Digitalisieren – aber sicher

Hat das Corona-Virus auch etwas Gutes? Offenbar ja. „Corona bringt einen Schub für die Digitalisierung“, freut sich Dorothee Bär, Staatsministerin für Digitales der deutschen Bundesregierung. Dass es eine Pandemie braucht, um die Digitalisierung voranzutreiben, ist für Politik und Wirtschaft wenig schmeichelhaft. Aber besser spät als nie. Wenn das Virus erst besiegt ist, können Wirtschaft und Verwaltung die Früchte der beschleunigten Digitalisierung ernten, so die Hoffnung.

Was die einen freut, macht andere nervös. Etwa die Experten im Bundesamt für Sicherheit in der Informationstechnik. Die beschäftigen sich auch mit Viren. Die allerdings bedrohen nicht die Gesundheit, sondern geistern durchs Internet und befallen PCs, IT-Netzwerke und Industrieanlagen, um Informationen zu stehlen, Lösegeld zu erpressen oder der Reputation von Unternehmen zu schaden. Digitalisierung kann ohne IT-Sicherheit nicht erfolgreich sein, warnt das BSI. Und noch mehr: „Cyberrisiken zu ignorieren kann das eigene Geschäft vernichten“, sagt Natalia Oropeza, Chief Cybersecurity Officer bei Siemens. „Ohne Cybersicherheit würde zum Beispiel Siemens die nächsten Jahre kaum überstehen.“

Dabei ist eine adäquate Cybersicherheit nicht nur ein Muss, sondern bringt auch einen enormen Mehrwert mit sich: Der Schutz gegen Angriffe mache Produkte und Dienste zuverlässiger, sichere das Vertrauen der Kunden und erhöhe die Wettbewerbsfähigkeit. Investitionen in die Cybersicherheit sind daher laut BSI Investitionen in den Geschäftserfolg, gerade auch für kleine und mittelständische Unternehmen.

Ein gutes Beispiel ist Kallfass in Nürtingen. Der Hersteller von Folienverpackungsmaschinen ertüchtigt seine Maschinen neuerdings für die vorausschauende Wartung. Dazu meldet die Maschine zum Beispiel eine „0“, wenn der Schweißstempel unten ist, und „1“, wenn er oben ist. „Was die vielen Nullen und Einsen in der gesamten Fabrik bedeuten, kann ein Angreifer nicht sehen“, sagt Michael Rempfer, technischer Direktor bei Kallfass. Erst die Software im Leitrechner weist den Signalen eine Bedeutung zu, etwa die Zahl der Schweißzyklen und damit die Verschmutzung und den Zeitpunkt für die Reinigung. Zudem ist der Datenverkehr eine Einbahnstraße – die Maschine sendet nur Informationen. Damit überzeugt Kallfass auch skeptische Kunden, die Betriebsdaten erfassen wollen, aber keinen Zugriff von außen auf ihr Netzwerk wünschen, darunter eine Großbäckerei, die mit diesem System erkennt, wenn die Verpackungsfolie aufgebraucht ist. „Das verhindert Stillstand und spart Kosten“, sagt Rempfer.

Was passieren kann, wenn plötzlich nichts mehr geht, hat Pilz erfahren. Das Automatisierungsunternehmen, Vorreiter für sichere Automatisierungslösungen (Safety), wurde im Oktober 2019 Opfer einer Cyberattacke, die auf die IT-Security abzielte. Hacker hatten mit Ransomware einen Teil der Daten verschlüsselt, um anschließend das Unternehmen auf Lösegeld zu erpressen. Doch Pilz ging auf die Forderungen nicht ein, sondern informierte die Polizei. Glück im Unglück: „Es wurden weder Kunden- noch Lieferanten-Daten gestohlen“, berichtet Thomas Pilz. Die meisten Unternehmen, die so einen Angriff erleben, halten das geheim. Nicht so Pilz. Der geschäftsführende Gesellschafter sieht sein Unternehmen durch den Vorfall im Endeffekt in Sachen Cybersicherheit sogar besser aufgestellt als zuvor. Dennoch hätte Pilz gerne auf diese Erfahrung verzichtet. Das Unternehmen hat daher die Informationen weitergegeben, um andere Unternehmen zu sensibilisieren, damit ihnen Gleiches möglichst erspart bleibt.

Damit setzen die Schwaben auf das wichtigste Gut ihrer Wettbewerbsfähigkeit: Transparenz und Vertrauen. Genau wie Siemens. 163 Advisorys – Handlungsanweisungen zum Umgang mit Sicherheitslücken – hat das Unternehmen 2019 für seine Automatisierungskomponenten veröffentlicht – mehr als alle Wettbewerber des Unternehmens zusammen. Das heißt allerdings nicht, dass die Software in Siemens-Produkten schlechter wäre. „Schwachstellen gibt es bei den Wettbewerbern genauso, aber wir arbeiten bei Siemens besonders akribisch daran, Schwachstellen aufzudecken und unsere Kunden transparent zu informieren, damit sie schnellstmöglich ihre Sicherheitslücken schließen können“, betont Klaus Lukas, verantwortlich für Innovationen im Siemens ProductCERT (Product Computer Emergency Response Team).

Vertrauen ist auch bei der Vernetzung von Maschinen und Gegenständen über das Internet der Dinge essenziell. Ist die Maschine die, für die sie sich ausgibt? Oder steckt dahinter ein Hacker, der sich in die Lieferkette einklinkt und Daten abzapfen oder manipulieren will? Eine Lösung dafür hat PrimeKey gemeinsam mit Siemens entwickelt. Der Identity Authority Manager stellt Dingen eine Art Geburtsurkunde aus. Diese Zertifikate sind über eine Public Key Infrastruktur verschlüsselt. Nur wer den passenden Schlüssel hat, kann einen Gegenstand – zum Beispiel eine Maschine – verändern. Gleichzeitig können sich Partner darauf verlassen, dass diese Maschine tatsächlich zu ihrem Netzwerk gehört. „Anwender können das zum Erstellen von Inventaren nutzen, zum Verteilen von Software-Updates oder für die Fernwartung“, sagt Hendrik Brockhaus vom Security Architecture Team bei Siemens. Brockhaus: „Der Identity Authority Manager wie auch die Data Capture Unit  von Siemens helfen kleinen und mittelständischen Unternehmen, die Früchte der Digitalisierung zu ernten, und die Gefahr von Cyberangriffen zu minimieren.“

Neben sicherer Technik ist Know-how besonders wichtig – und das ist in kleineren Betrieben oft Mangelware. Helfen könnte dabei die Expertise anderer. Mit seinem ganzheitlichen Cybersicherheitsansatz schützt Siemens etwa nicht nur seine eigene Infrastruktur, sondern auch seine Produkte, Lösungen und Services. Dabei unterstützt das Unternehmen Betriebe mit umfassenden Informationen – vom Sicherheits-Check über web-basierte Trainings von Mitarbeitern bis zu Servicepaketen zum Absichern von Siemens-Steuerungen. „Bereits mit wenigen konkreten Maßnahmen lassen sich entscheidende Schritte unternehmen und die eigene Cybersicherheit deutlich verbessern“, betont Natalia Oropeza.

Wenn Sie wissen möchten, für welche Cyberrisiken kleine und mittelständische Unternehmen anfällig sind und was Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.

Bernd Müller