Ver­netzte Dinge: Risi­ko­ab­wägung ist Muss

Die Risiken durch die Com­pu­te­ri­sierung der Maschinen sind viel­fältig; das Aus­spähen von Maschinen-Kon­fi­gu­ra­ti­ons­daten, die Mani­pu­lation von Steue­rungs­in­for­ma­tionen oder auch nur eine Ein­fluss­nahme auf die Qua­li­täts­si­cherung. Auch mit­tel­stän­dische Unter­nehmen müssen die Risiken sorg­fältig abwägen und Mit­ar­beiter sen­si­bi­li­sieren.

Die Minia­tu­ri­sierung der Infor­ma­ti­ons­tech­no­logie ver­ändert unsere Gesell­schaft und die damit ver­bun­denen Ver­än­de­rungen sind aus unserem Alltag nicht mehr weg­zu­denken. IT-Kom­po­nenten ziehen in alle mög­lichen Gegen­stände ein. Nicht nur Maschinen werden “schlauer” — auch all­täg­liche Gegen­stände (Fern­seher, Kaf­fee­ma­schinen, Zahn­bürsten) können zunehmend mehr — und auch autark — dank Chips und Netz­werken.

Die Risiken durch die Com­pu­te­ri­sierung der Maschinen sind viel­fältig; das Aus­spähen von Maschinen-Kon­fi­gu­ra­ti­ons­daten (für den Kon­kur­renten inter­essant), die Mani­pu­lation von Steue­rungs­in­for­ma­tionen (zur bewussten Fehl­steuerung, also Sabotage) oder auch nur eine Ein­fluss­nahme auf die Qua­li­täts­si­cherung (etwa indem Prüf­rou­tinen über­gangen werden) sind schon heute durch die Pro­gram­mier­barkeit der Kom­po­nenten möglich — die Kenntnis über Befehls­sätze, Schnitt­stellen und Zugangs­punkte reicht für Spionage und Sabotage schon aus. Aller­dings ist es dafür immer noch not­wendig, phy­si­ka­lisch in die Pro­duktion zu gelangen.

Durch die Stan­dar­di­sierung der Tech­no­logie und die damit ver­bun­denen Ver­net­zungs­ef­fekte ver­größert sich das Risiko nun erheblich, denn sowohl das Wissen über die Steu­er­barkeit einer Anlage oder eines Geräts als auch die Angriffs­punkte, um mit einer Maschine zu kom­mu­ni­zieren, sind nun ver­breitet ver­fügbar.

Um sich als KMU darauf vor­be­reiten zu können, ist es wichtig, sich der Risiken bewusst zu werden, welche durch die Ver­netzung der Industrie- und Pro­duk­ti­ons­an­lagen ent­stehen. Dafür bietet es sich an, einen Workshop mit allen ver­ant­wort­lichen Per­sonen durch­zu­führen, und sie zu fragen, was gerade nicht pas­sieren darf. Für die höchsten Risiken muss eine Risi­ko­stra­tegie her: Es muss ent­schieden werden, ob das Risiko über­wälzt werden kann (z.B. durch eine Ver­si­cherung), mini­miert werden kann oder ob die Geschäfts­leitung bereit ist, das Risiko zu akzep­tieren (dann bietet sich eine Rücklage in ange­mes­sener Grö­ßen­ordnung an). Sollte keine dieser Optionen möglich sein, dann muss das Risiko ver­mieden werden; und damit auch mög­li­cher­weise die Ele­mente der Ver­netzung, die das Risiko erst so groß machen.

Diese Vor­ge­hens­weise wird eine Reihe von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen nach sich ziehen. Die wich­tigsten Maß­nahmen sind die fol­genden:

• Zual­lererst muss das Netz, in dem die Pro­duk­ti­ons­ma­schinen laufen, von anderen Com­pu­ter­netzen getrennt sein. Viel Schad­software wird über die Arbeits­rechner der Mit­ar­beiter ein­ge­schleppt. Daher darf ins­be­sondere das Büro-Netzwerk keine beliebige Ver­bindung zum Pro­duk­ti­ons­netzwerk haben.
• Die Maschinen dürfen niemals “direkt” im Internet stehen. Anfragen an die Maschinen müssen immer über Proxies laufen, damit die Anfragen auf schad­hafte Inhalte kon­trol­liert werden können (durch „App­li­cation Level Fire­walls“).
• Am wich­tigsten ist jedoch die Sen­si­bi­li­sierung der Mit­ar­beiter: etwa dass keine fremde Hardware unge­prüft ange­schlossen werden darf oder dass die Fern­wartung durch den Lie­fe­ranten nur über sichere Kanäle erfolgen darf.

Dies betrifft aber nicht nur die indus­trielle Ver­netzung: auch zu Hause sollte abge­wogen werden, welche intel­li­genten Systeme Einzug halten und wie man sie ver­netzt. Schüt­zen­werte Daten sollten auf jeden Fall gesi­chert werden z.B. in der Cloud.

Anm: Der Beitrag ist zuerst in einer län­geren Version in der Zeit­schrift der IHK-Rhein-Neckar erschienen.