27. Apr 2020
|
Business
Industry Security ist oft zu wenig im Fokus
Journalist: Armin Fuhrer
Bei VDMA, Fraunhofer ISI, Bitkom und BSI herrscht Einigkeit darüber, dass viele Betriebe in Deutschland zu wenig für ihre Industry Security tun. Denn dieses dynamische und komplexe Thema erfordert ständige Beobachtung und Aktualisierung der Sicherheitsmaßnahmen.
Dr. Katharina Eylers, Referentin Industrie 4.0 & Technische Regulierung bei Bitkom e.V., Foto: Presse
„Digitale Angriffe haben im vergangenen Jahr bei 70 Prozent der Unternehmen in Deutschland einen Schaden verursacht“, sagt Dr. Katharina Eylers, Referentin Industrie 4.0 & Technische Regulierung bei Bitkom e.V. „Im Jahr 2017 waren es erst 43 Prozent. Gerade dem mittelständisch geprägten deutschen Maschinen- und Anlagenbau fehlt es häufig an Wissen und Ressourcen, um sich mit diesem komplexen Thema der IT-Sicherheit zu beschäftigen.“
Beim deutschen Mittelstand ist digitaler Wirtschaftsschutz noch nicht flächendeckend etabliert. Aufgrund ihrer kleinen bis mittleren Größe könnten sich viele Unternehmen oftmals nicht vorstellen, als attraktives Ziel für einen Angriff zu gelten. Zudem sind die Gefahren im Tagesgeschäft nicht sichtbar – im Gegensatz zu den Kosten, die ein adäquater Schutz mit sich bringen würde. „Beinahe alle Unternehmen verfügen zwar über einen Basis-Schutz, in dem sie z. B. auf ihren Geräten Passwort-Zugang, Firewalls und Virenscanner installiert haben“, so Dr. Eylers. Da Umfang und Qualität der Angriffe jedoch drastisch zugenommen haben, reiche dieser Schutz heute nicht mehr aus. Dr. Eylers sieht dabei die Infizierung mit Schadsoftware und die sogenannten Zero Day Exploits als größte Gefahren. Die meisten Angriffe kommen aus osteuropäischen Ländern, gefolgt von China und Russland, die Hauptziele sind Sabotage und Erpressung.
„Datendiebstahl war eins der häufigsten Delikte im letzten Jahr“, so Dr. Eylers. „Bei der Hälfte der betroffenen Unternehmen wurden Kommunikationsdaten wie Emails gestohlen, bei jedem vierten sind auch Finanzdaten, Mitarbeiterdaten und Kundendaten abgeflossen. Interessanterweise ist der Abfluss unkritischer Business- Informationen stark zurückgegangen. Dieses Ergebnis wiederum deutet darauf hin, dass die Angreifer zunehmend professioneller und gezielter vorgehen.“
Es existieren bisher hierzulande keine verpflichtenden Standards für die Industrie, nur wenn ein Unternehmen in den KRITIS-Bereich fällt, muss für die Organisation der Stand der Technik eingehalten werden. Auf Produktebene setzen sich zumindest im Maschinenbau und der Industrieautomation gewisse Normen durch, wie der maßgeblich von Siemens vorangetriebene Standard IEC 62443, der die IT-Sicherheit für industrielle Systeme regelt. Diese fordert einen „Plan-Do-Check-Act“ (PDCA), der bereits bei der Entwicklung neuer Maschinen ansetzt und dazu sämtliche Zulieferer ins Visier nimmt.
Bei Bitkom e.V. beschäftigen sich mehrere Arbeitskreise mit dem Thema, unter anderem auch im Austausch mit der Abteilung Wirtschaftsschutz vom Bundesamt für Verfassungsschutz, oder dem Bundesamt für Sicherheit in der Informationstechnik.
Weitere Informationen gibt es in dem gerade erschienenen Bericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt“, zu finden auf der Website der Bitkom.
