Mit dem industriellen Internet der Dinge (IIoT) bringen Sie zusätzliche Geräte in Ihre Anlage ein, die mit dem Internet verbunden sind. Grundsätzlich öffnen Sie eine Tür von einer Umgebung, die vielleicht noch nie mit dem Internet verbunden war, zu einer Welt voller Bedrohungen – und es ist sehr einfach für automatisierte Hacking-Systeme, diese offenen Türen zu erkennen.

Die IIoT-Technologie öffnet nicht nur die Tür, sondern kann auch für Angriffe auf andere Dinge im industriellen Umfeld ausgenutzt werden. Manche IIoT-Kits sind im Grunde kleine Computer, die als Ausgangspunkt für Angreifer dienen können.

Die Risiken sind vielfältig, weil Unternehmen, insbesondere in der Industrie, sehr unterschiedlich sind. So können die Auswirkungen eines Cyberangriffs von Datenverlusten über den Stillstand der Fabrikproduktion bis hin zur Bedrohung der menschlichen Sicherheit reichen. Wenn ein Hacker die Kontrolle über einen Roboterarm erlangt, kann er diesen zum Schwingen bringen. Wenn es sich um eine Autofabrik handelt und es ihm gelingt, zwanzig Roboterarme zum Schwingen zu bringen, kann er dadurch möglicherweise einen Brand verursachen.

Eine weitere Risikoebene betrifft Ihre Lieferkette. Sie mögen zwar vielleicht ein kleines Unternehmen sein, doch wenn Sie andere Unternehmen beliefern, sind Sie nicht nur vertraglich, sondern auch moralisch verpflichtet, dafür zu sorgen, dass Sie keine Risiken in die Lieferkette einbringen. Es ist wichtig, das Umfeld zu verstehen, denn wir können kein Geschäft isoliert betrachten. In der Lebensmittel- und Getränkeindustrie oder im Versorgungssektor beispielsweise kann sich die Beeinträchtigung eines Produktionsumfelds auf eine sehr komplexe Lieferkette auswirken, was wiederum weitreichende gesellschaftliche Auswirkungen haben kann.

Diese Situationen sind keine bloße Theorie. Leider sind sie sowohl in Tests als auch in vielen realen Situationen bewiesen worden. Die wahrscheinlichste Folge eines Cyberangriffs ist jedoch, dass Lösegeld verlangt wird, sei es durch die Installation von Schadsoftware, die als Ransomware bekannt ist, oder durch die einfache Verweigerung des Zugangs für andere Personen als den Angreifer. Wenn es einem Angreifer gelingt, sich Zugang zu Ihrem Unternehmen zu verschaffen und Ihre eigenen Mitarbeiter daran zu hindern, auf irgendetwas zuzugreifen, kann er viel Geld für die Wiederherstellung dieses Zugangs verlangen.

Dies ist ein Geschäftsmodell, das für Cyberkriminelle gut funktioniert. Täuschen Sie sich nicht, wir sprechen hier über organisierte Kriminalität und nicht über einen gelangweilten Teenager in seinem Schlafzimmer. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um diese Risiken zu mindern. Hier finden Sie sechs Möglichkeiten dazu.

Seien Sie nicht untätig, wenn es um die Risiken des IIoT und den Umgang damit geht.

Unternehmen können Gefahr laufen, sich durch Untätigkeit Angriffen auszusetzen, z. B. wenn sie eine Lösung in eine Umgebung einführen und sie keinen Sicherheitstests unterziehen oder wenn sie die Sicherheits- und IT-Teams nicht im Vorfeld einbeziehen. Wenn Sie nicht mit diesen Teams zusammenarbeiten, sind Sie sich möglicherweise nicht bewusst, was alles schief gehen kann.

Es kann auch ein falsches Gefühl von „Sicherheit durch Unklarheit“ entstehen. Es ist leicht, sich auf dem Erreichten auszuruhen und zu denken: „Niemand weiß, wie man auf meine Fabrik zugreift, weil wir sie vor fünfzig Jahren gebaut haben und niemand weiß, wie diese Technik funktioniert“ – aber das ist ein völliger Trugschluss und wurde umfassend widerlegt.

Bedenken Sie die mit dem IIoT verbundenen Risiken im Vergleich zu den Vorteilen.

Ob das IIoT diese Risiken wert ist, muss jedes Unternehmen für sich selbst entscheiden. Es gibt jedoch enorme Vorteile, insbesondere für Industrieunternehmen, was die Überwachung und proaktive Wartung angeht.

Wenn Sie jedoch bei der Implementierung des IIoT nur einen lockeren Ansatz verfolgen, wenn Sie nicht die richtigen Sicherheitsteams einbeziehen, wenn Sie die Dinge nicht testen und wenn Sie diese Risiken nicht explizit mit den richtigen Leuten im Unternehmen bewerten – nicht nur mit dem IT-Team und dem Fertigungsteam – dann entstehen Probleme.

Das IIoT muss auf der Führungsebene eines Unternehmens diskutiert werden, um zu sagen: „Das tun wir, das sind die Risiken und das tun wir, um diese Risiken zu minimieren“, und um es auf ein akzeptables Niveau zu bringen. Überlegen Sie sich, welche Auswirkungen – sowohl positive als auch negative – die Technologie auf Ihr Unternehmen haben wird.

Wenn ich ein kleines Produktionsunternehmen betreibe und es mich jedes Jahr genauso viel kostet, das IIoT-System zu testen, wie es mir Vorteile bringt, ist es wahrscheinlich nicht nachhaltig. Gehen Sie also nur um der Vorteile willen das Risiko ein, eine Lösung zu installieren, die Sie letztendlich in den Ruin treiben könnte? Manchmal lautet die Antwort Ja, aber manchmal auch Nein.

Verfolgen Sie den Ansatz „Vertrauen ist gut, Kontrolle ist besser“.

Nehmen Sie nicht alles für bare Münze. Betrachten Sie die Behauptungen über ein Produkt oder ein System mit einem kritischen Auge und glauben Sie sie nicht einfach ungeprüft. Man kann der Sicherheitsbranche zwar grundsätzlich vertrauen, sollte die Aussagen aber dennoch überprüfen. Auch wenn man gesagt bekommt, dass ein Gerät über bestimmte Kontrollen verfügt, sollte man prüfen, ob diese Kontrollen wirksam sind.

Finden Sie heraus, welche zusätzlichen Risiken Sie damit einführen. Durch die Einführung zusätzlicher Technik vergrößert sich die Angriffsfläche – die Punkte, an denen ein Angreifer einen Weg in das Unternehmen finden kann –, so dass Sie prüfen müssen, wie Sie angegriffen werden können und welche Kontrollen Sie eingerichtet haben, um diese Angriffe zu verhindern. Solche Tests kosten Geld, aber wenn Sie wegen eines Cyberangriffs nicht in der Lage sind, Ihre Produktionslinie zu betreiben, wird es noch teurer.

Es geht nicht darum, ob, sondern wann Sie angegriffen werden. Es spielt keine Rolle, wie groß Ihr Unternehmen ist. Wenn Sie Systeme haben, die für das Internet offen sind, werden Sie angegriffen werden. Cyber-Kriminelle haben automatisierte, hochskalierte Systeme, und sobald jemand eine Lücke finden, wird er sie ausnutzen.

Seien Sie also vorbereitet. Halten Sie einen Plan für Sicherheitsvorfälle bereit und ruhen Sie sich nicht auf dem Erreichten aus unter dem Motto: „Es wird schon nichts schiefgehen, das wird schon nicht passieren, niemand weiß, wer wir sind“. Vergessen Sie diese und all die anderen Ausreden, die häufig angeführt werden. Denn leider sind sie nicht wahr und halten der Erfahrung nicht stand.

Testen Sie Ihren Plan, führen Sie Scheinübungen durch, bei denen Sie eine Situation wie in der Realität durchspielen und sicherstellen, dass die Mitarbeiter vorbereitet sind und wissen, wer was tut. Testen Sie Ihre Umgebung mit ethischen Hackern, die qualifiziert und erfahren darin sind, Systeme in einem industriellen Umfeld zu testen und dabei die gleichen Techniken wie ein Angreifer anzuwenden. Lernen Sie dann aus ihren Erkenntnissen und beheben Sie die aufgedeckten Probleme.

Warnzeichen für Cyberangriffe machen sich nicht so offensichtlich bemerkbar wir das große rote Licht an der Seite der Fabrik, das anzeigt, dass jemand den Notausgang offen gelassen hat.

Fabrik- und Industrieumgebungen sind komplex, ebenso wie IT-Umgebungen. Es gibt viele Datenpunkte, die abgeglichen und korreliert werden müssen. Deshalb benötigen Sie ein qualifiziertes, professionelles Sicherheitsteam zur Überwachung und Analyse von IIoT-Systemen.

Fachleute können feststellen, was das richtige Profil ist und was ungewöhnlich aussieht. Oft wird bei Angriffen abgelenkt, so dass es den Anschein hat, als würde ein Angriff an einem Ort stattfinden, während der Angreifer in Wirklichkeit in einem anderen Bereich unterwegs ist. Für Fertigungsunternehmen, die noch nie digital vernetzt waren, ist vieles davon neu, und wenn man nicht weiß, was möglich ist, kann man leicht so tun, als ob nichts passieren würde, oder – was noch wahrscheinlicher ist – man ist sich der Tatsache nicht bewusst, dass jemand etwas ziemlich Fortschrittliches und technisch Kompliziertes tun kann, um sich Zugang zu Ihrer Umgebung zu verschaffen.

Einige Ergebnisse können für sich genommen normal aussehen, aber in Kombination mit anderen Ergebnissen auf ein Problem hindeuten, und es gibt viele falsch-positive Ergebnisse, die ausgeschlossen werden müssen, aber ein Teil der Ausbildung und der Erfahrung des Sicherheitsteams besteht darin zu wissen, wie man diese untersucht und bewertet. Nicht jedes Klopfen an der Tür ist ein versuchter Raubüberfall, und dasselbe gilt für Angriffe auf die Cybersicherheit, aber die Fähigkeit, diese Art von Unterschieden zu erkennen, ist bei Industrieanlagen unerlässlich.

Es gibt keine IIoT-Standardlösung, die sofort eingesetzt werden kann und vollkommen sicher ist. Wenn Sie also darüber nachdenken, eine IIoT-Lösung in Ihrem Unternehmen einzusetzen, sollte eine der ersten Fragen lauten: Wie sicher ist sie? Wo liegen die Risiken? Wie wurde sie getestet?

Vergewissern Sie sich, dass Sie Antworten erhalten, bevor Sie fortfahren, und stellen Sie sicher, dass Sie bei der Auswertung dieser Antworten die richtigen Personen in Ihrem Unternehmen einbeziehen.