Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) führte in Kooperation mit der Hochschule Ostwestfalen-Lippe vor kurzem eine Umfrage zu „IT-Sicherheit bei Industrie 4.0“ durch, deren Ergebnisse jetzt vorliegen. An der Umfrage haben insgesamt 126 Unternehmen – sowohl Hersteller, Integratoren als auch Betreiber – teilgenommen.
Folgende Ergebnisse hat die Umfrage ergeben:
- Mehr als 35 % der Befragten sagen, dass das Thema Industrie 4.0 für ihr Unternehmen wichtig ist.
- Unter den Befragten geben 23 % an, bisher noch keinen Sicherheitsvorfall gehabt zu haben.
- Nur knapp 50 % denken, dass IT-Sicherheit in ihrem Unternehmen als ein wichtiges Thema angesehen wird. Dabei sind Daten- und Ausfallsicherheit, gefolgt von Produkt- und Know-how-Schutz wesentliche Ziele, wobei neue Geschäftsmodelle im Fokus stehen.
- Nur etwas mehr als 40 % geben an, dass IT-Sicherheit bei der Umsetzung von Geschäftsprozessen berücksichtigt wird.
- 56 % der Beteiligten sprechen sich dafür aus, einen Erfahrungsaustausch auch für IT-Sicherheitsthemen zwischen Herstellern, Integratoren und Betreibern zu etablieren.
- Weniger als 10 % geben an, in den jeweiligen Projekten keine Risikoanalyse zu realisieren. Allerdings halten nur 32 % der Befragten die IT-Sicherheit dabei nachhaltig aufrecht. Interessant ist in diesem Aspekt auch, dass die Verantwortung für das Einspielen von Updates auf unterschiedlichen Schultern lagert. So geben 18 % der Befragten an, dass diese Aufgabe durch den Betreiber erfolgt und 24 % geben an, dass der Hersteller das Einspielen der Updates verantwortet. Die Anlagen werden ca. 10 bis 25 Jahre betrieben.
- 37 % der Umfrageteilnehmer nutzen allgemeine IT-Sicherheitsmaßnahmen, 28 % nutzen den Stand der Technik zum Entwicklungszeitpunkt und 33% geben an, dass sie aktuellste Erkenntnisse einbeziehen und die Sicherheitsmaßnahmen kontinuierlich anpassen.
- Die IT-Sicherheitsstrategie gibt hauptsächlich die Geschäftsführung vor. Nur 36% der Befragten geben an, dass die IT-Leitung diese Vorgaben verantwortet. Integratoren geben an, dass der jeweilige Kunde die IT-Sicherheitsstrategie vorgibt.
- Über 35 % der Befragten ziehen externe IT-Sicherheitsexperten hinzu, hauptsächlich zur Integration derer IT-Sicherheitslösungen, aber auch zur Umsetzung von Penetrationstest bzw. Sicherheitsanalysen. Für mehr als 30 % der Befragten ist dabei das Merkmal „IT Security made in Germany“ wichtig.
- Nur weniger als 15 % nutzen keine Separierungen und bilden keine dedizierten Sicherheitszonen, wobei 13 % angeben, dass ihre Anlagen nicht an ein externes IT-Netz angeschlossen sind.
- Weniger als 30 % geben an, dass Dienstleister, die IT-Zugriffe zum Beispiel für Wartung realisieren, durch den Betreiber Sicherheitsvorgaben erhalten und die jeweiligen IT-Zugriffe durch den Betreiber überwacht werden. Generell wird die Datenkommunikation nur bei 45 % der Befragten überwacht. Die Absicherung der Netzwerkkommunikation wird bei 37 % der Teilnehmer über gegenseitige Authentisierung und Verschlüsselung vorgenommen.
- Die Manipulationsmöglichkeit der Software wird nur bei 45 % der Befragten beachtet. Eine Prüfung auf Viren und Trojaner findet nur bei weniger als 50% der Installationen statt.
- Schulungen im Umfeld IT-Sicherheit sind bei 16 % der beteiligten Unternehmen bereits umgesetzt und bei weiteren 16 % beabsichtigt.
Daraus zieht der Verband die folgenden Schlüsse:
Die IT-Sicherheit wird bei den meisten Industrie 4.0-Projekten bereits beachtet. Es zeigt sich aber, dass der Grad der Umsetzung in den jeweiligen Projekten sehr unterschiedlich bewertet wird. Die Aussagen lassen den Schluss zu, dass IT-Sicherheit jedenfalls bei den meisten befragten Unternehmen noch nicht dort angekommen ist, wo auch Bundeswirtschaftsminister Sigmar Gabriel sie gerne sähe. Die Unternehmen müssen ihre IT-Systeme besser schützen und ein ausgeprägteres IT-Sicherheitsbewusstsein entwickeln.