Sicherheitslücken: FH-Experte sieht problematische Entwicklung

Von: Thorsten Karbach
Letzte Aktualisierung:
11007224.jpg
So sieht sie aus, die digitalisierte Arbeitswelt: Bei Bosch in Immenstadt werden mit einem Tablet die Betriebsdaten von vernetzten Maschinen für Metallspritzguss erfasst. Foto: dpa
11008347.jpg
Sieht Nachholbedarf bei der IT-Sicherheit deutscher Unternehmen: Prof. Marko Schuba, IT-Experte der FH Aachen. Foto: Andreas Steindl

Aachen. Die deutsche Industrie setzt auf Vernetzung. Sie baut in Maschinenbau und anderen Branchen auf die weitere Digitalisierung der Produktion, auf miteinander kommunizierende Maschinen und ständige Verfügbarkeit von Daten.

„Industrie 4.0“ wird diese Entwicklung seit einer Weile genannt, und sie wird immer wieder als große Chance für die deutsche Wirtschaft bezeichnet – das Ganze wird großes Thema bei der Cebit 2016. Das ist jetzt schon klar. Doch unproblematisch ist die ganze Entwicklung nicht, wie Marko Schuba weiß. Der Professor mit den Schwerpunkten Datennetze, IT-Sicherheit und IT-Forensik am Fachbereich Elektrotechnik und Informationstechnik an der FH Aachen sieht, dass die notwendigen Sicherheitsvorkehrungen mit den Entwicklungen in der Produktion nicht Schritt halten.

Mit seinem Institut für IT-Sicherheit in industriellen Steuerungssystemen (ISICS) und in Zusammenarbeit mit der FH Aachen untersucht er darüber hinaus die Situation in der Industrie. Während Firmen in Zäune, Pförtner, Wachpersonal, Kameras und vieles mehr investierten, würde die IT-Sicherheit demnach nicht ausreichend bedacht. IT-Schwachstellen verursachten allein im deutschen Mittelstand jährlich Schäden im zweistelligen Milliarden-Bereich, heißt es vonseiten der Deutschen Industrie- und Handelskammer, die gerade eine Aufklärungskampagne für IT-Sicherheit vorgestellt hat.

Herr Schuba, sind Sie schon einmal Opfer eines Hackerangriffs geworden?

Schuba: Das lässt sich kaum vermeiden. Wenn Sie einen Rechner mit dem Internet verbinden, wird dieser schon Minuten später automatisch auf mögliche Schwachstellen hin gescannt. Und auch das Surfen im Web birgt Gefahren. Schadsoftware gibt es auf vielen Webseiten, auch auf ganz normalen – ohne Wissen der jeweiligen Betreiber. Da reicht manchmal schon das Ansehen der Webseite, um sich zu infizieren.

Welche Konsequenzen haben Sie daraus gezogen? Einen Virenscanner werden Sie doch bestimmt haben…

Schuba: Klar habe ich einen Virenscanner. Ich habe auch eine Firewall und halte die Software auf meinem Rechner aktuell. Trotzdem prüfe ich meinen Rechner regelmäßig auf Schadsoftware und sorge dafür, immer ein aktuelles Backup zu haben. Es gibt Schadprogramme, gegen die helfen all die Maßnahmen oben nicht. Manche davon verschlüsseln die Daten des Benutzers. Ohne Backup ist alles weg.

Gilt die Faustregel: Je mehr IT im Einsatz ist, umso mehr Angriffsfläche gibt es für Hacker und Manipulationen?

Schuba: Ja, insbesondere dann, wenn die IT direkt oder indirekt mit dem Internet verbunden ist. Alles, was vernetzt ist, ist potenziell von jedem Punkt der Welt aus angreifbar. Und je mehr Systeme im Einsatz sind, umso mehr Schwachstellen gibt es, die ein Angreifer ausnutzen kann.

Die deutsche Industrie ist auf dem Weg zur Digitalisierung, Maschinen werden vernetzt und kommunizieren untereinander. Das alles ist mit „Industrie 4.0“ überschrieben. Wächst der IT-Sicherheitsgedanke dabei genauso schnell?

Schuba: Industrie 4.0 bietet tatsächlich viele Chancen, industrielle Prozesse effizienter zu gestalten und Deutschland im weltweiten Wettbewerb weiterhin gut zu positionieren. Das darf nicht durch paranoides Sicherheitsdenken blockiert werden. Andererseits darf man die Sicherheitsproblematik, die mit der Vernetzung von Industrieanlagen einhergeht, auch nicht ignorieren. Hier gibt es noch Verbesserungsbedarf.

Welche Defizite sehen Sie?

Schuba: Defizite sehe ich vor allem in der fehlenden Problemkenntnis. Derzeit setzen sich viel zu wenige Unternehmen der Industrie mit den Risiken vernetzter Industrieanlagen auseinander. Das betrifft die Hersteller genauso wie die Integratoren und die Betreiber der Anlagen. Erst wenn man die Risiken kennt – und hier muss man systematisch vorgehen –, kann man sagen, ob der Schutz angemessen ist. Dazu bilden wir Unternehmen in diesen Bereichen weiter.

Damit ist also Wirtschaftskriminalität oder auch Industriespionage in der digitalen Form Tür und Tor geöffnet?

Schuba: Spionage ist tatsächlich das kleinere Problem. Wenn ich spionieren möchte, dann versuche ich lieber direkt in die Büro-IT einzudringen oder halte mich an die Mitarbeiter. Als viel problematischer im Anlagenumfeld sehe ich den Schutz der Verfügbarkeit von Systemen und die Integrität von Produktionsdaten. Was ist, wenn eine Industrieanlage ausfällt? Oder wenn sie über einen längeren Zeitraum fehlerhaft produziert? Das kann teuer werden.

Das Thema Sicherheit muss also schon bei der Planung jedes weiteren Schrittes zur Digitalisierung des Maschinenparks etc. mit bedacht werden?

Schuba: Richtig. Industrie 4.0 wird nur dann ein Erfolg, wenn auch die IT-Sicherheit in den Projekten von Beginn an mit bedacht wird. Das ist auch effizienter. Sicherheit später nachzurüsten ist meistens viel teurer, wenn nicht gar unmöglich.

Die FH Aachen reagiert darauf mit entsprechenden Lehrveranstaltungen. Brauchen wir für das Thema speziell ausgebildete Experten für die Zukunft?

Schuba: Ja, weil das Wissen von Fachleuten aus der Automatisierung mit dem von Informatikern kombiniert werden muss. Informatiker kennen sich mit Sicherheitsproblemen aus, Automatisierer kennen die spezifischen Anforderungen und Technologien der Industrie-IT. Für die Studierenden der FH soll es dazu im kommenden Jahr eine erste gemeinsame Veranstaltung für die Studiengänge Informatik und Elektrotechnik/Automatisierungstechnik geben. Und für die Wirtschaft bieten wir über das Institut für IT-Sicherheit in Industrial Control Systems ebenfalls Kurse an.

Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert