Skip to content
Willkommen bei uns, einem Team engagierter Zukunftsentwicklerinnen und Zukunftsentwickler, das Organisationen auf ihrer Reise in die Zukunft unterstützt. Unsere Expertise fließt in Publikationen und Modelle ein, während wir Unternehmen bei Vision, Strategie, Innovation und Positionierung beraten. Gemeinsam gestalten wir eine erfolgversprechende Zukunft.

Wir unterstützen Organisationen auf ihrem Weg in die Zukunft. Eine datenbasierte und systemische Anwendung der Zukunftsforschung ist dafür handlungsleitend. Sie mündet in Publikationen, Tools, Trendradaren und in der Beratung zu Vision, Positionierung, Strategie und Innovation.

Gemeinsam in die Zukunft

Vereinbaren Sie einen kostenlosen Termin mit unserem Expertenteam, um zu erfahren, wie das Zukunftsinstitut Ihr Unternehmen transformieren kann.

Entdecken Sie die Themen der Zukunft. Tauchen Sie ein in die Welt der Megatrends und Lebensstile. Oder beschäftigen Sie sich mit konkreten Entwicklungsaufgaben von Organisationen: Strategie, Vision, Kommunikation und Innovation.

IT-Sicherheit in der Industrie 4.0

Die Verquickung von industriellen Anlagen mit smarten Software-Systemen birgt große Potenziale - aber auch zahlreiche Angriffsflächen für Cyberattacken.

Cyber Security

Beim Blackout-Kongress von secumedia im Dezember 2014 wurde die Übernahme eines Zuges der vollautomatischen Nürnberger U-Bahn simuliert. Die Angst vor einer solchen Cyberattacke scheint berechtigt. In den vergangenen Jahren wurden mehrere industrielle Anlagen mindestens teilweise außer Gefecht gesetzt. Stuxnet, Shamoon, Havex – so heißen berühmt-berüchtigte Cyberangriffe, die dafür verantworlich waren.  

2010 wurde in einer Urananreicherungsanlage im iranischen Natans der Wurm Stuxnet entdeckt, der wahrscheinlich von den Geheimdiensten Israels und der USA programmiert und über einen USB-Stick eingeschleust wurde, um dann jahrelang die Zentrifugen zu sabotieren. Shamoon setzte 2012 über 30.000 Rechner der saudi-arabischen Raffinerie Aramco für mehrere Wochen außer Gefecht. Weniger spektakulär, dafür aber fast flächendeckend, sind SCADA-Netze, also typische industrielle Produktionsanlagen, von Havex infiziert, der nicht nur Daten abgreift, sondern zu einer fatalen Überlastung der Steuerungsanlage führt. Unternehmen brauchen im Schnitt 227 Tage, bis sie den Wurm überhaupt entdecken. Ihn unschädlich zu machen und das System zu säubern dauert noch viel länger. Wie kommt es zu dieser Häufung von Cyberangriffen?

Neue Bedrohungen durch Industrie 4.0

Unter dem Slogan Industrie 4.0 wird die rasante Integration von IT und industrieller Automatisierung verstanden. Maschinen sind heute nicht mehr über spezifische Technologien wie z.B. den Profibus, sondern über den Internet-Standard Ethernet verbunden. Sie beziehen Daten von Webservern oder schicken und empfangen E-Mails. Das macht die Produktion nicht nur günstiger und flexibler, sondern auch einfacher zu betreiben. Auch Smartphones, Tablets & Co. samt entsprechender Apps tragen zu dieser Standardisierung der Industrie hin zur IT bei. In IT-Netzen werden Daten gespeichert und verteilt. Angriffe auf solche Netze haben oft das Ziel, bestimmte (vertrauliche) Informationen mitzulesen (siehe Geheimdienste) oder die Verfügbarkeit dieser Informationen zu stören, wie beim Angriff auf das Netz des Bundestags im Mai 2015. Wenn Maschinen nun auch über IP-Adressen ansprechbar sind, können Hacker nicht nur auf virtuelle Daten zugreifen, sondern auch die Steuerung materieller Einheiten übernehmen und sie abschalten oder ihre Aktivität manipulieren.

Mit der Verwendung von Internet-Technologien entsteht also eine Vielzahl von neuen Schnittstellen zwischen der internen IT-basierten Produktionsumgebung und dem relativ freien, unkontrollierten und unkontrollierbaren Cyberspace. Bedrohungen, die in der IT schon lange bekannt sind, sind heute in der automatisierten Industrie wieder hochaktuell. Um im Wettbewerb mithalten zu können, müssen Industrieunternehmen sich demnach nicht nur gegen Wirtschaftsspionage absichern, sondern auch Vorkehrungen für ihre automatisierten Anlagen treffen, um im Notfall von außen eingreifen zu können. Der Stillstand einer Anlage in der Pharma- oder Nahrungsmittelbranche hat beträchtliche Verluste zur Folge. Unternehmen schaffen jetzt auch zunehmend Firewalls und Sicherheitsmanagementsysteme für die Fertigungsebene an.
Kritische Infrastrukturen sind Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Störungen der üblichen Prozesse einer hoch spezialisierten und fast vollkommen abhängigen Gesellschaft nach sich zieht, zum Beispiel Energie, Transport oder Telekommunikation. Meist handelt es sich um privatwirtschaftlich verfasste Firmen, die unspezifische, handelsübliche industrielle Steuerungssysteme verwenden. Auch sie profitieren ökonomisch von der Verquickung von IT und Automatisierung, sind aber genauso den damit verbundenen Bedrohungen ausgesetzt. Ein erfolgreicher Cyberangriff auf eine kritische Infrastruktur, etwa auf ein Kraftwerk, wirkt sich allerdings nicht nur auf dieses aus, sondern hat Folgen für die gesamte Gesellschaft.

Marc Elsberg beschreibt in dem Buch “Blackout”, wie die Kompromittierung einer Handvoll von in italienischen und schwedischen Haushalten installierten Smartmeters zunächst das gemeinsame Stromnetz der EU-Staaten abstürzen lässt. Der umfassende Stromausfall führt schließlich zum Zusammenbruch der öffentlichen Ordnung, weil weder Melkmaschinen, Geldautomaten noch Abwasserpumpen mehr funktionieren. Elsbergs Roman bleibt zwar Fiktion, ist aber technisch nicht ausgeschlossen. Verantwortlich für die Vermeidung solcher Zustände sind momentan Staaten, die der Problematik mit Gesetzen begegnen - Deutschland beispielsweise mit dem neuen IT-Sicherheitsgesetz (IT-SiG), das in den Begrifflichkeiten unspezifisch bleibt und dessen Anwendungsbereich nicht konkret abgesteckt ist.

Bewusstseinsbildung als Herausforderung

Das Problem der IT-Sicherheit von industriellen Anlagen ist technisch weitestgehend gelöst. Geeignete Hardware, Software und unterstützende Dienstleistungen sind maßgeschneidert und inzwischen sogar von der Stange verfügbar. Nicht gelöst ist dagegen die strategische Koordination der Thematik auf einer politischen Ebene: Die Anforderungen des IT-Sicherheitsgesetzes sind ein Tropfen auf den heißen Stein. Außerdem ist das Management von IT-Sicherheit innerhalb von Industrieunternehmen oft mangelhaft: Security kostet Geld, bringt aber keine Produktion, weshalb oft lange nicht genug finanzielle und personelle Mittel bereitgestellt werden. IT-Sicherheit wird außerdem zu sehr als temporäres Projekt statt als langfristige Investition betrachtet.

Das größte und am schwierigsten zu lösende Problem besteht jedoch im mangelnden Sicherheitsbewusstsein der Mitarbeiter, die täglich mit den Assets umgehen, in ihrer Gutgläubigkeit, Unwissenheit oder Bequemlichkeit. Der Bewusstseinsbildungsprozess der Menschen wird eine der großen Herausforderungen für Industrieunternehmen werden. Wer sich wirklich schützen will, muss in die Aufklärung und Schulung der Mitarbeiter investieren.

 

Gemeinsam Strategien entwickeln

Machen Sie sich mit unserem Team auf den gemeinsamen Weg, um die Weichen für Ihre erfolgreiche Zukunft zu stellen!