Produzierende Unternehmen vor Cyber-Angriffen schützen: Forschungsprojekt bietet Sicherheitscheck für KMU
Produzierende Unternehmen, die ihre Maschinen und Anlagen vernetzen, sind besonders gefährdet durch Sicherheitslücken und Angriffe auf ihre IT-Infrastruktur. Das stellte das Fraunhofer-Institut für Produktionstechnologie IPT im Rahmen wissenschaftlicher Untersuchungen für das nun auch in englischer Sprache erschienene Whitepaper »Cybersecurity in Networked Production« fest. Die Aachener Wissenschaftlerinnen und Wissenschaftler möchten nun in einem AiF-geförderten Forschungsprojekt gemeinsam mit kleinen und mittleren Unternehmen (KMU) den branchenübergreifenden »Production Security Readiness Check« weiterentwickeln. Interessierte Unternehmen, die ihre Produktions-IT hinsichtlich Schutz und Sicherheit gründlich überprüfen möchten, können sich am Projekt noch beteiligen.
Kleine und mittlere Betriebe, die die Potenziale der Industrie 4.0 ausschöpfen wollen, sehen sich häufig gefangen zwischen den Vorteilen flexibler Vernetzung ihrer Produktionsanlagen und der Gefahr, Opfer von Cyber-Angriffen zu werden. Durch die Vernetzung proprietärer Hardware- und Softwaresysteme unterschiedlicher Hersteller können beträchtliche Angriffsflächen und Sicherheitslücken entstehen. Sabotage, Datendiebstahl oder Spionage verursachen allein auf die deutsche Wirtschaft bezogen jährlich einen Gesamtschaden in Milliardenhöhe, stellten sowohl der IT-Branchenverband Bitkom als auch der Bund Deutscher Unternehmer BDI bereits 2019 unisono fest. Das aktuelle Whitepaper des Fraunhofer IPT bestätigte jetzt, dass auch heute von den aktuell befragten Unternehmen weder KMU noch Großunternehmen in ausreichendem Maße vor den möglichen Gefahren geschützt sind. Hinzu kommt: Während große Unternehmen eigens Experten für IT-Sicherheit anheuern können, liegt diese Aufgabe in kleinen Unternehmen häufig als eine von zahlreichen weiteren beim IT-Support, der im Fall des Falles den Schaden nur noch begrenzen kann.
Wirkungsvoller Schutz für die Produktions-IT und -Infrastruktur
Doch wie können KMU auch ohne hohe finanzielle und organisatorische Aufwände wirkungsvolle Sicherheitsmaßnahmen erkennen und auswählen? Diese Frage soll ein Forschungsvorhaben klären, das das Fraunhofer IPT gemeinsam mit dem Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE jetzt mit Förderung der Arbeitsgemeinschaft industrieller Forschungsvereinigungen (AiF) in einem Projekt der FQS Forschungsgemeinschaft Qualität e. V. gemeinsam mit interessierten Unternehmen durchführen möchte. Ziel ist es, die Projektpartner dazu zu befähigen, ihr eigenes IT-Sicherheitslevel zu erkennen und gezielt die notwendigen Schutzmaßnahmen umzusetzen.
Die Aachener Forscherinnen und Forscher wollen dafür einen webbasierten Fragebogen mit automatisierten Netzwerkanalysetools kombinieren, die die aktuelle Situation in den Unternehmen mit einem Referenzmodell abgleichen. Das Referenzmodell berücksichtigt dabei die Anforderungen und Empfehlungen der geltenden Normen, Richtlinien und Gesetze ebenso wie bekannte Erfolgsbeispiele aus der Unternehmensorgansation. Ein anwenderfreundlicher Fragebogen führt Nutzerinnen und Nutzer auch ohne umfassende Vorkenntnisse durch den Prozess und berücksichtigt sowohl Branche als auch Unternehmensgröße. Als Ergebnis erhält der Anwender dann eine ausführliche Bewertung seines aktuellen Sicherheitslevels. Darüber hinaus schlägt das System geeignete Maßnahmen in Form einer Prioritätenliste vor und empfiehlt jeweils passende Sicherheitslösungen.
Anwender und Befähiger für eine sichere Produktion
»Wir freuen uns auf Unternehmen, die entweder als Anwender oder auch als Befähiger an der Weiterentwicklung mitwirken wollen«, erklärt Alexander Kreppein, Projektleiter des Production Security Readiness Check am Fraunhofer IPT. Anwender können beispielsweise Anforderungen und Anwendungsfälle in das Projekt einbringen und die Empfehlungen des Tools für Aufgabenfelder wie das Bedrohungs- und Schwachstellenmanagement, das Identitäts- und Zugangsmanagement oder Informationsaustausch und Kommunikation mitgestalten. Als Befähiger können Unternehmen am Projekt teilnehmen, die IT-Sicherheitslösungen für die Produktion oder Software für das Qualitäts- oder Compliancemanagement anbieten können.
Die erarbeiteten Konzepte sowie den Prototypen der entwickelten Anwendung stellen Fraunhofer IPT und Fraunhofer FKIE den beteiligten Unternehmen zum Projektende vollständig und ohne zusätzliche Kosten zur Verfügung. Die Projektlaufzeit ist von März 2022 bis März 2024 geplant.