Industrie 4.0 und Cybercrime. Sicherheitskonzepte für Cybersecurity

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Begriffliche Grundlagen
2.1 Industrie 4.0 aus Sicht der IT-Sicherheit
2.2 Cybercrime
2.3 Cybersecurity

3 Herausforderungen und Lösungsansätze für die IT-Sicherheit
3.1 Horizontale und vertikale Integration
3.2 Vernetzte Produktionstechnik
3.3 Faktor „Mensch“
3.4 Organisatorische Einbindung

4 Fazit und Ausblick

5 Anhang

Literaturverzeichnis

Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Registrierte Cybercrime-Aktivitäten in Deutschland 2014

Abbildung 2: Die wichtigsten Bedrohungen für Systeme zur Fertigungs- und Prozessautomatisierung

1 Einleitung

„Technology [...] is a queer thing. It brings you great gifts with one hand, and it stabs you in the back with the other.“^[1] Diese Interpretation hat der Wissenschaftler Charles Percy Snow schon am 15. März 1971 in der New York Times verlauten lassen, ohne zu ahnen welch hohe Relevanz dieser Aussage 45 Jahre später, bedingt durch den Fortschritt hinzu Industrie 4.0, zugesprochen würde. Spätestens die Veröffentlichung der Enthüllungsaktivitäten des „Whistleblowers“ Edward Snowden über die Spionageaktivitäten der USA hat Unternehmen hinsichtlich der bedrohenden Existenz von Cybercrime wachgerüttelt.^[2] Die Tatsache, dass das Bundeskriminalamt im Jahr 2014 ca. 50.000 kriminelle Handlungen dem Themengebiet Cybercrime zugeordnet hat, unterstreichterneut die Bedeutsamkeit dieser Bedrohung.^[3] Nichtsdestotrotz verhalten sich die Abwehrmaßnahmen bis dato auf einem vergleichsweise geringen Niveau, was nicht zuletzt der Tatsache geschuldet ist, dass es sich bei den durch Cyber-Angriffe entstandenen Schäden nicht um physisch greifbare Größen handelt.

Industrie 4.0 zeichnet sich in erster Linie durch eine schnittstellenübergreifende Vernetzung aus, die auf einem permanenten Austausch von Daten basiert. Durch die Zunahme des Datenvolumens sowie der Anzahl an Schnittstellen gewinnt das Ausspähen, Sabotieren oder Löschen von Datensätzen für Hacker^[4] verstärkt an Attraktivität. Bereits heute zeichnet sich ein neuer Trend vonCyber-Attacken ab, die den Fokus auf Angriffspunkte in den Wertschöpfungsprozessen von Unternehmen legen. In diesem Zusammenhang ist bspw. auf das 2014 veröffentliche Schadprogramm Havexzu referieren, welches spezifisch für Produktionsanlagen entwickelt wurde, um deren Daten für spätere Missbrauchszwecke zu sammeln. Die Folgeschäden krimineller Aktivitäten lassen sich für Unternehmen nur schwer quantifizieren. Je nach Charakter und Erfolg des Angriffs reichen die Schäden über finanzielle Einbußen bis hin zum Reputationsverlust. In dieser Tatsache ist eine zunehmende Fokussierung auf IT-Sicherheitsmaßnahmen seitens der Unternehmen begründet. Eine Implementierung erfolgsversprechender Sicherheitskonzepteist jedoch kein leichtes Unterfangen, was die Aussage des Berufshackers und Inhabers einer IT-Sicherheitsfirma Felix Lindner verdeutlicht: „Die Angriffstechnologie ist in der Entwicklung stets 15 Jahre weiter als die Abwehrtechnologie.“^[5]

Diese Arbeit hat sich folglich zum Ziel gesetzt, die bedeutsamsten Herausforderungen der Industrie 4.0 hinsichtlich potenzieller Angriffspunkte für Cybercrime herauszuarbeiten und zielgerichtete Lösungsansätze sowie Handlungsempfehlungen auf technischer sowie organisatorischer Ebene vorzustellen.

2 Begriffliche Grundlagen

2.1 Industrie 4.0 aus Sicht der IT-Sicherheit

Begrifflichkeiten wie „Industrie 4.0“ oder „cyberphysische Systeme“ stellen für die meisten direkt und indirekt Betroffenen immer noch große Abstrakta dar. Dies ist vor allem darin begründet, dass es sich hierbei nicht um physikalische Größen handelt, die wir Menschen physisch wahrnehmen können. Die Definition von Industrie 4.0, die dieser Ausarbeitung zu Grunde liegt, ist dem Abschlussbericht des Arbeitskreises Industrie 4.0 entnommen. Dieser definiert Industrie 4.0 als „vierte industrielle Revolution, [die] eine neue Stufe in der Organisation und Steuerung der gesamten Wertschöpfungskette über den Lebenszyklus von Produkten“^[6] darstellt. Die Intelligenz von Produkten und Systemen, deren datenbasierte vertikale Vernetzung und horizontale Integration über die Wertschöpfungskette sind Hauptbestandteile der Entwicklung. Im Fokus steht hierbei die intelligente Fabrik (engl.: Smart Factory), die sich durch eine Effizienzsteigerung in der Produktion, eine geringere Störanfälligkeit sowie die Beherrschung von Komplexität durch modernste Informations- und Kommunikationstechnik auszeichnet. Gekoppelt an die Smart Factory sind die intelligenten Produkte (engl.: Smart Products), die eigens Daten über ihren Herstellungsprozess enthalten und somit die Fertigung steuern, beschleunigen und vereinfachen.^[7]

Die Grundlage für die schnittstellenübergreifende Umsetzung von Industrie 4.0 legt die Verfügbarkeit aller relevanten Informationen in Echtzeit mittels der Vernetzung aller Wertschöpfungspartner. Durch cyberphysische Systeme, also die systemische Verknüpfung von Mensch, Maschine, Produkt und Software, entstehen im Endeffekt Wertschöpfungsnetzwerke, die sich eigenständig steuern, kontrollieren und optimieren.^[8] Die Vernetzung über die Supply Chain führt dazu, dass eine Vielzahl von Akteuren in die Prozessabläufe einzubinden ist.^[9] Der Austausch sensibler Daten setzt ein Vertrauen zwischen den Teilnehmern der Supply Chain voraus. Dieses Vertrauen wird verstärkt, indem die Sicherheit über die nachweislich korrekte Übermittlung der Daten gegeben ist.

Ein Großteil der Entwicklungen für Industrie 4.0 ist bis dato noch nicht in der Praxis umgesetzt. Abgesehen von vereinzelt realisierten Pilotprojekten ist Industrie 4.0 also faktisch heute noch nicht in vollem Umfang existent.^[10] Es zeichnet sich in der Praxis jedoch eine Fokussierung auf die Thematik ab, die mit einer Bereitschaft für dementsprechende Investitionen einhergeht. Laut einer 2014 durchgeführten Studie des BITKOM e. V. werden in Deutschland bis 2020 Investitionen in Höhe von 11 Mrd. € für Industrie 4.0 erwartet.^[11]

Gesetzt ist demnach, dass sich eine Entwicklung hin zur Industrie 4.0 vollziehen wird. Eine Studie des Münchner Kreis Bands hat diesbezüglich ergeben, dass die Datensicherheit im Hinblick auf Industrie 4.0 für Unternehmen den Erfolgsfaktor mit der größten Priorität darstellt. Es lässt sich also schlussfolgern, dass die Entwicklung und Umsetzung erfolgsversprechender IT-Sicherheitskonzepte als „Enabler“ für die Umsetzung von Industrie 4.0 zu charakterisieren ist.^[12] Eine Darstellung der gesamten Erfolgsfaktoren findet sich in Anhang 1.

2.2 Cybercrime

Das allgegenwärtige Phänomen Cybercrime (dt.: Internetkriminalität) hat seinen Ursprung in der „Hacker-Szene“, deren Akteure zu ihrer Zeit weder organisiert waren noch aus wirtschaftlichem Interesse in gesicherte Systeme eindrangen.^[13] Es existiert eine Vielzahl an Definitionen für die Begrifflichkeit, die mit der Anzahl an erfolgten Angriffen nahezu identisch ist.^[14] Dieser Ausarbeitung liegt die Definition des Bundeskriminalamtes (BKA)zugrunde, die Cybercrime als „Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen diese begangen werden“^[15], definiert. Eingeschlossen sind hierbei alle widerrechtlichen Handlungen gegen die Verfügbarkeit, Integrität und Vertraulichkeit(↑ Kap. 2.3) von elektronischen, magnetischen oder sonst nicht unmittelbar wahrnehmbar gespeicherten oder übermittelten Daten.^[16]

Im Zuge der Verbreitung des Internets und dem damit verbundenen stetig steigenden Datenvolumen hat sich eine dementsprechend stetig steigende Anzahl an Hackern bzw. Internetkriminalität etabliert.^[17] Die Intentionen der kriminellen Gemeinschaft können auf folgende fünf Kernpunkte zusammengeführt werden:

- Abgreifen wirtschaftlich nutzbarer Informationen(bspw. zu Missbrauchszwecken)
- Umleiten monetärer Transaktionen
- Erpressungshandlungen durch Sabotage
- Sabotage durch Datenveränderung oder -manipulation(mit Ziel der Imageschädigung)
- Identitätsdiebstahl^[18]

Das BKA hat für das Jahr 2014 eine Gesamtzahl von 49.925 Vorfällen im Bereich Cybercrime registriert und diese den folgenden fünf Kategorien zugeordnet:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Registrierte Cybercrime-Aktivitäten in Deutschland 2014^[19]

Hier sei anzumerken, dass Aktivitäten in den Bereichen der Erpressungshandlung oder dem Umleiten monetärer Transaktionen, dem sog. „Phishing“, in der polizeilichen Kriminalstatistik nicht dem Themenbereich Cybercrime zugeordnet werden. Des Weiteren fällt in enormem Umfang die Dunkelziffer der Straftaten ins Gewicht, die von einer Dunkelzifferstudie des BKA auf 91% aller Cybercrime-Aktivitäten errechnet wurde.^[20] Auf Basis dieser Angaben wird in Deutschland der Gesamtschaden durch Internetkriminalität auf 3,4 Mrd. € kalkuliert.^[21]

Die Täter schöpfen bei der Wahl der Instrumente aus einem großen Variantenreichtum. Im betrieblichen Umfeld sind DDoS-Attacken^[22] oder das Einschleusen der sog. „Ransomware“^[23] zur zielgerichteten Sabotage und Erpressung gängige Methoden. So haben in einer Umfrage der Allianz für Cyber-Sicherheit bspw. ein Drittel der befragten Unternehmen angegeben, innerhalb der letzten drei Jahre Opfer eines DDoS-Angriffs gewesen zu sein. Die Folgen für Unternehmen liegen hierbei vorrangig in Produktions- bzw. Betriebsausfällen, Kosten für Aufklärung und Wiederherstellung, Reputationsschäden und im Diebstahl sensitiver Daten.^[24] Die Motive der Täter reichen von der Erlangung von Informationen und Wettbewerbsvorteilen über Rache bis hin zur rein monetären Erpressung. Die Angreifer selbst können grundsätzlich den beiden Typisierungen der Cyber-Kriminellen und Cyber-Aktivisten zugeordnet werden. Cyber-Kriminelle haben die Absicht mittels Erpressung illegal Geld zu verdienen, wohingegen Cyber-Aktivisten politische oder ideologische Ziele verfolgen. Diese reichen von der Veröffentlichung unternehmensinterner Informationen bis hin zu DDoS-Angriffen, um eine Deaktivierung von Systemen hervorzurufen und somit Schaden anzurichten.^[25] Eine detaillierte Darstellung aller Angreifer-Typen und deren Motivationen für Angriffe auf Unternehmen und deren Netzwerke findet sich in Anhang 2.

Durch die zunehmend dynamische und unternehmensübergreifende Vernetzung, die mit Industrie 4.0 einhergeht, steigt die Anzahl der Zugriffspunkte und das Risiko eines unautorisierten Zugangs durch Angreifer erhöht sich weiter. Betrachtet man die gegenwärtige Situation hinsichtlich Art und Umfang der Internetkriminalität als Ausgangspunkt, lässt sich das Ausmaß des zukünftigen Bedrohungspotenzials für Unternehmen und ihre Wertschöpfungsketten als horrend einstufen.

2.3 Cybersecurity

Die steigende Anzahl an Spionage- und Sabotageattacken rückt den Bereich der Cybersecurity immer mehr in den Vordergrund und erhöht den Bedarf und die Anforderungen an Cybersecurity. Im Fachjargon findet sich Cybersecurity in den unterschiedlichsten Begriffen wieder: IT-Sicherheit, IT-Security, Informations-, Daten- oder Netzwerksicherheit. Gemeint sind proaktive Maßnahmen zur Erkennung oder Abwehr von Bedrohungen und Vermeidung von Cybercrime-Angriffen. Diese dienen dem Schutz von Informationen und IT-Systemen – also von Hardware, Software und den verwendeten Daten – vor Diebstahl, Beschädigung, Störungen, Manipulation, Spionage oder Missbrauch.^[26] Cybersecurity dient damit der Reduzierung von Risiken und wirtschaftlichen Schäden und wird daher in der Praxis auch in Form eines Risikomanagements betrieben.^[27] Bei der IT-Sicherheit kann unterschieden werden in:

- physische IT-Sicherheit (physische Maßnahmen zum Schutz vor physischen Gefahren wie Feuer, Wasser, Staub, Korrosion, Einbruch)
- Schutz vor logischen Fehlern (i.S.v. Sicherheitslücken durch Programmierfehler)
- Schutz vor unberechtigtem Datenzugriff (z.B. mithilfe von Virenschutz, Firewall, etc.)
- Schutz vor Nichtverfügbarkeit von Daten(z.B. verursacht durch Systemausfälle)

Geschützt werden sollen jedoch in erster Linie die drei Schutzziele der IT-Sicherheit Verfügbarkeit, Integrität und Vertraulichkeit der Daten, welche durch Cybercrime-Angriffe gefährdet werden können.^[28] Die Verfügbarkeit von IT-Systemen ist gegeben durch die Verfügbarkeit aller IT-Komponenten des Systems (z.B. Server, Software und Hardware) und der damit verbundenen Verhinderung von Systemstörungen oder -ausfällen. Der Zugang und die berechtigte Nutzung von Daten sind dann nicht beeinträchtigt. Für operativ oder strategisch wichtige IT-Systeme oder Daten wird bspw. mithilfe von Service Level Agreements ein Verfügbarkeitslevel prozentual festgelegt, um eine definierte Verfügbarkeit zu garantieren und eine Unterschreitung sanktionieren zu können.^[29] Integrität der Daten bedeutet die „Gewährleistung, dass die Daten des IT-Systems nur durch befugte Nutzer verändert werden“^[30], d.h. dass Änderungen nachvollziehbar sein müssen und somit eine unerlaubte oder unbemerkte Veränderung der Daten ausgeschlossen ist. Wenn Daten gegen Manipulation sicher sind, wird deren Richtigkeit und Vollständigkeit gewährleistet.^[31] Mit Vertraulichkeit ist gemeint, dass Informationen ausschließlich von autorisierten Nutzern gelesen werden dürfen. Vertrauliche Daten werden also keinen unberechtigten Benutzern oder Prozessen offengelegt, was wiederum die Verfügbarkeit der Informationen in gewisser Weise einschränkt.^[32]

Um diese drei Dimensionen zu schützen, beschäftigt sich die Informationssicherheit deshalb mit zentralen Fragestellungen wie:

- „mit welcher Strategie man das Thema angeht,
- wie viel Sicherheit wirklich benötigt wird,
- wie man die gewünschte Sicherheit erreichen, überprüfen und aufrechterhalten kann,
- wie man die Sicherheit laufend an die Geschäftserfordernisse anpasst,
- wie man gegenüber Partnern, Kunden, Aufsichtsbehörden und Banken die eigene Sicherheit nachweisen kann,
- ob es einen Return on Security Investment (RoSI) gibt und wie man ihn ggf. erreicht.“^[33]

Solche Problemstellungen beschäftigen nicht nur Security-Experten, sondern müssen auch auf Managementebene diskutiert und beantwortet werden. Security als Managementaufgabe betrifft Geschäftsführer, Entscheidungsträger und IT-Experten gleichermaßen, obgleich die wirtschaftliche Sichtweise einerseits und das technische IT-Expertenwissen andererseits aufeinandertreffen und ggf. mit Reibungsverlusten zusammengeführt werden müssen.

Das IT-Sicherheitsmanagement definiert und dokumentiert nicht nur Anforderungen und Vorgaben, sondern überprüft diese auch und passt sie neuen Gegebenheiten an.^[34] Nachdem die Anforderungen an die IT-Sicherheit mit den entsprechenden Zielen und Prozessen festgelegt wurden, werden auf deren Basis dann im Rahmen eines IT-Sicherheitskonzeptes Techniken für ein Risikomanagement ausgewählt, welche Bedrohungen aufspüren, analysieren, bewerten oder auch beseitigen können.^[35] Eine aktuelle Studie des Beratungsunternehmens A.T. Kearney legt jedoch offen, dass „Managementkonzepte für Informationssicherheit trotz hoher strategischer Bedeutung noch in den Kinderschuhen stecken.“^[36]

Bisher wurde das Thema Sicherheit vor allem im produzierenden Gewerbe hauptsächlich unter dem Gesichtspunkt der Betriebs- und Arbeitssicherheit verstanden und entsprechend organisatorisch aufgehängt. Die Betriebssicherheit, auch als Safety bezeichnet, ist daher klar abzugrenzen von der Datensicherheit, der Security, welche in vielen Unternehmen bislang noch unzureichend betrachtet und gesteuert wird.^[37] Als weitere begriffliche Abgrenzung lässt sich anfügen, dass unter Safety im Sinne der Betriebssicherheit der Schutz vor unbeabsichtigten Vorfällen bezeichnet wird, bspw. vor Stromausfällen, technischen Fehlern, Defekt, Verschleiß oder Bedienfehlern. So ist Safety als technische Funktions- und Ausfallsicherheit zu verstehen während die Security den Schutz vor beabsichtigten, vorsätzlichen Angriffen gewährleisten soll.^[38] In der Praxis ist oft noch unklar, wer für die IT-Security verantwortlich ist, dennoch ist eine klare Zuweisung von Verantwortlichkeiten unerlässlich.^[39]

Letztlich ist auch die beste IT-Sicherheit immer zeitabhängig und vergänglich. Sie muss sich fortlaufend an die Entstehung ungekannter Sicherheitslücken und technischer Schwachstellen, an neue Hackerfähigkeiten, Angriffstechniken und -möglichkeiten anpassen.^[40] IT-Security entwickelt sich in der Regel als Reaktion auf Entwicklungen in der Cyberkriminalität.

3 Herausforderungen und Lösungsansätze für die IT-Sicherheit

3.1 Horizontale und vertikale Integration

Industrie 4.0 basiert in erster Linie auf einer digitalen Vernetzung horizontaler Wertschöpfungsketten sowie vertikaler Hierarchieebenen. Demzufolge muss eine Verknüpfung der Business-IT, Produktions-IT, Vertriebslogistik und Zulieferindustrie stattfinden, um zu jedem Zeitpunkt eine Verfügbarkeit relevanter Echtzeitinformationen zu gewährleisten.^[41] Da die Systeme bisher größtenteils unabhängig voneinander operieren, fehlt es an entsprechenden Schnittstellen für eine systembasierte Verkopplung. Um die erforderliche Durchgängigkeit unterschiedlichster IT-Lösungen zu realisieren, bedarf es dementsprechend auf vertikaler Ebene einer Verknüpfung der hochauflösenden ERP-Systeme auf Steuerungsebene bis hin zur rudimentären Maschinensteuerung.^[42] Auf horizontaler Ebene ist hingegen unter Einsatz von Cloud-Computing^[43] die systemische Konnektivität unterschiedlichster Wertschöpfungspartner zu gewährleisten.^[44] Aus der Gesamtheit an Vernetzungsgeflechten resultieren neue Angriffsflächen für kriminelle Machenschaften, die dementsprechend erhöhte Anforderungen an IT-Sicherheitsmaßnahmen mit sich ziehen.^[45]

Als initiale Handlungsmaßnahme gilt es für Unternehmen eine Priorisierung der internen Assets^[46] festzulegen. Diese Assets müssen mit den höchsten Sicherheitsmaßnahmen ausgestattet und nach Möglichkeit nicht über Unternehmensgrenzen hinweg publiziert werden. Als weitere Maßnahme muss eine frühzeitige Reduktion der generierten Daten auf den tatsächlich benötigten Detaillierungsgrad stattfinden. Für jede Schnittstelle sind dementsprechend die notwendigen Daten festzulegen, um somit die Verfügbarkeit erfolgskritischer Informationen für Cyber-Attacken zu minimieren. Des Weiteren wird im Sinne der erforderlichen Durchgängigkeit über alle gekoppelten IT-Lösungen hinweg eine „Ende-zu-Ende-Verschlüsselung“ der Datensätze verlangt. Hierliegt die Herausforderung in der einfachen Verschlüsselung von Daten am Ort ihrer Entstehung, die über eine geschlossene Datenverbindung entlang der gesamten Informations- und Kommunikationsstrecke bis zum Ende aufrecht erhalten werden muss.^[47] Die erfolgreiche Abwicklung basiert auf der Schaffung sicherer Identitäten, also einer eindeutigen Identifizierung von allen Beteiligten, die entlang der gesamten Wertschöpfungskette verschlüsselt kommunizieren.^[48] Diese Identifizierung gewährleistet über eine Berechtigungsvergabe für die Datenbearbeitung, dass über Unternehmensgrenzen hinweg eine exakte Zuordnung bzw. Authentifizierung von Bedienern, Maschinen und Softwaresystemen hinsichtlich der Veränderung von Datenstrukturen nachvollzogen werden kann.^[49] Fachsprachlich wird dieser Aspekt unter dem Stichwort Authentizität verstanden, welcher in der Industrie 4.0 zusätzlich zu Verfügbarkeit, Integrität und Vertraulichkeit ein weiteres Schutzzieldarstellt.^[50]

Die horizontale Integration bedingt die Freigabe interner Daten, deren Sicherheit nun nicht mehr ausschließlich intern kontrolliert und gewährleistet werden kann, sodass sich auf das Sicherheitsmanagement der Vertragspartner verlassen werden muss.^[51] Eine Gewährleistung adäquater Sicherheitsstrukturen bei allen Partnern entlang der Supply Chain ist schwer realisierbar. Demzufolge ist es im Interesse der Unternehmen auf gesetzliche Richtlinien, Zertifizierungen oder standardisierte Sicherheitsnormen zurückzugreifen.

Bedingt durch das erhebliche Datenaufkommen auf Basis cloudbasierter Vernetzung im Rahmen von Industrie 4.0 wird hier dem Datenschutzrecht eine hohe Bedeutung zugemessen. Das Bundesdatenschutzgesetz (BDSG) verlangt die Überprüfung technischer sowie organisatorischer Maßnahmen im Bereich der Auftragsdatenverarbeitung, die die datenschutzrechtliche Grundlage des Cloud Computing darstellt.^[52] Diese Überprüfung wird mittels Datenschutz-Zertifizierungen durchgeführt, die auf einem 2013 etablierten Prüfungsstandard basieren. Der bisherige Erfolg dieses Vorgehens zeigt, dass eine Verknüpfung rechtlicher Vorgaben an Zertifikate deren Positionierung verstärken kann. Demzufolge hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Zertifizierungsvergabe als Kernaktivität verschrieben.^[53] Des Weiteren wurde just vor einem Jahr auf nationaler Ebene ein neues IT-Sicherheitsgesetz in Kraft gesetzt, welches das Ziel der „signifikanten Verbesserung der Sicherheit informationstechnischer Systeme“ verfolgt.^[54] Im Speziellen dient es durch die Stärkung des BSI einer verbesserten IT-Sicherheit bei Unternehmen. Laut einer Studie, die im Auftrag des Bundesministeriums für Wirtschaft und Energie durchgeführt wurde, kann das Gesetz zwar im Bereich der Grundlagen der IT-Sicherheit wirken, es enthält in Bezug auf Industrie 4.0 jedoch keine konkreten Regulationen und Ansatzpunkte, sodass diesbezüglich noch weiterer Forschungsbedarf besteht.^[55]

Aufgrund des bislang unzureichenden Wirkungsgrades gesetzlicher Regulationen muss mittels zusätzlicher Instrumente eine erfolgreiche Umsetzung bestimmter IT-Sicherheitsmaßnahmen entlang der horizontalen und vertikalen Vernetzung gewährleistet werden. Ein Ansatz liegt hier im aktiven Einsatz von alternativen Zertifizierungen, welche IT-Sicherheit in zweifacher Weise fördern: Zum einen wird innerhalb horizontaler Wertschöpfungsketten ein Vertrauen hinsichtlich der Einhaltung und Umsetzung von Sicherheitsmaßnahmen geschaffen und anderseits können Zertifizierungen im Sinne einer Qualitätsbewertung für Unternehmen Anreize schaffen, als Partner auf dem Markt attraktiv zu bleiben bzw. zu werden.^[56] Zertifikate im Bereich der IT-Sicherheit werden bisher vorrangig über TÜV-Gesellschaften oder andere Prüfunternehmen ausgestellt, die in den meisten Fällen nach den ISO-Standards der 27000er Reihe oder der IEC-Norm 62443 bewerten.^[57]

Großes Potenzial in der Umsetzung technischer Anforderungen liegt demzufolge in der Formulierung von Sicherheitsnormen. So hat sich bereits eine Vielzahl an nationalen und internationalen Standardisierungseinrichtungen mit der Thematik auseinandergesetzt und Sicherheitsnormen etabliert. Hervorzuheben ist hier ebenfalls das BSI, welches mittels Standards diverse technische Richtlinien sowie den sicheren Betrieb von Zertifizierungsinstanzen nachhält.^[58] Im Hinblick auf internationale Wertschöpfungsketten wirkt u. a. die genannte internationale Norm IEC 62443 „IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz“, mit deren Hilfe ein Vorgehensmodell geschaffen wird, welches die Security-Fähigkeiten einzelner Komponenten entlang der Wertschöpfungskette entsprechend bestimmter Erfordernisse bewertet und somit potenzielle Schwachstellen aufdecken kann. Für die Durchführung müssen seitens der Teilnehmer alle notwendigen Informationen zur Verfügung gestellt werden.^[59] Über ISO-Standards können des Weiteren organisatorische Aspekte wie das Identitätsmanagement, Verschlüsselungen oder das Erkennen von Eindringlingen geregelt werden.^[60] Bei der Ausgestaltung der Standards und Zertifizierungen ist darauf zu achten, dass diese insbesondere auch von KMU mit verhältnismäßigem Aufwand realisierbar sind und überprüfbar bleiben. Die Missachtung der Fähigkeiten von kleinen Unternehmen führt ansonsten zu deren Ausschluss aus der Entwicklung hin zur Industrie 4.0.^[61] Standardisierte Ansätze dienen KMU zusätzlich als Leitfaden, um die internen Prozesse hinsichtlich der Sicherheitsanforderungen auszubauen.^[62]

Der Einsatz von Zertifizierungen sowie die Umsetzung von Standards wirken sich zusammenfassend positiv auf die Verflechtungsbeziehungen innerhalb der vertikalen und horizontalen Vernetzung von Unternehmen aus. Durch die Überprüfung der Zertifizierung durch Dritte (TÜV, etc.) ist ein fokales Unternehmen dementsprechend entlastet und die Bereitschaft, innerbetriebliche Datensätze über Unternehmensgrenzen hinweg auszutauschen, steigt.

3.2 Vernetzte Produktionstechnik

Die Vernetzung der Produktionstechnik bringt zahlreiche Herausforderungen mit sich. Bisher waren Produktionsanlagen aus informationstechnischer Sicht voneinander getrennte Inseln, die nun zur Realisierung der Industrie 4.0 virtuell vernetzt werden. Die Integration verschiedener Systeme bedingt oft die Zusammenführung teils inkompatibler Sicherheitsvorgaben, sodass die Sicherheit des integrierten Gesamtsystems sinkt.^[63] Die Gewährleistung der IT-Sicherheit im vernetzten Maschinenpark ist in der Praxis oft mit Schwierigkeiten verbunden. Besonders die lange Lebensdauer von Produktionsanlagen, die nicht selten mehrere Jahrzehnte beträgt, ist mit den vergleichsweise kürzeren Lebenszyklen von IT-Anwendungen schwer in Einklang zu bringen.^[64] Alten Maschinen fehlt es an ausreichender Speicherkapazität und Rechnerfähigkeit für die Einspielung neuer Sicherheitssoftware oder -updates, die für die Erfüllung der Echtzeitanforderungen der Industrie 4.0 benötigt werden.^[65] Die nachträgliche Aufrüstung der Anlagen auf die neuesten Standards und Sicherheitsvorkehrungen kann, wenn überhaupt möglich, oft nur aufwendig, kostspielig und u. U. auch weniger sicher erfolgen.^[66] Selbst bei neuen Maschinen ist die häufige Einspielung der aktuellsten Sicherheitsupdates kritisch, da die Produktionsstabilität im verarbeitenden Gewerbe oberste Priorität hat und Eingriffe in die IT mit Unterbrechungen und der Gefahr von längeren Produktionsstillständen oder -störungen verbunden sind.^[67]

Die Angreifbarkeit der vernetzten Produktionstechnik machen sich Hacker zunutze, indem sie sensible Produktionsdaten oder Unternehmensgeheimnisse ausspähen oder über Manipulation der Produktionssteuerung die Fertigung gezielt sabotieren oder zum Stillstand bringen. So wurde in 2014 durch das BSI ein Vorfall veröffentlicht, bei dem Angreifer die Steuerungskomponenten eines Hochofens in einem Stahlwerk angriffen, was in deren Ausfall und massiven Beschädigungen der Anlage resultierte. Des Weiteren wurden Produktionsnetze mehrerer deutscher Unternehmen mit dem Schadprogramm Havex angegriffen, um Daten für künftige Attacken zu sammeln.^[68] Im schlimmsten Fall führt Produktionssabotage zu unbemerkten Produktveränderungen mit negativen Auswirkungen auf Kunden und Unternehmensimage. Sichere, nur autorisierten Benutzern zugängliche Produktionssysteme sind für die Industrie 4.0 also eine unabdingbare Voraussetzung.^[69]

[...]

---

^[1] Lewis (1971), S. 37.

^[2] Vgl. Klipper (2015), S. 5.

^[3] Vgl. Bundeskriminalamt (2015), S. 4.

^[4] „A hacker is a person who uses computers in order to gain unauthorized access to data and cause damage.” Vgl. Merriam-Webster, Incorporated (2015).

^[5] WeltN24 GmbH (2016).

^[6] Acatech u. a. (2013), S. 23.

^[7] Vgl. Ebd.

^[8] Vgl. Schöning (2015), S. 97.

^[9] Vgl. BITKOM e. V./VDMA e. V./ZVEI e. V. (2015), S. 71.

^[10] Vgl. Bundesministerium für Wirtschaft und Energie (2016), S. 17.

^[11] Vgl. BITKOM e. V. (2014).

^[12] Vgl. Münchner Kreis e. V. u.a. (2015), S. 15.

^[13] Vgl. Malecki (2015), S. 52.

^[14] Vgl. Clugh (2015), S. 9.

^[15] Bundeskriminalamt (2016).

^[16] Vgl. Ebd.

^[17] Vgl. Bundeskriminalamt (2015), S. 14.

^[18] Vgl. Malecki (2015), S. 52.

^[19] Eigene Abbildung in Anlehnung an: Bundeskriminalamt (2015), S. 4.

^[20] Vgl. Bundeskriminalamt (2015), S. 5.

^[21] Vgl. Rieckmann/Kraus (2015), S. 300.

^[22] Eine DDoS-Attacke (Distributed Denialof Service) ist ein Angriff auf Dienste oder Systeme, mit dem Ziel deren Verfügbarkeit außer Kraft zu setzen. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2015), S. 30.

^[23] Ransomware ist eine Schadsoftware, die der digitalen Erpressung dient. Vgl. Bundeskriminalamt (2015), S. 10.

^[24] Vgl. Allianz für Cyber-Sicherheit (2015), S. 13ff.

^[25] Vgl. BITKOM e. V./VDMA e. V./ZVEI e. V. (2015), S. 76.

^[26] Vgl. Eckert (2014), S. 1; Klipper (2015), S. 5.

^[27] Vgl. Klipper (2015), S. 25.

^[28] Vgl. Schöning (2015), S. 99.

^[29] Vgl. Witt (2006), S. 71f.

^[30] Witt (2006), S. 72.

^[31] Vgl. Klipper (2015), S. 12.

^[32] Vgl. Ebd.

^[33] Kersten/Klett (2015), S. VI.

^[34] Vgl. Ebd., S. 1f.

^[35] Vgl. Witt (2006), S. 2.

^[36] A.T. Kearney GmbH (2015).

^[37] Vgl. Schöning (2015), S. 100.

^[38] Vgl. Witt (2006), S. 67f.

^[39] Vgl. Kersten/Klett (2015), S. 2.

^[40] Vgl. Ebd., S. 6.

^[41] Vgl. Schöning (2015), S.102.

^[42] Vgl. Bartmann (2014), S. 9.

^[43] Cloud Computing beinhaltet Technologien, um IT-Ressourcen dynamisch zur Verfügung zu stellen. Anstatt IT-Ressourcen, bspw. Server oder Anwendungen, in unternehmenseigenen Rechenzentren zu betreiben, sind diese bedarfsorientiert und flexibel über das Internet oder ein Intranet verfügbar. Vgl. Gabler Wirtschaftslexikon (2016).

^[44] Vgl. Schöning (2015) S. 98.

^[45] Vgl. Beyerer u. a. (2015), S. 12.

^[46] „An asset is an item of economic value that is expected to yield a benefit to the owning entity in future periods.” AccountingTools (2016).

^[47] Vgl. Reflex Verlag GmbH (2015), S. 9.

^[48] Vgl. Reflex Verlag GmbH (2015), S. 8.

^[49] Vgl. Bartmann (2014), S. 8f.

^[50] Vgl. BITKOM e. V./VDMA e. V./ZVEI e. V. (2015), S. 79.

^[51] Vgl. Schöning (2015), S. 99.

^[52] Vgl. Bundesministerium für Wirtschaft und Energie (2016), S. 220.

^[53] Vgl. Ebd.

^[54] Deutscher Bundestag (2015), S. 19.

^[55] Vgl. Bundesministerium für Wirtschaft und Energie (2016), S. 205.

^[56] Vgl. Ebd.

^[57] Vgl. BITKOM e.V./VDMA e. V./ZVEI e. V. (2015), S. 65.

^[58] Vgl. Bundesministerium für Wirtschaft und Energie (2016), S. 46.

^[59] Vgl. BITKOM e. V./VDMA e. V./ZVEI e. V. (2015), S. 84.

^[60] Vgl. Bundesministerium für Wirtschaft und Energie (2016), S. 46.

^[61] Vgl. Ebd., S. 198.

^[62] Vgl. Schöning (2015), S. 104.

^[63] Vgl. Beyerer u. a. (2014), S. 11.

^[64] Vgl. Reflex Verlag GmbH (2015), S. 6.

^[65] Vgl. Schöning (2015), S. 101.

^[66] Vgl. Reflex Verlag GmbH (2015), S. 6.

^[67] Vgl. Schöning (2015), S. 101.

^[68] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2014), S. 31f.

^[69] Vgl. Reflex Verlag GmbH (2015), S. 5.