Bimos Magazin - Sicherheitskonzepte 4.0 - IT Security und Datenschutz

Sicherheitskonzepte 4.0 - IT Security und Datenschutz

Die Industrie 4.0 lebt von der Vernetzung ganzer Unternehmenskomplexe inklusive der Steuerung, der Produktion, der Supply Chain und des Vertriebs. Vernetzung ermöglicht völlig andere Arten von Arbeit, schafft aber auch neue Risikoquellen in Bezug auf Datenschutz und IT Security. Für viele Unternehmer sind sowohl Chancen wie auch Risiken noch komplettes Neuland. Daher ist es wichtig, sich mit ihnen sehr genau auseinanderzusetzen und sich darüber zu informieren, wie man im Zuge der digitalen Transformation zum frühestmöglichen Zeitpunkt eine umfassende IT Security implementiert und den Datenschutz so sicher wie möglich gestaltet.


Definition und Abgrenzung IT Security und Datenschutz



Für allzu viele Unternehmer sind IT Security und Datenschutz noch ein und dasselbe. Das ist allerdings nicht ganz richtig: Im Zuge einer umfassenden IT Security kann man sich zwar auch um einen wasserdichten Datenschutz kümmern, allerdings ist dies nur ein kleines Feld in einem sehr großen Aufgabenbereich.

Datenschutz bedeutet, dass die Daten, die im Zuge der Interaktion mit den Kunden sowie mit den Mitarbeitern, aber auch im Laufe des Herstellungsprozesses in der Industrie 4.0 erhoben und gesammelt werden, vor jedem Zugriff von außerhalb geschützt werden. Gleichzeitig ist sicherzustellen, dass sie auch innerhalb des Unternehmens nur so genutzt werden, wie es der Gesetzgeber erlaubt. Es ist wichtig, sich ins Gedächtnis zu rufen, dass jeder Nutzer, der seine Daten weitergibt, ihrer Verarbeitung für bestimmte Zwecke aktiv zustimmen muss: Inzwischen gilt ein grundsätzliches Verarbeitungsverbot, das lediglich durch die Zustimmung des Nutzers zur Verarbeitung für bestimmte Zwecke außer Kraft gesetzt werden kann.

Die IT Security hat unter anderem den Auftrag, die erhobenen Daten zu sichern, sodass sie nicht in die falschen Hände fallen. Darüber hinaus aber muss sie auch dafür sorgen, dass keinerlei Betriebsgeheimnisse nach außen dringen und dass niemand von außen mittels Cyberattacken in das stark angewachsene Netzwerk eingreifen und Veränderungen vornehmen kann. Es gilt, sowohl die Hardware als auch die Software des Unternehmens zu schützen – und wie sehr diese Aufgabe mit der zunehmenden Vernetzung wächst, ist nur schwer vorstellbar: Keine Schnittstelle, kein Endgerät darf unüberwacht bleiben.


IT Security in der Industrie 4.0



Notwendigkeit und Gefahren

Der erste Schritt für jeden Unternehmer ist, sich zu vergegenwärtigen, dass sein Unternehmen ein potenzielles Ziel für Attacken ist. Diese können ganz unterschiedliche Gründe haben: Jemand möchte die Daten der Kunden oder Mitarbeiter an sich bringen, jemand betreibt Industriespionage, jemand möchte das Unternehmen schädigen oder jemand mit den passenden Fähigkeiten ist verärgert und möchte etwas Chaos anrichten.

Die Notwendigkeit zum Schutz ist also auf jeden Fall gegeben. Der Datenschutz für die Kunden ist eine gesetzliche Notwendigkeit, doch der Schutz des eigenen Unternehmensnetzwerks kann für das Überleben des Unternehmens von ausschlaggebender Bedeutung sein. Weshalb, zeigt sich in den folgenden Szenarien.

Szenarien nicht gut abgesicherter Netzwerke in der Industrie 4.0

Erst 2017 wurde die Bahn in 150 Ländern Ziel eines Hackerangriffs, der die Anzeigentafeln außer Gefecht setzte und teilweise Fahrkartenautomaten funktionsuntüchtig machte. Über einen längeren Zeitraum hinweg war es den Verantwortlichen unmöglich, des Problems Herr zu werden – es handelte sich um einen Trojanerangriff, dessen Auswirkungen mühevoll einzeln von Fachleuten vor Ort behoben werden musste. Im Nachgang wurde eine Task Force gebildet, die derartige Angriffe in der Zukunft verhindern soll.

Diese Vorgehensweise lässt sich leicht mit anderen Motiven auf die Industrie übertragen, etwa auf Fälle von
  • Spionage: Ein Unternehmen arbeitet mit Big Data in der Produktion. Die Daten werden in Echtzeit gesammelt und ausgewertet, was eine Optimierung der Produktionsabläufe erlaubt und die frühzeitige Feststellung von Unregelmäßigkeiten. Findet ein Hacker allerdings ein Schlupfloch, kann er sich der Datenmengen bemächtigen und sie einem Konkurrenten zur Verfügung stellen. Dieser kann die Vorteile des ausspionierten Produkts für sein eigenes übernehmen und so Marktvorteile gewinnen.
  • Sabotage: Manche Menschen können ein Interesse daran haben, dass ein Unternehmen einen Schaden erleidet. In diesem Fall kann ein Cyber-Angriff auf Sabotage abzielen. Vor allem in stark automatisierten Unternehmen, wie sie in der Industrie 4.0 immer häufiger werden, können kleine Veränderungen der Befehle Übles bewirken: Werden beispielsweise bei einem Hersteller bestimmter Bauteile die Abmessungen unmerklich verändert, kann das bei ungenügender Aufmerksamkeit dazu führen, dass alle Produkte über einen längeren Zeitraum unbrauchbar werden. Das würde ein riesiges Verlustgeschäft bedeuten: Die Materialien wurden gekauft und verwendet, sind aber nicht verkäuflich. Es kommt zu Engpässen, die Auslieferungszeiten der Verträge können nicht eingehalten werden. Neben den finanziellen Einbußen kommt es zu einem Vertrauensverlust bei den Käufern, die sich auf die Lieferung verlassen haben.



Mögliche Lösungsansätze zum Datenschutz und für die IT Security



Es gibt eine ganze Reihe von Wegen, auf die IT Security in der Industrie 4.0 die Unternehmen schützen können. Dazu zählen

    Firewalls und Virenscanner
  • Verhinderung der Installation unautorisierter Software
  • Verschlüsselungen
  • Endpoint Protection
  • Schnittstellenkontrolle
  • Monitoring


Firewalls und Virenscanner zählen zum kleinen Einmaleins der IT Security. Allerdings sollten sie immer auf dem neusten Stand und in der Lage sein, auch neue Cyber-Attacken abzuwehren. Es reicht hier nicht, einmalig die Software zu installieren und zu hoffen, dass sie für immer zuverlässig arbeitet: Viren werden immer raffinierter, und Hacker finden laufend neue Schlupflöcher.

Es gibt Programme, die automatisch die Installation unautorisierter Software verhindern. Diese sind grundsätzlich ein weiteres gutes Mittel zu Schutz vor Cyberattacken, doch sie müssen, um das Netzwerk wirksam zu schützen, ähnlich wie die Firewalls, die Virenscanner und auch die Verschlüsselungen auf allen Endgeräten genutzt werden, die mit dem Netzwerk in Verbindung stehen. Diese Endpoint Protection wird vor allem in dem Moment wichtig, in dem Mitarbeiter mit ihren Tablets oder Smartphones auch von Zuhause oder von unterwegs aus auf das Unternehmensnetzwerk zugreifen.

Unternehmensnetzwerke hat es immer schon gegeben, aber in Zeiten von Big Data und der Industrie 4.0 nehmen sie vollkommen neue Ausmaße an. Das bedeutet, dass die Schnittstellen viel zahlreicher werden. Wo immer jemand legal auf die Daten zugreifen darf, gibt es eine Schwachstelle. Daher ist die Schnittstellenprotektion besonders wichtig. Es gibt dafür spezielle Softwarelösungen.

All diese Maßnahmen zum Datenschutz und zum Schutz des Unternehmensnetzwerkes bringen aber nur wenig, wenn sie nicht laufend überwacht werden. IT Security ist ein aktiver Posten: Spezialisten verbringen ihre Arbeitszeit damit, alle Schutzmaßnahmen im Auge zu behalten und bei der kleinsten Unregelmäßigkeit sofort einzugreifen. Da Cyberattacken immer kreativer werden und Viren stets ihre Vorgehensweise verändern, funktionieren die Abwehrmechanismen nicht selbstständig lückenlos. Es bedarf des wachen Auges der IT-Sicherheitsspezialisten, um subtile aggressive Aktionen zu erkennen und ohne Zeitverzögerung dagegen vorzugehen. Sie übernehmen das Security-Monitoring.


Datenschutz in der Industrie 4.0



Anforderungen und Besonderheiten

Im Dezember 2018 hatte ein Hacker eine Art Adventskalender veröffentlicht, in dem er private Daten von Prominenten, darunter auch Politikern, veröffentlichte. Sein Motiv war die Bloßstellung der betroffenen Personen. Der Hacker, der sich "Orbit" nannte, wurde gefasst und die Union aus CDU und CSU forderte eine Verschärfung des IT-Sicherheitsgesetzes. Der Schaden allerdings war angerichtet, der Hacker hatte sein Ziel erreicht: Verschiedene der betroffenen Personen berichteten von Drohanrufen, die sie bekamen.

Stiehlt jemand die Kundendaten eines Unternehmens der Industrie 4.0, ist Bloßstellung nicht das Motiv. Hier ermöglicht die Weitergabe von Kundendaten an die Konkurrenz aber zum Beispiel massive Werbung durch den Profiteur. Das kommt allerdings höchst selten vor. Häufiger werden die Daten von Kriminellen genutzt, die Identitätsdiebstahl begehen und die erbeuteten Kreditkartennummern verwenden. Auf jeden Fall zieht dies gesetzliche Schwierigkeiten für den bestohlenen Unternehmer nach sich: Er haftet für den Datendiebstahl und muss auf jeden Fall einen Notfallplan vorweisen können.


Lösungsansätze für Prävention des Datendiebstahls sowie Schadensbegrenzung

Jeder Unternehmer, der Daten von seinen Kunden erhebt, ist dazu verpflichtet, sie so gut wie möglich zu schützen. Das bedeutet, dass alle notwendigen technischen Vorkehrungen für den Datenschutz getroffen werden müssen und dass die Verantwortlichen der IT Security die Datenüberwachung ins Monitoring mit einbeziehen. Sie können sich bei Unregelmäßigkeiten oder fehlgeschlagenen Login-Versuchen benachrichtigen lassen.

Wichtig ist, dass alle Mitarbeiter Bescheid wissen, wen sie im Ernstfall sofort zu verständigen haben. Laut DSGVO muss jeder Datendiebstahl so schnell wie möglich, spätestens aber nach 72 Stunden gemeldet werden. Besteht ein hohes Risiko für die Persönlichkeitsrechte der Kunden, müssen auch sie benachrichtigt werden.


Fazit: IT Security muss von Anfang an lückenlos arbeiten



Kein Schritt in der Industrie 4.0 sollte ohne die IT Security absolviert werden! In ganzheitlich vernetzten Unternehmen ist es absolut unabdingbar, dass auch ein einheitlicher Schutz geschaffen wird. Firewalls, Virenscanner, Verschlüsselungen, Schnittstellenkontrolle und Endpoint Protection sind wichtige Bausteine einer funktionalen IT Security, aber erst das Security Monitoring macht die Schutzmaßnahmen tatsächlich wirksam. Nur so lassen sich Cyberattacken verhindern, und nur so gelingt es, sich keine Viren einzufangen. Spionage und Sabotage können aus den unterschiedlichsten Motiven versucht werden – es bleibt nichts anderes zu tun, als sich sorgfältig darauf vorzubereiten. Die Frage in der Industrie 4.0 ist nicht, ob, sondern wann ein Angriff erfolgt.

Auch der Datenschutz muss sorgfältig geplant und engmaschig durchgeführt werden – nicht nur der höheren Bußgelder wegen, die seit Inkrafttreten der DSGVO gelten, sondern auch zum Schutz der Kunden: Wer einen Identitätsdiebstahl erleben muss, wird dem Unternehmen, das seine Daten verloren hat, kein Vertrauen mehr schenken. Damit die Schutzmaßnahmen sowohl für die Daten wie auch für das Unternehmensnetzwerk angemessen durch die Mitarbeiter unterstützt werden können, sind sorgfältige und frühzeitige verpflichtende Schulungen zur Arbeit mit den neuen Schutzmaßnahmen für alle unabdingbar.


  2
  0



         


zurück zur Übersicht PDF drucken