

Abbildung 8 IT-Sicherheit in Industrie 4.0 - Fraunhofer Institut

Abbildung 9 IT-Sicherheit in Industrie 4.0 – Industrieverbände

1 Einleitung

1.1 Ausgangssituation und Problemstellung

Unternehmen sind heutzutage einem starken Kostendruck, einer schwankende Nachfrage und dem Wunsch nach individualisierten Erzeugnissen ausgesetzt. Es stellt sich daher die Frage, wie diese Herausforderungen zu handhaben sind.

Die Studie „Erschließen der Potenziale der Anwendung von „Industrie 4.0“ im Mittelstand“ im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi) gibt Industrie 4.0 (vgl. Kapitel 2.1) als erforderliche Antwort der Wirtschaft an. Industrie 4.0 ermöglicht hier die Realisierung neuer Angebote und eine flexible und schnelle Anpassung an kundenspezifische Wünsche.^[1]

„Es wird in wenigen Jahrzehnten kaum mehr Industrieprodukte geben, in welche die Computer nicht hineingewoben sind.“^[2]

Bereits vor circa 50 Jahren prophezeite Karl Steinbuch die Verschmelzung der physischen und der virtuellen Welt. Aufgrund der fortschreitenden Technik finden immer mehr Technologien, wie z.B. Sensoren oder Aktoren, den Einzug in physische Objekte der Industrie. Die Vernetzung aller an der Wertschöpfung beteiligter Instanzen erlaubt die Verfügbarkeit relevanter Informationen in Echtzeit. Die Möglichkeit diese Informationen zu nutzen, um zu jeder Zeit den bestmöglichen Wertschöpfungsfluss zu bieten, stellt die nächste Stufe der industriellen Revolution dar. Die Industrie 4.0 wird höchstwahrscheinlich radikale Auswirkungen auf bestehende Geschäftsprozesse haben und damit völlig neuartige Geschäftsmodelle ermöglichen.^[3]

Die zunehmende Vernetzung in der Industrie führt jedoch auch zu einer erhöhten Anzahl an Cyberangriffen. Ein gutes Beispiel für die Ausmaße dieser Angriffe stellt die Deutsche Telekom dar. Das Telekommunikationsunternehmen muss täglich bis zu eine Millionen IT-Angriffe standhalten.^[4]

Viele weitere Herausforderungen und ungeklärte Aspekte sind vorhanden. Diese werden innerhalb dieser Arbeit vorgestellt und genauer untersucht. Zum einen fehlt ein Überblick der erforderlichen IT-Sicherheitsmaßnahmen für eine erfolgreiche Etablierung von Industrie 4.0 Technologien. Weiterhin wurden bestehende Industriesysteme weder für informationstechnische Nutzen entworfen, noch mit einem Fokus auf IT-Sicherheit entwickelt. Industriesysteme fokussieren sich auf Verfügbarkeit und physische Sicherheit (Safety).

IT-Systeme legen stattdessen den Fokus auf den Schutz vor Angreifern und Sabotage (Security). Das unterschiedliche Verständnis von Sicherheit resultiert in einer weiteren Herausforderung.

1.2 Ziel der Arbeit und Vorgehensweise

Das Ziel dieser Arbeit ist eine Übersicht des aktuellen Forschungstands zur IT-Sicherheit in Industrie 4.0. Zu den strategisch wichtigsten Anwendungsfeldern der Industrie 4.0 gehört neben der Fabrikation auch Mobilität, Gesundheit, Klima und Energie.^[5] Im Rahmen dieser Arbeit bezieht sich die Betrachtung der Auswirkung von Industrie 4.0 auf die Produktion in Deutschland. Zur Analyse des aktuellen Sicherheitsniveaus wird auf relevante Erkenntnisse wissenschaftlicher Literatur zurückgegriffen. Die Untersuchung soll zur Klärung der folgenden Forschungsfrage führen:

Welche Erkenntnisse gibt es aktuell zu IT-Sicherheit in Industrie 4.0?

Aus dieser Forschungsfrage ergeben sich verschiedene Detailfragen:

- Welche IT-Sicherheitsmaßnahmen müssen für die erfolgreiche Nutzung von Industrie 4.0 Technologien geschaffen bzw. welche müssen verändert werden?
- Welche Herausforderungen und Probleme entstehen für die IT-Sicherheit durch Industrie 4.0?
- Welche Risiken und Bedrohungen entstehen für die IT-Sicherheit durch Industrie 4.0 und welche Rolle spielen sie?

Zudem ist interessant, ob sämtliche zu einer Problem- und Fragestellung vorliegenden Arbeiten zu einem ähnlichen Ergebnis kommen oder ob es deutliche Unterschiede gibt. Ebenso wird untersucht, ob sich aus den vorliegenden Erkenntnissen zu Problemstellungen neue Forschungsaufgaben identifizieren lassen.

Die Literaturanalyse (engl. Review) wird in dieser Arbeit als Forschungsmethodik verwendet, um aktuell vorliegende Erkenntnisse methodisch zu erarbeiten. In Anlehnung an diese Methodik wurde im Rahmen dieser Arbeit eine solche Literaturanalyse zum Themenkomplex IT-Sicherheit in Industrie 4.0 durchgeführt. Die Forschungsmethode basiert auf folgenden fünf Phasen (vgl. Abbildung 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 Phasen der Reviewforschung^[6]

In der ersten Phase wird die Problemstellung verdeutlicht und die zu beantwortende Forschungsfrage ausformuliert. Dies wurde bereits im ersten Teil der Einleitung umgesetzt. Die zweite Phase befasst sich mit der Recherche nach geeigneter Literatur zur Beantwortung der Fragestellungen. Als Ausgangspunkt für die Literatursuche wurden zunächst die Suchbegriffe „Industrie 4.0“ und „vierte industrielle Revolution“ in Kombination mit dem Suchbegriff „IT-Sicherheit“ definiert. Um qualitativ hochwertige wissenschaftliche Veröffentlichungen zu erhalten, wurden diverse wissenschaftliche Literaturdatenbanken wie z.B. SpringerLink, IEEE Xplore, WISO oder Google Scholar verwendet. Die dritte Phase beinhaltet die Überprüfung der Literatur auf Relevanz sowie die Verarbeitung und Systematisierung der Literatur. Innerhalb dieser Phase werden irrelevante Quellen identifiziert und aussortiert. Dazu gehören beispielsweise Quellen, die das Thema IT-Sicherheit nur oberflächlich behandeln. In der vierten Phase werden die bisherigen Ergebnisse in Bezug auf die formulierten Problem- und Fragestellungen untersucht. Innerhalb der letzten Phase werden die Untersuchungsergebnisse aufbereitet und übersichtlich dargestellt.

2 Industrie 4.0 und IT-Sicherheit – Theoretische Grundlagen

In Kapitel 1 wurde dargelegt, vor welchen Herausforderungen die Industrie heutzutage steht. Durch den Beginn der vierten industriellen Revolution sollen diese Herausforderungen bewältigt werden. Als Basis und Voraussetzung zur Beantwortung der Forschungsfragen werden in Kapitel 2.1 und 2.2 jeweils theoretische Grundlagen von Industrie 4.0 und IT-Sicherheit dargestellt. Diese werden zunächst unabhängig voneinander betrachtet, um ein grundlegendes Verständnis zu schaffen.

2.1 Industrie 4.0

In der Einleitung wurde die Idee von Industrie 4.0 bereits grob dargelegt. In diesem Kapitel wird die Bezeichnung genauer untersucht. Als erstes wird der Begriff „Industrie 4.0“ definiert und näher erläutert. In Kapitel 2.1.2 werden die einzelnen Stufen der industriellen Revolutionen aufgezeigt. Anschließend werden die technologischen Grundlagen von Industrie 4.0 behandelt (Kapitel 2.1.3 und 2.1.4). Kapitel 2.1.5 beinhaltet das Ziel der Industrie 4.0, die „intelligente Fabrik“.

2.1.1 Phänomen „Industrie 4.0“

Die Bezeichnung „Industrie 4.0“ wurde erstmals auf der Hannover-Messe 2011 öffentlich formuliert.^[7] Der Lenkungskreis der Plattform Industrie 4.0^[8] beschreibt die vierte industrielle Revolution als eine

„..neue Stufe der Organisation und Steuerung der gesamten Wertschöpfungskette über den Lebenszyklus von Produkten. Dieser Zyklus orientiert sich an zunehmend individualisierten Kundenwünschen und erstreckt sich von der Idee, dem Auftrag über die Entwicklung und Fertigung, die Auslieferung eines Produkts an den Endkunden bis hin zum Recycling, einschließlich der damit verbundenen Dienstleistungen.“^[9].

Die Verfügbarkeit aller relevanten Informationen in Echtzeit stellt die Grundvoraussetzung für Industrie 4.0 dar. Dies wird durch die Vernetzung sämtlicher, an der Wertschöpfung beteiligter Instanzen gewährleistet (s. Kapitel 2.1.4). Dadurch ergibt sich die Möglichkeit, den zu jeden Zeitpunkt optimalen Wertschöpfungsfluss abzuleiten.^[10]

Gemäß Gronau ist Industrie 4.0 „eine Abkehr von der klassisch automatisierten Fabrik, die große Mengen gleichartiger Produkte auf der Basis zentraler Produktionspläne herstellt.“^[11] Das Idealbild ist die selbstorganisierende Fabrik (sogenannte „Smart Factory“, vgl. Kapitel 2.1.5), welche die Vorteile einer Großserienproduktion mit der zunehmenden Individualisierung in Einklang bringen kann. Dies wird mithilfe von intelligenten Objekten, welche miteinander interagieren, verwirklicht.^[12]

2.1.2 Industrielle Revolution

Im Folgenden wird zunächst erläutert was genau unter der Bezeichnung „industrielle Revolution“ zu verstehen ist. Danach werden die einzelnen Stufen der industriellen Revolution kurz vorgestellt und mit einer grafischen Darstellung veranschaulicht.

Der Begriff Industrie 4.0 stellt den rasanten Wandel von Produktionstechniken und den daraus resultierenden wirtschaftlich-gesellschaftlichen Strukturen dar. Anfänglich wurde die Bezeichnung auf die Phase der Einführung von neuen Maschinen und den Beginn der industriellen Fertigung in England am Ende des 18. Jh. bezogen. Inzwischen wurde die industrielle Revolution in mehrere Stufen unterteilt. Dabei spricht man von einer ersten industriellen Revolution zum Ende des 18. Jh., von einer zweiten industriellen Revolution zum Ende des 19. Jh. und von einer dritten industriellen Revolution zu Beginn der 70er Jahre im 20. Jh..^[13] Seit der Hannover Messe im Jahr 2011 gibt es nun auch offiziell die Bezeichnung „vierte industrielle Revolution“. Im Folgenden werden die einzelnen Etappen der industriellen Revolution grafisch dargestellt (vgl. Abbildung 2).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 Die vier Stufen der industriellen Revolution^[14]

Die erste industrielle Revolution charakterisiert die maschinelle Produktion in Baumwollspinnereien und Webereien, die sich in England vollzog. Zuvor wurden die Tätigkeiten in diesen Fabriken ausschließlich per Handarbeit verrichtet. Die im Jahr 1769 erfundene Dampfmaschine ermöglichte erstmalig die Bereitstellung von Energie an beliebigen Orten und somit die Unabhängigkeit von den Kräften der Natur.^[15]

Die zweite industrielle Revolution beschreibt die Mechanisierung und Elektrifizierung. Die Einführung der Fließbandfertigung ermöglichte die Massenproduktion von Gütern mit Hilfe elektrischer Energie. Ein bedeutendes Beispiel hierfür ist Henry Ford mit der Produktion des T-Modells, welches ihm zu einem bahnbrechenden Erfolg in der Automobilherstellung verhalf.^[16]

Die dritte industrielle Revolution gilt als enormer Fortschritt in der Automatisierung von Produkten und Produktion. Sie beinhaltet die Einbindung von Computern und Mikroprozessoren. Somit können beispielsweise NC-Maschinen eingesetzt werden, welche die Bearbeitung von Werkstücken automatisch durchführten. Ermöglicht wurde dieses durch die Speicherung der Abfolge der Arbeitsschritte innerhalb eines Computerprogramms (NC-Programm).^{[17] [18]}

2.1.3 Internet der Dinge

„Das Internet der Dinge (Internet of Things oder IoT) bezeichnet die Verknüpfung eindeutig identifizierbarer physischer Objekte untereinander, sodass diese Gegenstände selbstständig miteinander kommunizieren können, …“^[19] Daraus resultiert eine erweiterte Funktionalität, die zusätzlichen Kundennutzen bietet. Neue Wertschöpfungs- und Geschäftsmodelle werden somit ermöglicht.^[20] Eine bekannte Form des IoT ist die automatische Identifikation mittels RFID. Diese ermöglicht über die zusätzliche Einbindung von Sensor- und Aktortechnologie die Erfassung von Zuständen und die Ausführungen von Aktionen.^[21] Das Internet der Dinge stellt die Infrastruktur für die Nutzung von Cyber-Physischen-Systemen (s. Kapitel 2.1.4) bereit und ist somit eine Voraussetzung solcher Systeme. Daten werden an Objekten, die miteinander vernetzt sind, gespeichert. Das IoT ermöglicht somit auf Basis von lokal ausgewerteten Daten die individuelle Entscheidungsfindung und den individuelle Service auf Abruf zur ereignisorientierten Steuerung von Prozessen.^[22]

2.1.4 Cyber-Physische Systeme

Im Jahr 2006 wurde der Begriff „Cyber-Physical-Systems“ (CPS) erstmalig von einer US-amerikanischen Forschungsgesellschaft verwendet. Der Begriff „Cyber“ wird hierbei als System zur Verarbeitung und Kommunikation von Informationen beschrieben, während mit „Physical“ die vom Menschen geschaffenen technischen Systeme gemeint ist.^[23] CPS beschreibt somit die Interaktion zwischen mechanischen bzw. elektronischen und informationstechnischen Komponenten. Wesentliche Bestandteile sind darüber hinaus eingebettete Systeme^[24] (engl. embedded system) und vernetzte Gegenstände (s. Kapitel 2.1.3).^[25]

Diese Systeme sind mit Sensoren und Aktoren bestückt, sodass sie ihre Umwelt erfassen und auch auf diese einwirken können. Dies ermöglicht, dass Maschinen und Anlagen sich selbst optimieren und sich auf ändernde Aufträge und Betriebsbedingungen individuell anzupassen. In Kapitel 2.1.1 wurden bereits die schwankende Nachfrage und der Wunsch nach stark individualisierten Produkten genannt. Herkömmliche Produktionssysteme können aufgrund der langen Reaktionszeit nicht auf diese Komplexität reagieren. CPS stellen die Antwort auf diese Herausforderung dar.^[26]

2.1.5 Intelligente Fabrik

Der Einsatz von CPS in Produktionssystemen führt zur intelligenten Fabrik (Smart Factory). Die Smart Factory ist das Ziel der vierten industriellen Revolution und stellt die nächste Stufe von Lean Production dar, der Kombination aus sparsamem und zeiteffizientem Einsatz von Produktionsfaktoren.^{[27] [28]}

Die intelligente Fabrik nutzt Informations- und Kommunikationstechnik zur Produktentwicklung, Produktion, Logistik und Koordination der Schnittstellen zu Kunden, um mit einer erhöhten Flexibilität auf Anfragen zu reagieren.^[29] Daten werden am Objekt selbst gespeichert (s. Kapitel 2.1.3). Infolgedessen können diese intelligenten Produkte (Smart Products) Informationen über den Herstellungsprozess oder den zukünftigen Einsatz verfügen. In der intelligenten Fabrik unterstützen die Produkte aktiv den Fertigungsprozess. Das Produkt selbst kann somit beispielsweise wissen, wann es hergestellt wurde, mit welchen Parametern es bearbeitet werden muss und wohin es ausgeliefert werden soll.^[30]

2.2 IT-Sicherheit

In Kapitel 2.1 wurden detaillierte Informationen zu Industrie 4.0 dargelegt. Um Aussagen über IT-Sicherheit in Industrie 4.0 treffen zu können, wird in diesem Kapitel die Bezeichnung IT-Sicherheit genauer untersucht. Zunächst werden grundlegende Begrifflichkeiten und Definitionen eingeführt, die für das Verständnis sicherer IT-Systeme von Bedeutung sind. Kapitel 2.2.2 widmet sich den Sicherheitsanforderungen, die an ein System gestellt werden und den Sicherheitseigenschaften, welche das System erfüllen sollte. In Kapitel 0 werden Angriffe beschrieben, die die Sicherheitseigenschaften eines Systems in Frage stellen.

2.2.1 Grundlegende Begriffe

„Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen.“^[31] Ein geschlossenes System beschreibt ein System, das auf der Technologie eines einzelnen Herstellers aufbaut und nicht kompatibel zu Konkurrenzprodukten ist. Im Gegensatz dazu sind offene Systeme vernetzt und orientieren sich an Standards zum Informationsaustausch mit anderen Systemen. Diese erfordern jedoch erweiterte Maßnahmen zur Gewährleistung der Sicherheitseigenschaften. IT-Systeme sind in gesellschaftliche, politische und unternehmerische Strukturen eingebettet. Verschiedene Benutzer mit sehr unterschiedlichen technischen Wissen nutzen diese für die unterschiedlichsten Zwecke. Daher werden IT-Systeme als Bestandteile soziotechnischer Systeme eingeordnet.^[32]

Die Bezeichnung „Sicherheit“ kann in mehrere Kategorien gegliedert werden. Funktionssicherheit (engl. safety) beschreibt ein System, das keine funktional unzulässigen Zustände annimmt und somit unter allen gewöhnlichen Betriebsbedingungen funktioniert. Die Informationssicherheit (engl. security) erweitert die Funktionssicherheit insoweit, dass nur noch Systemzustände angenommen werden, die keine unautorisierte Informationsveränderung oder -gewinnung erlauben. Datensicherheit erweitert die Funktionssicherheit insofern, dass der unautorisierte Zugriff auf Systemressourcen und Daten verhindert wird.^[33]

2.2.2 Schutzziele

Das Ziel der IT-Sicherheit ist der Schutz von gespeicherten Informationen und deren nicht autorisierten Abfluss. Der Zugriff auf diese Informationen wird dabei beschränkt und kontrolliert. Die konkret zu erfüllenden Anforderungen werden in Form von Schutzzielen der IT-Sicherheit beschrieben.^[34]

Die Authentizität beschreibt die Echtheit und Glaubwürdigkeit eines Objekts bzw. einer Person. Überprüft wird dies anhand einer eindeutigen Identität und spezifischen Eigenschaft. Ein Passwort kann beispielweise als spezifische Eigenschaft einer Benutzerkennung fungieren.^[35]

Datenintegrität beschreibt den Zustand eines Systems, der verhindert dass Personen unautorisiert und unbemerkt Daten manipulieren können. Ermöglicht wird dies durch die Vergabe von individuellen Rechten zur Nutzung von Daten. Typische Beispiele sind die Lese- und Schreibberechtigungen. Ein Mitarbeiter kann z.B. die Möglichkeit haben, sein Gehalt im Mitarbeiterportal einzusehen (Leseberechtigung). Die Möglichkeit, das Gehalt zu ändern (Schreibberechtigung), sollte jedoch nur sein Vorgesetzter besitzen.^[36]

Informationsvertraulichkeit ist gewährleistet, wenn das System keine unautorisierte Informationsgewinnung ermöglicht. Dies erfordert die Bestimmung von Berechtigungen und Kontrollen, sodass Personen nicht unautorisiert Kenntnis von Informationen erlangen.^[37]

Die Verfügbarkeit eines Systems ist sichergestellt, wenn authentifizierte und autorisierte Personen nicht in der Wahrnehmung ihrer Berechtigungen beeinträchtigt werden. Verschiedene Prozesse und Benutzer greifen zur selben Zeit auf gemeinsame Ressourcen zu, wodurch es zu Verzögerungen in der Ausführung kommen kann. Zur Gewährleistung der Verfügbarkeit wird die Nutzung von Systemressourcen wie z.B. CPU-Zeit oder Speicher vorgeschrieben.^[38]

Die Verbindlichkeit eines Systems ist gewährleistet, wenn eine Person im Nachhinein die Durchführung einer Aktion nicht abstreiten kann. Im Bereich der elektronischen Geschäfte beispielsweise spielt die Verbindlichkeit eine wesentliche Rolle, um die Rechtsverbindlichkeit durchgeführter geschäftlicher Transaktionen, wie z.B. Käufen oder Verträgen zu garantieren.^[39]

2.2.3 Schwachstellen, Bedrohungen und Angriffe

IT-Systeme enthalten diverse Schwachstellen. Die zuvor erwähnten Schutzziele könnten möglicherweise nicht erfüllt werden, wenn eine dieser Schwachstellen von Angreifern ausgenutzt wird. Sie beschreiben die Möglichkeit, die Sicherheitsdienste eines Systems unautorisiert zu modifizieren oder zu täuschen. Typische Schwachstellen sind beispielsweise der Abfluss von Daten bei Daten-Diebstahl oder bei höherer Gewalt (z.B. Hochwasser). Diese können in Kategorien eingegliedert werden. Das erste Beispiel wird als physische Schwachstelle mobiler Geräte bezeichnet, während letzteres als natürliche Schwachstelle gilt.^[40]

Um den Schutzbedarf eines IT-Systems zu ermitteln, werden zunächst die Gefährdungsfaktoren analysiert. Die folgende Abbildung gibt einen Überblick über eine mögliche Klassifikation von Gefährdungsfaktoren.^[41]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 Gefährdungsfaktoren^[42]

IT-Systeme sind verschiedenen Bedrohungen ausgesetzt, die eine potenzielle Gefahr für das System darstellen. Bedrohungen nutzen Schwachstellen aus, um beispielsweise unerlaubt an geheime Informationen zu gelangen. Zudem können Bedrohungen unterschiedlich gewichtet werden. Geht es um öffentliche Daten, so stellt eine unerlaubte Informationsgewinnung eine weniger schwerwiegende Bedrohung dar. Daher kann hierbei der Aufwand für Maßnahmen zur Abwehr der Bedrohung klein gehalten werden. Handelt es sich jedoch um Kundendaten oder um unternehmensinterne Daten, so ist dies eine ernsthafte Bedrohung, welche in jedem Fall verhindert werden sollte.^[43]

Um die tatsächliche Gefährdungslage zu bestimmen, muss zunächst das Risiko bestimmt werden. Das Risiko beschreibt die Wahrscheinlichkeit des Eintritts und die Höhe des potentiellen Schadens. Dazu werden zu schützende Güter bewertet, das Schadenspotential bestimmt und die Höhe der Eintrittswahrscheinlichkeit abgeschätzt.^[44]

Bedrohungen ergeben sich aus Angriffen auf das System, die sich in die Kategorien „passiv“ oder „aktiv“ einordnen lassen. Ein Angriff beschreibt einen nicht autorisierten Zugriff oder Zugriffsversuch auf das System. Passive Angriffe wirken sich auf die Vertraulichkeit aus. Sie zielen auf die unautorisierte Informationsgewinnung ab. Das Abhören von Datenleitungen oder das unautorisierte Lesen von Daten beispielsweise wird dieser Kategorie zugeordnet. Aktive Angriffe betreffen dahingegen die Datenintegrität oder Verfügbarkeit eines IT-Systems. Das Ziel solcher Angriffe ist die unautorisierte Modifikation von Datenobjekten. Das Verändern oder Entfernen von Daten wird dieser Kategorie zugeordnet.^[45]

[...]

---

^[1] Vgl. Jürgen Bischoff et al., 2015, S. 6

^[2] Steinbuch, K., 1966

^[3] Vgl. Wolfgang Dorst et al., 2015, S. 6

^[4] Vgl. o. V., 2016a

^[5] Vgl. Oliver Bendel, o. J.

^[6] Vgl. Peter Fettke, 2006, S. 260

^[7] Vgl. Kagermann, Lukas, Wahlster, 2011

^[8] Die „Plattform Industrie 4.0“ ist ein gemeinsames Projekt der drei Industrieverbände BITKOM, VDMA und ZVEI. Es knüpft an das „Zukunftsprojekt Industrie 4.0“ an, das im Aktionsplan zur „Hightech-Strategie 2020“ von der Bundesregierung gestartet wurde.

^[9] Bauernhansl et al., 2014, S. 1

^[10] Vgl. Wolfgang Dorst et al., 2015, S. 6

^[11] Norbert Gronau, o. J.

^[12] Vgl. Norbert Gronau, o. J.

^[13] Vgl. Kai-Ingo Voigt, o. J.

^[14] In Anlehnung an o. V., 2015b

^[15] Vgl. Jürgen Gausemeier et al., 2014, S. 4

^[16] Vgl. Jürgen Gausemeier et al., 2014, S. 4

^[17] Vgl. o. V., o. J.d

^[18] Vgl. Jürgen Gausemeier et al., 2014, S. 4

^[19] Vgl.Ulrich Sendler et al., 2013, S. 42

^[20] Vgl. Vgl.Ulrich Sendler et al., 2013, S. 42

^[21] Vgl. Klaus Bauer et al., 2013, S. 85

^[22] Vgl. Jürgen Bischoff et al., 2015, S. 10

^[23] Vgl. Jasperneite, D. I. J., 2012

^[24] In physische Objekte integrierte Informationsverarbeitung

^[25] Vgl. Oliver Bendel, 2014

^[26] Vgl. Johanna Wanka, 2015, S. 2

^[27] Vgl. Ingo Voigt, o. J.

^[28] Vgl. Ulrich Sendler et al., 2013, S. 50

^[29] Vgl. Vgl.Klaus Bauer et al., 2013, S. 87

^[30] Vgl. Klaus Bauer et al., 2013, S. 23

^[31] Eckert, C., 2013, S. 3

^[32] Vgl. Eckert, C., 2013, S. 3

^[33] Vgl. Eckert, C., 2013, S. 6

^[34] Vgl. Bedner, M.; Ackermann, T., 2010, S. 323

^[35] Vgl. Eckert, C., 2013, S. 8f

^[36] Vgl. Eckert, C., 2013, S. 9

^[37] Vgl. Eckert, C., 2013, S. 10f

^[38] Vgl. Eckert, C., 2013, S. 12

^[39] Vgl. Eckert, C., 2013, S. 12f

^[40] Vgl. Eckert, C., 2013, S. 16

^[41] Vgl. Eckert, C., 2013, S. 16

^[42] Vgl. Eckert, C., 2013, S. 17

^[43] Vgl. Eckert, C., 2013, S. 16f

^[44] Vgl. Eckert, C., 2013, S. 18

^[45] Vgl. Eckert, C., 2013, S. 16–19