- Unternehmen rechnen mit einer Zunahme der Security-Vorfälle
- Häufigste Folgen: Kapitalschäden und Produktionsausfälle
Die Gefahr von Cyber-Angriffen wächst auch im industriellen Mittelstand. Viele Betriebe im Maschinenbau sind sich dieser Gefahr bewusst, rüsten sich aber nicht ausreichend dagegen. Dies sind Kernergebnisse einer neuen Studie zu “Industrial Security”, die der VDMA auf Basis einer Umfrage unter produzierenden Unternehmen erstellt hat. „Rund 60 Prozent der Unternehmen gehen davon aus, dass die Zahl der Sicherheitsvorfälle in den nächsten Jahren zunehmen wird. Diese Vorfälle stellen bereits eine Bedrohung dar, wie die betroffenen Unternehmen bestätigen können. Die Hälfte der Befragten berichten von finanziellen Schäden als Folge, gut 30 Prozent nennen Produktionsausfälle“, sagt Steffen Zimmermann, Leiter des VDMA Competence Center Industrial Security. „In den letzten zwei Jahren gab es jedoch keine sicherheitsrelevanten Vorfälle, bei denen Menschen oder die Umwelt in Gefahr waren oder die auf einen Sicherheitsvorfall zurückgeführt werden konnten.“
Erfreulich ist, dass anerkannte Normen für die industrielle Sicherheit in der Industrie bekannt sind: 83 Prozent der Unternehmen kennen zumindest die gängigen Security-Standards. Nachholbedarf zeigt sich allerdings noch bei der Anwendung der Standards. Lediglich rund 40 Prozent der Unternehmen nutzen einen Security-Standard in der Praxis. Nach wie vor besteht das Problem, dass es für den Maschinen- und Anlagenbau keinen einzelnen verbindlichen Security-Standard gibt. VDMA-Experte Zimmermann rät daher: „Wenn ein Unternehmen technische und organisatorische Maßnahmen nutzt, sollten sich diese an standardisierten Vorgehensweisen orientieren.“
Die 10 größten Bedrohungen für die Produktion
Die Teilnehmer bewerteten das Risiko für ihr eigenes Unternehmen anhand der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten “Top 10 Bedrohungen für Industrial Control Systems”. In Produktionsumgebungen gehören zu den größten Bedrohungen:
- Menschliches Fehlverhalten und Sabotage
- Einschleusen von Malware
- Social Engineering und Phishing
- Infektion mit Malware über Internet/Intranet
- Technisches Fehlverhalten und höhere Gewalt
- (D)DoS-Angriffe
- Kompromittierung von Extranet- und Cloud-Komponenten
- Einbruch über Fernwartungszugänge
- Internet-verbundene Steuerungskomponenten
- Kompromittierung von Smartphones im Produktionsumfeld
„Da die größten Sorgen menschliches Versagen und Sabotage sind, sind die wichtigsten organisatorischen Schritte die klare Definition von Vorschriften und Schulungen, bevor große Investitionen in technische Lösungen getätigt werden“, betont Zimmermann. Der VDMA bemängelt, dass viele Teilnehmer ihre Gefährdungsbeurteilung nicht auf eine gründliche Risikoanalyse stützen. Lediglich rund 41 Prozent der Teilnehmer haben ein Risikomanagement eingeführt und haben dadurch ein klareres Bild von der Bedrohungssituation für ihre Maschinen- und Anlagensysteme. Vorreiter sind in diesem Fall die großen Unternehmen (über 1.000 Mitarbeiter) mit 58 Prozent.
Optimierung der Cybersecurity
Um den Maschinen- und Anlagenbauern bei der Minimierung ihrer Cyber-Risiken zur Seite zu stehen, bietet die VSMA GmbH, ein Versicherungs-Tochterunternehmen des VDMA, inzwischen verschiedene Services an. Mit der Cyber-Risiko-Prüfung, einem webbasierten Tool, können die Mitglieder auf unkomplizierte Weise ihr Gefahrenpotential überprüfen. Ebenfalls exklusiv für Mitgliedsunternehmen: Die neue Broschüre „Tipps für den Cyber-Schadenfall“ mit wichtigen Hinweisen und Handlungsleitfäden zum Umgang mit Cyberangriffen. Zur optimalen Absicherung gegen die wachsende Bedrohung aus dem World Wide Web steht mit der VDMA Cyber-Police außerdem eine speziell für die Branche entwickelte Versicherungslösung zur Verfügung.
VDMA bietet Unterstützung
Der VDMA bietet Mitgliedsunternehmen umfassende Unterstützung zu Security. Im Mittelpunkt steht hierbei die Hilfe zur Selbsthilfe, zum Gedankenaustausch sowie zur politischen Unterstützung auf nationaler und internationaler Ebene. Mehrere Gremien zu Security, umfassende Publikationen und Veranstaltungen stehen Mitgliedern offen.
Die gesamte Studie mit detaillierten Ergebnissen können Sie bei Biljana Gabric (Biljana.gabric@vdma.org) anfordern.
Cyber-Risiko Prüfung: https://www.vsma.de/vdma-cyber-risiko-pruefung
Broschüre “Tipps für den Cyber-Schadenfall”: https://cyber.vsma.de