VDMA: Menschliches Fehlverhalten und Sabotage gefährden Fertigung

| Redakteur: Michael Eckstein

Verbreiterte Angriffsfläche: Unternehmen geben auch mit einer Cloud vernetzte Komponenten als mögliches Einfallstor für Hacker an.
Verbreiterte Angriffsfläche: Unternehmen geben auch mit einer Cloud vernetzte Komponenten als mögliches Einfallstor für Hacker an. (Bild: gemeinfrei / Unsplash)

Security-Standards für die Produktion sind bekannt, werden aber kaum angewendet: Das ist das ernüchternde Ergebnis einer neuen VDMA-Studie zum Thema Industrial Security. Kapitalschäden und Produktionsausfälle sind die häufigsten Folgen.

Mit zunehmender Vernetzung wächst die Gefahr von Cyber-Angriffen auf industrielle Fertigungsanlagen – auch im industriellen Mittelstand. Doch obwohl viele Betriebe im Maschinenbau sich dieser Bedrohung bewusst sind, rüsten sie sich nicht ausreichend dagegen. Zu diesem Schluss kommt der Verband der Deutschen Maschinen- und Anlagenbauer, kurz VDMA, in seiner neuen Studie „Industrial Security“. Dazu hat der Verband insgesamt 62 produzierende Unternehmen befragt.

„Rund 60 Prozent der befragten Unternehmen gehen davon aus, dass die Zahl der Sicherheitsvorfälle in den nächsten Jahren zunehmen wird“, warnt Steffen Zimmermann, Leiter des VDMA Competence Center Industrial SecurityBereits heute seien Security-Vorfälle eine Bedrohung, wie die betroffenen Unternehmen bestätigen würden. Die Hälfte der Befragten berichtete demnach von finanziellen Schäden als Folge, gut 30 Prozent nennen sogar Produktionsausfälle. Immerhin habe es in den vergangenen zwei Jahren keine sicherheitsrelevanten Vorfälle gegeben, bei denen Menschen oder die Umwelt zu Schaden gekommen sind. „Zumindest konnten keine derartigen Fälle auf einen Sicherheitsvorfall zurückgeführt werden", sagt Zimmermann.

Es gibt nicht den einen, verbindlichen Security-Standard

Erfreulich sei, dass anerkannte Normen für die industrielle Sicherheit in der Branche geläufig sind: Immerhin 83 Prozent der Unternehmen kennen zumindest die gängigen Security-Standards. Das heißt aber offensichtlich nicht, dass diese auch zur Anwendung kommen – hier besteht laut Zimmermann noch einiges an Nachholbedarf: Lediglich rund 40 Prozent der Unternehmen nutzen einen Security-Standard in der Praxis. Nach wie vor bestehe das Problem, dass es für den Maschinen- und Anlagenbau keinen einzelnen verbindlichen Security-Standard gebe. VDMA-Experte Zimmermann rät daher: „Wenn ein Unternehmen technische und organisatorische Maßnahmen einsetzt, sollten sich diese an standardisierten Vorgehensweisen orientieren.“

Rund 70 Prozent der befragten Unternehmen mit einer Security-Richtlinie haben Security-Anforderungen in ihre Einkaufsbedingungen integriert oder planen die Erweiterung des Geltungsbereiches auf die Beschaffung bis 2020. Darüber hinaus hat die Security-Richtlinie für die Produktion in vielen Unternehmen (rd. 40 Prozent) bereits auch ihre Gültigkeit für externe Dienstleister wie Anlagenhersteller oder Servicetechniker. Bis 2020 wollen dann sogar mehr als 80 Prozent der Unternehmen dies realisieren. Besonders in Bezug auf eine gemeinsame kontinuierliche Weiterentwicklung der Industrial Security ist eine Verbreitung und Anwendung der Richtlinie auch außerhalb des eigenen Unternehmens bei Herstellern und Integratoren vorteilhaft.

Die 10 größten Bedrohungen für die Produktion

Die Teilnehmer bewerteten das Risiko für ihr eigenes Unternehmen anhand der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten „Top 10 Bedrohungen für Industrial Control Systems“. Demnach gehören in Produktionsumgebungen zu den größten Bedrohungen:

  • 1. Menschliches Fehlverhalten und Sabotage
  • 2. Einschleusen von Malware
  • 3. Social Engineering und Phishing
  • 4. Infektion mit Malware über Internet/Intranet
  • 5. Technisches Fehlverhalten und höhere Gewalt
  • 6. (D)DoS-Angriffe
  • 7. Kompromittierung von Extranet- und Cloud-Komponenten
  • 8. Einbruch über Fernwartungszugänge
  • 9. Internetverbundene Steuerungskomponenten
  • 10. Kompromittierung von Smartphones im Produktionsumfeld

Menschliches Versagen und Sabotage sehen die befragten Unternehmen als die größten Bedrohungen an. Daher empfiehlt Zimmermann als „wichtigsten organisatorischen Schritte die klare Definition von Vorschriften und Schulungen, bevor große Investitionen in technische Lösungen getätigt werden“. Der VDMA bemängelt, dass viele Teilnehmer ihre Gefährdungsbeurteilung nicht auf eine gründliche Risikoanalyse stützen. Lediglich rund 41 Prozent der Teilnehmer hätten ein Risikomanagement eingeführt und dadurch ein klareres Bild von der tatsächlichen Bedrohungssituation für ihre Maschinen- und Anlagensysteme. Vorreiter sind in diesem Fall die großen Unternehmen mit über 1.000 Mitarbeiter mit 58 Prozent.

Extranet- und Cloud-Komponenten als Einfallstore

Interessant: Viele Unternehmen befürchten mittlerweile offenbar, dass kompromittierte Extranet- und Cloud-Komponenten als Einfallstor für Hacker dienen können und darüber Gefahr für die Produktion droht. Mit zunehmender Vernetzung der Anlagen beispielsweise über Industrial-IoT-Lösungen öffnen sich tatsächlich immer mehr Angriffsmöglichkeiten. Neu in der Liste der häufigsten Cyber-Bedrohungen und gleich auf Platz 3 steht „Social Engineering und Phishing“. Unternehmen mit mehr als 1.000 Mitarbeiter beurteilen diesen Bedrohung sogar als besonders risikoreich.

Über sein Tochterunternehmen VSMA bietet der VDMA inzwischen Dienstleistungen an, die Maschinen- und Anlagenbauern helfen sollen, die Cyber-Risiken für ihre Standorte zu minimieren. Dazu zählt ein webbasiertes Tool zur Cyber-Risikoprüfung, mit dem sich das eigene Gefahrenpotenzial einschätzen lassen soll. Im Mittelpunkt stehe Hilfe zur Selbsthilfe, betont der VDMA.

Grundsätzlich empfiehlt der Branchenverband, beim Einkauf von Komponenten, Maschinen oder Anlagen Security-Anforderungen und damit verbundene Risiken zu berücksichtigen. Zudem sei eine enge Abtimmung zwischen Produktion und IT wichtig. In speziellen Abnehmerbranchen des Maschinenbaus gibt es Security-Anforderungen an Zulieferer, die auch für den Einkauf und den Betrieb der eigenen Produktionsanlagen mit Berücksichtigung finden müssen (z.B. TISAX im Automotive-Bereich 8).

Vom IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen (KRITIS) sind die befragten Unternehmen bisher nicht direkt betroffen. Nur etwa ein Fünftel wird aufgrund der Tätigkeit als Servicedienstleister, Komponentenlieferant oder Integrator davon berührt.

Start-up entwickelt neues Verfahren für die Produktion von elektronischen Baugruppen

Start-up entwickelt neues Verfahren für die Produktion von elektronischen Baugruppen

04.07.19 - Forscher der TU Dresden haben eine neue Technologie entwickelt, mit der die Hausung und Kontaktierung der Bauelemente individuell für den jeweiligen Anwendungszweck gefertigt wird. lesen

Stromausfall zerstört mindestens 6 Exabyte NAND-Flash in Toshiba-Memory-Fabs

Stromausfall zerstört mindestens 6 Exabyte NAND-Flash in Toshiba-Memory-Fabs

02.07.19 - Ein Stromausfall hat eine Flash-Fabrik von Toshiba Memory lahmgelegt und Wafer mit mindestens 6 EByte NAND-Flash-Kapazität zerstört. Der Vorfall beschädigte laut Joint-Venture-Partner Western Digital auch Fertigungsmaschinen. Wann die Produktion wieder voll anlaufen kann, ist noch unklar. lesen

Kommentar zu diesem Artikel abgeben
Vermutlich aus dem gleichen Grund, warum große RAM-Produzenten keine USV für Ihre...  lesen
posted am 10.07.2019 um 12:38 von HeldVomFeld

Ich würde gerne ansatzweise verstehen, warum so viele Unternehmen dermaßen schludrig mit dem Thema...  lesen
posted am 10.07.2019 um 10:43 von Olaf Barheine


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46015737 / Elektronikfertigung)