IT-Sicherheit in der Instandhaltung – Nur gemeinsam sind IT und Service stark
Noch nie hatten es Cyberkriminelle so leicht, Maschinen zu hacken. Das liegt auch an der zunehmenden Vernetzung der Anlagen zum Zwecke der Instandhaltung. So halten Sie sich Hackerbanden vom Hals.
Steht bei Daimler und VW die Produktion, verlieren die Autobauer mehrere zehntausend Euro – pro Minute! In vielen anderen Branchen verursachen Betriebsunterbrechungen ähnlich hohe Kosten. Zugleich konnten Cyberkriminelle Maschinen und Anlagen jedoch noch nie so leicht angreifen und stilllegen wie heute.
Denn vier von zehn deutschen Unternehmen wollen 2021 mehr investieren, um ihre Produktion über das Internet der Dinge (IoT) zu vernetzen. Genau so viele Betriebe planen, ihre Systeme dabei enger an die ihrer Kunden, Lieferanten und Instandhaltungspartner anzubinden. Das belegt eine Studie des Marktforschungsunternehmens IDC aus dem vergangenen November. Jeder zweite Befragte hofft, durch seine Investitionen in das IoT produktiver zu werden und Kosten zu senken. Immerhin 47 Prozent der Umfrageteilnehmer versprechen sich, von der Vernetzung genauere Daten und damit eine bessere Entscheidungsgrundlage für viele Geschäftsbereiche zu bekommen.
Kein Smarter Service ohne vernetzte Maschinen
Instandhalter verstehen das: Sie gewinnen mit Hilfe vernetzter Sensoren in ihren Maschinen in Echtzeit ein präzises Bild über den Zustand der Anlagen und die Prozesse, die darauf ablaufen. Dieses Condition Monitoring erlaubt ihnen, Wartungsmaßnahmen mit ausreichend Vorlauf zu planen, so dass diese den Produktionsablauf möglichst wenig stören. Ausfallzeiten von Maschinen sinken so um bis zu 18 Prozent, Wartungskosten um immerhin 17 Prozent, ergab eine Studie der Technologieberatung Bearing Point.
Doch die smarte Instandhaltung setzt die Vernetzung der Produktionssysteme voraus. „Dabei sind Schnittstellen ‚nach außen’ immer ein potenzielles Einfallstor und können Schwachstellen für die IT-Sicherheit bedeuten über die Unternehmen angreifbar sind“, warnt Christian Jeske, Marketingleiter bei der Membrain GmbH. Cyberkriminelle dringen über diese Lücken in Firmensysteme ein, programmieren Maschinen um und legen sie still. Ihre Angriffe verursachen teure Schäden an den Anlagen oder führen zu Ausfallszeiten, statt die Produktionssysteme durch smarte und vorausschauende Instandhaltung verfügbarer zu machen. Zugleich stehlen Cyberkriminelle wettbewerbsrelevante Informationen über die Auslastung der Anlagen, die Qualität der auf ihnen ablaufenden Prozesse sowie Kundendaten und technische Betriebsgeheimnisse.
Mancherorts blüht das Geschäft mit Crime-as-a-Service
Ihre Dienste bieten vor allem Hacker in Osteuropa, Russland und China längst als Crime-as-a-Service an. Die Cyberbanden genießen dabei nicht selten die Rückendeckung der Regierungen in ihren Heimatländern. Auch können sie auf Ressourcen dieser Staaten zugreifen, stellt der Präsident des Digitalverbands Bitkom, Achim Berg, fest. Auftraggeber der Hacker sind oft vermeintlich seriöse Manager und Geschäftsleute. „Im globalen Wettbewerb kann jede Information über die Konkurrenz zum Vorteil werden – dafür greifen immer mehr Unternehmen zu kriminellen Mitteln“, erklärt Berg.
Im vergangenen Jahr wurden deshalb fast neun von zehn deutschen Unternehmen Opfer eines Angriffs aus dem Cyberspace, hat der Bitkom in einer Studie ermittelt. Insgesamt entstand dadurch ein Schaden in Höhe von 100 Milliarden Euro. Fast ein Drittel dieser Summe entfiel auf Schäden an Produktions- und Informationssystemen.
IT-Sicherheit ist die größte Herausforderung bei der Predictive Maintenance
Kein Wunder, dass die Sicherheit ihrer IT laut der Untersuchung von Bearing Point für 56 Prozent der Unternehmen die größte Herausforderung bei der Einführung von Systemen für die vorausschauende Wartung ist. Zumal Serviceingenieure und –techniker bereits ohne Predictive Maintenance vor großen Sicherheitsproblemen stehen. „Oft ist der unbedarfte Mitarbeiter im Fachbereich, wie der Instandhaltung, ein Risikofaktor. Der unsichere Umgang mit Systemen des Unternehmens wie Tablet PCs und Smartphones, bietet Cyberkriminellen oft eine offene Flanke – vor allem, wenn Mitarbeiter mit den Endgeräten außerhalb eines ansonsten gut abgesicherten Firmennetzwerks arbeiten“, erklärt Christian Jeske von Membrain.
Angriffsstellen für Hacker bieten sich aber auch auf dem Firmengelände selbst. So können Unternehmen zwar redundante IT-Systeme für ihre Büromitarbeiter vorhalten. In der Produktion kann es sich aber niemand leisten, eine zweite Fertigungslinie für Notfälle aufzubauen. Das macht es schwerer, die Software auf den vorhandenen Maschinen aktuell und sicher zu halten. Denn diese lässt sich in der Regel nur updaten, wenn die Produktionsleitung die Anlagen anhält.
Beim Bau mancher Maschine gab es die heutigen Sicherheitsprobleme noch nicht
“Zugleich stehen in den meisten Fertigungshallen Maschinen mehrerer Hersteller. Einige Geräte sind dabei so alt, dass es die heutigen Sicherheitsprobleme bei ihrer Inbetriebnahme noch gar nicht gab“, erklärt Peter Lukesch, Chief Operating Officer (COO) beim Spezialisten für Industrial IT, ondeso. Wenn auf diesen Maschinen Software läuft, lässt sie sich oft nicht mehr updaten. Auch ihre Wartung kann zum Sicherheitsrisiko werden. „Denn wenn sich die Maschinen nur von Servicetechnikern vor Ort instandhalten lassen, besteht zusätzlich die Gefahr, dass auf deren Laptops und Tablets Schadsoftware ins Unternehmen gelangt“, so Lukesch.
Das kann auch bei neuen Maschinen passieren, die Unternehmen im Rahmen eines Leasing- oder Abo-Modells betreiben. Denn meist darf nach den zugrundeliegenden Verträgen nur der Hersteller die Geräte warten. Dadurch werden unter Umständen dessen Servicemitarbeiter zu einem Sicherheitsproblem. Erfolgen Arbeiten im Rahmen einer Fernwartung können Angreifer auch über einen unzureichend gesicherten VPN-Zugang zu der Maschine in das Produktionsnetzwerk eindringen und Daten erbeuten, die nicht nach außen dringen sollten.
Auch wenn Hersteller die beim Betrieb von ihnen gelieferter Maschinen gemessenen Werte mit Künstlicher Intelligenz auf einer Plattform in der Cloud auswerten, erhalten sie fortlaufend Informationen, die Rückschlüsse über die aktuelle wirtschaftliche Lage ihres Kunden ermöglichen.
Instandhalter sind nicht für sichere IT-Prozesse verantwortlich
Für Instandhalter sind die Predictive-Maintenance-Services und rabattierten Ersatzteile, die ihnen der Maschinenlieferant im Gegenzug für die Daten anbietet, oft sehr attraktiv. Für die mit den Dienstleistungen in der Cloud verbundenen Sicherheitsprobleme interessieren sie sich dagegen meist weniger.
Sie müssen sich auch nicht im Detail damit beschäftigen, wie die Firewall ihres Unternehmens konfiguriert ist, wie die Kollegen aus der IT bei Fernzugriffen auf die Produktionssysteme sichere VPN-Tunnel aufbauen oder mit Hilfe von Deep Packet Inspection prüfen, ob Datenpakete manipuliert oder bei der Übertragung abgegriffen wurden. Servicemitarbeiter müssen nicht wissen, wie sich IT und Einkauf in den Verträgen mit ihren Partnern gegen Probleme im Bereich der IT-Sicherheit schützen, welche sicherheitsrelevanten Zertifizierungen Lieferanten und ihre Produkte haben, oder wie im Falle eines Datenverlusts die Haftung geregelt ist.
Sichere IT-Systeme müssen sich einfach bedienen lassen
Sie müssen sich aber mit den Kollegen aus der IT zusammensetzen und gemeinsam die für den jeweiligen Betrieb am besten geeignete IT-Sicherheitsrichtlinie erarbeiten. Dabei kommt den IT-Fachleuten die Aufgabe zu, Prozesse technisch so zu gestalten, dass sie möglichst sicher ablaufen und die Mitarbeiter in Produktion und Instandhaltung für sie wichtige Vorgänge wie den Aufbau eines sicheren VPN-Zugangs für eine Fernwartung mit wenigen Clicks starten und wieder beenden können. Denn nur, wenn sich Sicherheitssysteme leicht und intuitiv bedienen lassen, sind viele Beschäftigte bereit, die Lösungen zu nutzen. „Diese können aus Sicht der IT-Experten noch so gut sein, wenn sie bei den Anwendern in Fertigung und Service nicht auf Akzeptanz stoßen, werden sie schlichtweg nicht genutzt und tragen somit nicht zur IT-Sicherheit von Unternehmen bei“, bestätigt Christian Jeske von Membrain.
IT muss Instandhalter bei der Gestaltung sicherer Prozesse mit ins Boot holen
„Akzeptanz schaffen IT-Fachleute zudem nur dann, wenn sie IT-Sicherheitsrichtlinien auf die betrieblichen Anforderungen in der Produktion abstimmen“, ergänzt ondeso-COO Peter Lukesch. Wann Updates oder Patches die Fertigung am wenigsten stören, wüssten Produktionsverantwortliche und Instandhalter jedoch am besten. „Deshalb muss die IT sie bei der Gestaltung der IT-Sicherheitsprozesse mit ins Boot holen und ihre oft über Jahrzehnte erworbene Erfahrung und ihr Wissen anerkennen“, empfiehlt Lukesch.
Erst wenn IT, Instandhaltung und Produktion auf die Belange der Kollegen aus den jeweils anderen Abteilungen Rücksicht nehmen, entstehe die Akzeptanz, die es braucht, damit die für die Sicherheit der IT-Systeme erforderlichen Abläufe von allen Mitarbeitern eingehalten werden. Nur dann können sich Unternehmen aber davor schützen, dass Cyberkriminelle ihre Produktionsanlagen angreifen, sie stilllegen und teure Schäden verursachen.