“Das Bewusstsein, angreifbar zu sein, nimmt in Fertigungsunternehmen zu“

Dr. Olaf Sauer und Dr. Christian Haas vom Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung

Politik und Wirtschaft sind sich einig, dass Cybersicherheit von zentraler Bedeutung ist. Auf der Hannover Messe vermitteln daher ausgewählte Fraunhofer-Institute und Fachhochschulen im Rahmen des Lernlabors Cybersicherheit, einer Weiterbildungsinitiative der Fraunhofer-Gesellschaft und ausgewählter Fachhochschulen  , aktuelle Erkenntnisse aus der Forschung. Über die Sicherheit in deutschen Fertigungsbetrieben, die größten Gefahrenpotentiale durch Cyberattacken und über die Ausbildung von IT-Sicherheitsfachleuten sprachen wir mit Dr. Olaf Sauer, stellvertretender Institutsleiter des Fraunhofer IOSB und Dr. Christian Haas, Fraunhofer IOSB, Abteilung Informationsmanagement und Leittechnik.  

Mit der zunehmenden Digitalisierung der Gesellschaft wächst das Bedrohungspotenzial von Cyberattacken. Wie ist es um die Sicherheit in deutschen Fertigungsbetrieben bestellt?

Christian Haas: Das Bewusstsein dafür, angreifbar zu sein, nimmt in Fertigungsunternehmen zu. Dennoch stellen wir in der Realität unserer Kunden fest, dass sich der Stand der IT-Sicherheit leider nicht einheitlich auf einem hohen Niveau befindet. Immer wieder haben wir es mit Firmen zu tun, bei denen Cybersicherheit und die gesamte IT noch nicht die nötige Aufmerksamkeit im Tagesgeschäft erhält. Glücklicherweise gibt es mittlerweile aber auch viele Unternehmen, die umfangreiche IT-Sicherheitsprogramme implementiert haben und dadurch bereits vor einem Großteil der Cyberangriffe geschützt sind.

 

Was sind – mit Blick auf Cyberattacken – die größten Gefahrenpotenziale und damit verbundene Folgen für Fertigungsbetriebe? Wogegen gilt es sich zu schützen?

Olaf Sauer: Industrie 4.0 lebt von der standortübergreifenden Vernetzung von Produktionsnetzen innerhalb des Unternehmens und mit weiteren Firmen entlang der Supply Chain. Dies hat einerseits Konsequenzen auf die Performanz der Produktionssysteme und andererseits auf die verwendeten Sicherheitsarchitekturen. Hier besteht dringender Handlungsbedarf, der sich nicht mehr nur auf das eigene Unternehmen beschränkt. Weil die Produktionsnetze vor der Einführung von Industrie 4.0-Technologien beispielsweise strikt voneinander getrennt waren, müssen Steuergeräte oder Feldbusse geschützt werden.

Christian Haas: Im ersten Schritt sollten sich Unternehmen damit befassen, welche Auswirkungen ein Ausfall der Produktion – und der Produktions-IT – hat und wie sie auf diesen Ernstfall vorbereitet sind. Im Anschluss sollten sie individuell entscheiden, wie sie mit dem vorhandenen Risiko umgehen wollen und ein IT-Sicherheitsprojekt aufsetzen. Es gibt mittlerweile eine Vielzahl von Dienstleistern und Standards, die sie dabei unterstützen.

Olaf Sauer: Über die technischen Risiken hinaus gibt es aber auch in jedem Unternehmen menschliche und organisatorische Schwachstellen. Die Mitarbeiterinnen und Mitarbeiter müssen dafür sensibilisiert werden, dass betriebsinternes Know-how wertvoll und zu schützen ist und dass es Leute gibt, die sich wettbewerbsrelevantes Wissen unerlaubt aneignen wollen. Darum können in der Fertigung zum Beispiel keine offenen USB-Ports mehr existieren, über die Mitarbeiter „mal eben etwas installieren, einspielen oder Daten abholen“ können.

 

Gut ausgebildete IT-Sicherheitsfachleute sind hierzulande rar gesät, welchen Beitrag leistet das Fraunhofer IOSB zusammen mit der Fraunhofer Academy und weiteren Kooperationspartnern, um diesem Notstand zu begegnen?

Olaf Sauer: Um im Wettlauf mit den Cyberkriminellen nicht ins Hintertreffen zu geraten, müssen Fach- und Führungskräfte ihnen einen Schritt voraus sein. Die Fraunhofer-Institute und Fachhochschulen bringen mit einem modularen Weiterbildungskonzept neueste Erkenntnisse aus der Forschung direkt in die Unternehmen. Kompakte Veranstaltungsformate in den Lernlaboren zur Cybersicherheit erlauben eine berufsbegleitende Qualifikation. Die flexibel kombinierbaren Module vermitteln Cybersicherheit für unterschiedliche Berufsrollen. Dadurch erhalten Fach- und Führungskräfte aus Industrie und öffentlicher Verwaltung eine kompakte Qualifizierung in hochwertigen Laboren mit aktueller IT-Infrastruktur. Sie stellen dort reale Bedrohungsszenarien nach, lernen deren Bedeutung und Konsequenzen zu erkennen und studieren geeignete Lösungskonzepte praxisnah in ihrem Einsatz und ihrem Wirkungsgrad.

Christian Haas: Das Konzept des Lernlabors garantiert dabei einen besonders schnellen Transfer in die Praxis, weil das das Gelernte von jedem Teilnehmer angewendet werden muss, zum Beispiel im IT-Sicherheitslabor, in dem Angriffe und Verteidigungsstrategien ausprobiert werden können.

 

Wie veranschaulichen Sie das Thema auf der Hannover Messe? Was erwartet die Besucher?

Christian Haas: Auf dem Stand der Fraunhofer Academy präsentieren wir im Rahmen unseres Lernlabors Cybersicherheit ein Demonstrator-Modul, wie wir es auch in den Schulungen einsetzen, inklusive „echten“ Angriffen und deren Auswirkungen. Hier können die Besucher live vor Ort sehen, wie sich Cyberattacken auf reale Industriekomponenten auswirken und bekommen so einen Einblick in Aufbau und Inhalt unserer Schulungen.

Olaf Sauer: In unserem Projekt SecurePLUGandWORK speichern wir die Eigenschaften und Konfigurationsdaten von Industriekomponenten. Über Sicherheitsmechanismen sind die abgelegten Daten verschlüsselt, ebenso deren Kommunikation. Aktuell sind wir dabei, spezielle Trainingsprogramme zum Thema IT-Security zu entwickeln, sodass wir neben dem Bewusstsein auch Methodenwissen vermitteln, wie sich Fertigungsunternehmen konkret schützen können.