Wie die Schweizer Industrie mit steigenden Cyberbedrohungen umgeht

Woran denken Sie als Erstes, wenn Sie die Bezeichnung "Industrie 4.0" hören?

Robert Rudolph: Zunächst ist der Begriff heute etwas überstrapaziert. Er hilft aber den Unternehmen, ein ganzheitliches Verständnis zu schaffen, wie mit den Entwicklungen der Digitalisierung die eigene Wettbewerbsfähigkeit gestärkt werden kann.

Wo steht die Schweiz auf dem Weg zur vernetzten Produktion?

Um die Chancen der Digitalisierung nutzen zu können, braucht es drei Erfolgsfaktoren: geeignet ausgebildete Mitarbeitende, Veränderungsfähigkeit und die Möglichkeiten, zu investieren. Auch wenn sich der Fachkräftemangel noch verschärfen wird, sind die Schweizer Firmen bezüglich dieser Erfolgsfaktoren gut gerüstet.

Eine smarte Fabrik lebt von der Verbindung zwischen Betriebstechnologien (OT) und IT. Was ermöglicht die Konvergenz zwischen diesen Bereichen?

Aus meiner Sicht besteht noch viel Effizienzpotenzial in einer noch stärkeren Vernetzung. Dazu muss aber die Bereitschaft wachsen, die eigenen Geschäftsprozesse und -modelle noch stärker zu hinterfragen und zu verändern. Das Silodenken ist vielerorts noch stark verankert. Es ist aber auch wichtig, zu verstehen, dass sich die Firmen mitten in einer evolutionären Entwicklung befinden und nicht in kürzester Zeit das ganze Potenzial realisieren können. Bei der angesprochenen Konvergenz kommt ausserdem noch eine weitere Herausforderung auf die Firmen zu, nämlich die dadurch deutlich steigende Komplexität in den Datenstrukturen und Prozessen.

Was spricht dagegen, industrielle OT-Netzwerke von der IT zu isolieren, wie es zum Beispiel im Gesundheitswesen bei MRT- oder anderen medizinischen Geräten oftmals der Fall ist?

Im Sinne von Security by Design ist das sicherlich ein berechtigter Ansatz. Schliesslich muss aber jede Firma die Balance finden zwischen dem Nutzen einer engen Verknüpfung und den damit verbundenen Risiken. Die Risiken hängen natürlich direkt davon ab, welchen Aufwand ein Unternehmen betreiben kann und über welche diesbezüglichen Kompetenzen sie verfügt. Ich sehe hier insbesondere ein Thema für Innovationen, die diese Schnittstelle technisch und organisatorisch optimieren.

Durch die Konvergenz zwischen OT und IT verspricht man sich effizientere Prozesse. Wie sehen Sie das grundsätzlich: Geht das Streben nach mehr Effizienz nicht zwangsläufig auf Kosten der Resilienz?

Die Notwendigkeit für Effizienzsteigerungen stellt sich für jedes Industrieunternehmen anders dar. Angesichts der immer wiederkehrenden wirtschaftlichen Herausforderungen für die exportierende Industrie sind die Firmen inzwischen fast permanent gefordert, Effizienzpotenziale zu heben. Dafür gibt es verschiedene Stellhebel mit entsprechenden Aufwand-Nutzen-Verhältnissen. Wie vorhin erwähnt, müssen die jeweiligen Firmen für sich und ihre Wertschöpfungskette die passende Balance finden. Das Thema Sicherheit ist grundsätzlich in einem dynamischen Setting zu betrachten. Die Unternehmen sind kontinuierlich gefordert, die Situation zu beurteilen und neu zur Verfügung stehende Massnahmen umzusetzen. Das Wechselspiel zwischen Nutzen und Risiko besteht zweifelsfrei und muss aktiv bearbeitet werden.

Was ist beim Schutz von Betriebstechnologien vor Cyberbedrohungen die grösste Herausforderung?

Das Verständnis für Sicherheitsfragen ist sicherlich breit vorhanden. Die Bedrohungslage jedoch auf die eigenen Infrastrukturen in der Produktion oder die eigenen Produkte herunterzubrechen, fordert die Firmen. Die Vielfalt der vernetzen Komponenten ist oft gross und die Vernetzungs­architektur nicht immer offensichtlich. Die möglichen Schwachpunkte zu erkennen, den Schutzstatus zu erfassen und die notwendigen Massnahmen zur Erhaltung des Schutzes zu verwalten, sind grosse Herausforderungen. Dies vor allem dann, wenn ein Hersteller oder Betreiber nicht selbst den Zugriff auf entsprechende Subsysteme hat und von Lieferanten abhängig ist.

Welche Rolle spielen die Hersteller von industriellen Maschinen und Anlagen, wenn es um den Schutz von Betriebs- und Informationstechnologien in der Industrie geht?

Gemäss der heutigen EU-Maschinenrichtlinie gewährleistet der Hersteller die Sicherheit seiner Maschine zum Zeitpunkt des Inverkehrbringens. Mit zunehmender Vernetzung wird immer häufiger gefordert, dass der Maschinenhersteller über den Zeitpunkt des Inverkehrbringens hinaus für gewisse Sicherheitsaspekte – etwa Updates für Software gegen Hackerangriffe – verantwortlich sein soll. Damit verschieben sich die Grenzen der Verantwortung. Nimmt nämlich der Kunde Änderungen an der Software vor, welche die Maschinensicherheit beeinflussen, oder wird die regelmässig notwendige Wartung – etwa Patches, Updates – nicht gemäss den Vorgaben des Herstellers ausgeführt, kann die Sicherheit nicht mehr gewährleistet werden. Folglich braucht es vertragliche Regelungen, wie die Pflichten zwischen Hersteller und Kunde aufgeteilt werden.

Wie kann man sich einen typischen Angriffsvektor auf ein Industrieunternehmen vorstellen?

Aufgrund der zahlreichen vernetzen Komponenten und Systeme sind natürlich verschiedene Vektoren denkbar. Da hinter der kriminellen Energie aber in der Regel ein wirtschaftliches Interesse steht, dominieren auch in der Industrie die gezielten Ransomware-Angriffe in den verschiedenen Varianten. Oftmals schwierig zu entdecken ist die Wirtschaftsspionage, der gezielte Diebstahl von Daten. Da aber auch hier ein relevantes wirtschaftliches Potenzial dahinterstecken muss, sind in der Regel die grösseren Firmen betroffen, die für die Angriffe besser geschützt sind.

Wie hat sich Ihrer Ansicht nach die Sicherheitslage von Schweizer Industrieunternehmen in jüngster Zeit verändert?

Ob beispielsweise die Zahl der Ransomware-Angriffe auf Industriefirmen zugenommen hat, können wir nicht sagen, dafür fehlt die Evidenz. Obwohl die Sensibilisierung für Cyberbedrohungen in den Firmen vorhanden ist, müssen wir leider feststellen, dass oft erst nach einem Schaden durch einen Angriff systematisch und durch die Geschäftsführung gesteuert gehandelt wird. Wir hoffen, dass durch das Kommunizieren von entsprechenden "Erlebnisberichten" ein aktives Handeln bei anderen Firmen ausgelöst werden kann. So wird die Industrie kontinuierlich, hoffentlich sogar exponentiell steigend sicherer.

Wie sieht es bei den KMUs aus: Sind die kleinen Industriebetriebe weniger in Gefahr als die grossen, oder ist eher das Gegenteil der Fall?

Eine Aussage dazu ist schwierig. Die grossen Firmen sind natürlich potenziell lukrativer und haben mehr mögliche Einfallstore. Sie sind aber mit der Kommunikation zu Vorfällen auch bedeutend zurückhaltender. Weil nach unserem Wissen Ransomware-Angriffe inzwischen wie "industrielle" prozessgesteuerte Geschäftsmodelle funktionieren, passen natürlich auch KMUs in das entsprechende Beuteschema. Da KMUs stärker den Austausch mit anderen zu Cyberbedrohungen suchen, sind sie offener, um über Ereignisse zu sprechen. Entsprechend haben wir Kenntnisse über zahlreiche Angriffe auf KMUs.

Was sollte ein industrielles KMU bei der Umsetzung von Sicherheitsmassnahmen besonders beachten?

KMUs können nicht sämtliche erforderlichen Kompetenzen im Hause pflegen, schlicht auch weil der entsprechende Arbeitsmarkt sehr trocken ist. Es bewährt sich deshalb, entsprechende Partner beizuziehen, von der Analyse über die Massnahmen bis zu Respond und Recover. Im Weiteren geben wir die bekannten Empfehlungen, nämlich dass die Verantwortlichkeit bei der Unternehmensleitung liegt und neben den technischen auch die organisatorischen Massnahmen etabliert und gepflegt werden müssen.

Wie stellen Sie sich das ideale Sicherheitskonzept für die Fabrik der Zukunft vor?

Ich glaube, die bekannten Konzepte wie das NIST Cybersecurity Framework, ISO/IEC 27001 oder auch die Einbindung in das IKS passen sehr gut auch für die vernetzten Fabriken der Zukunft. Durch die vielschichtigeren Architekturen, vernetzen Komponenten, zusätzlichen Schnittstellen zu Lieferanten und Kunden müssen die Firmen eine erhebliche zusätzliche Komplexität bewältigen. Dies führt zu einem höheren Aufwand für die Implementierung entsprechender Frameworks und Managementsysteme und erfordert ergänzende Kompetenzen. Da diese Aktivitäten nicht unmittelbar wertschöpfend sind, besteht nachvollziehbarerweise eine Hemmschwelle für eine konsequente Umsetzung. Wenn aber ein entsprechendes System schlank und effizient etabliert ist, bin ich überzeugt, dass der Umgang mit Cyberbedrohungen zu einem akzeptierten Daily Business wird.