„Kein Backup, kein Mitleid“
Cyber Security, sichere Netzwerklösungen und der verantwortungsvolle Umgang mit Daten sind entscheidende Schlüsselfunktionen für eine erfolgreiche industrielle Fertigung. Insbesondere dann, wenn beispielsweise Produktionsprozesse der Elektronikfertigung durch AOI-, SPI- oder andere Test- und Inspektionsabläufe eine Unmenge an Informationen erzeugen. Unternehmen sind hier oftmals auf fachspezifische Unterstützung durch IT-Dienstleister angewiesen. Diese stellen nicht nur die richtigen Fragen zur IT-Infrastruktur, sondern entwickeln überdies unternehmensspezifische und zugleich zukunftsfähige Lösungen für Verwaltung und Fertigung.
„Die IT-Infrastruktur gewinnt auch bei mittelständischen Industrieunternehmen zunehmend an Bedeutung“, sind Olaf Römer, Geschäftsführer der ATEcare GmbH und Björn Köppe, Geschäftsführer der in Berlin ansässigen PKN Datenkommunikations GmbH unisono überzeugt. Römer und sein Team sind auf Test- und Inspektionssysteme für die Elektronikindustrie und Branchen wie beispielsweise die Automobilzulieferindustrie spezialisiert. Als Vertriebspartner für Test- und Prüfsysteme für die Elektronikindustrie hat ATEcare Röntgen- und Inspektionslösungen, die zugehörige Software sowie Test- und CT-Analyse-Systeme im Portfolio. „In einer modernen Elektronikfertigung sind Prüf- und Testsysteme als auch spezifische Dienstleistungen unerlässlich. Im Bereich der IT-Technologien bewegen wir uns jedoch in einem Beratungsumfeld außerhalb der eigentlichen Test- und Inspektionslösungen. Zeitgleich erzeugen unsere Systeme eine Vielzahl an Daten, die den Anwender oftmals vor Herausforderungen stellen. Schließlich gilt es, diese Daten zuverlässig und schnell bereitzustellen und vor unbefugtem Zugriff zu schützen. Hinzu kommt die Herausforderung, dass die Fertigung aufgrund der dort eingesetzten Maschinen oftmals eine andere IT-Sicherheitsstrategie benötigt als beispielsweise die Verwaltung“, erläutert Römer.
Die PKN Datenkommunikations GmbH konzipiert und implementiert deutschlandweit neben maßgeschneiderten IT-Services und Netzwerktechniken auch gerätespezifische Sicherheits-, Storage- und Backupsysteme. Zudem gehören Server- und Desktop-Virtualisierung, Unified Communications, Mobility, Cloud- und Security-Lösungen für die Fertigung zum Portfolio des IT-Dienstleisters. Die IT-Experten beraten ihre Kunden eingehend und zeigen auf, wie sich Cloud- und Multi Cloud-Dienste für Fertigungsabläufe gewinnbringend nutzten und Backup Systeme zuverlässig zur Verfügung stellen lassen. Zudem fokussieren sie sich auf den Bereich der IT-Sicherheit. Ziel ist es, Produktionsanlagen mit geräteindividuellen Sicherheitsbarrieren vor unzulässigen Zugriffen zu schützen. Hierfür gibt es allerdings keine Blaupause. Die IT-Fachleute entwickeln daher mit fundiertem IT-Know-how unternehmensspezifische Sicherheitsvorgaben. Da der VALLEY IT GROUP zugehörig, kann das Berliner Unternehmen PKN überdies auf Partnerunternehmen zugreifen. Das erlaubt es den IT-Experten, ihre umfangreichen Services bundesweit anzubieten und insbesondere auch die überwiegend in Süddeutschland angesiedelten Elektronikfertiger zeitnah zu unterstützen.
IT-Sicherheit für alle Bereiche
Obwohl moderne Produktionsumgebungen meist über leistungsfähige Computer verfügen, entsprechen die Anlagen nicht zwangsläufig neuesten IT-Standards. So ist es Herstellern nicht immer möglich, die mit hoher Rechenleistung erzeugten Datenmengen ohne weiteres sicher abzuspeichern, auszuwerten und zu bearbeiten. Vielmehr müssen zunächst Regelwerke erstellt und Verantwortungsbereiche festgelegt werden, um beispielsweise relevante Daten zuverlässig an andere Unternehmensstandorte zu übermitteln oder die Traceability-Anforderungen der Endkunden gewährleisten zu können. „Bevor wir beim Kunden unsere Hardware zur Qualitätssicherung installieren, klären wir daher ab, wer sich der komplexen infrastrukturellen IT-Aufgaben annimmt und wie erfasste Daten vor unbefugtem Zugriff geschützt werden“, betont Römer. Hinzu kommt, dass gerade Test- und Inspektionssysteme aufgrund ihrer Prozessrelevanz über Jahrzehnte in den Fertigungen verbleiben können und somit aufgrund der fortschreitenden IT-Infrastruktur eine Herausforderung für jede Sicherheitsstrategie darstellen.
Zeitgleich gewinnen IT-Strukturen stetig an Komplexität. Konnten bislang im eigenen Rechenzentrum installierte Programme wie Firewall und Antiviren-Agent noch für ausreichende IT-Sicherheit sorgen, genügen diese Technologien oftmals den Anforderungen einer inzwischen äußerst vielschichtigen IT-Umgebung nicht mehr. So birgt beispielsweise die Verknüpfung von fertigungs- und verwaltungsspezifischen IT-Systemen Gefahrenpotenzial. Wird hier ein veraltetes Antivirensystem eingesetzt oder gar ganz darauf verzichtet, sind bei einem Angriff gleichermaßen die Fertigung und die Verwaltung betroffen. „Verschlüsselungsangriffe erfolgen häufig dann, wenn die Büros der Unternehmen nicht besetzt sind. Etwa am Freitagnachmittag, über das Wochenende oder an Feiertagen“, zeigt Köppe auf.
Dazu ergänzt Römer: “ In Verwaltungen muss meistens eine homogene Microsoft-Umgebung überwacht und auf neuesten Stand gehalten werden. Natürlich sind dort auch das Thema IT-Sicherheit und Virenschutz wichtig und vor allem Backups“. Unternehmen schauen daher oft, dass sie mit möglichst zentralen Mitteln die IT-Gesamtheit administrieren und achten darauf, dass Updates automatisiert eingespielt werden. „Das läuft so aber nicht in der Produktion. Dort gibt es einen Wildwuchs der Betriebssysteme und Anforderungen, die einem IT-Verantwortlichen immer graue Haare wachsen lassen, von DOS, über NT, XP bis zu Fremdbetriebssystemen, wie LINUX ist dort alles dabei. Einfach einen Virenscanner zu installieren oder dafür zu sorgen, dass Updates automatisch und überwacht eingespielt werden, hat oft fatale Erscheinungen, denn dadurch können ganze Werke stillstehen. Wie soll auch ein Maschinenhersteller wissen, wann die Hersteller der Betriebssysteme oder der Virenscanner Updates einspielen und inwieweit dies Auswirkungen auf die Maschinensoftware hat? So etwas kann im Vorfeld nicht sichergestellt werden“, führt Römer weiter aus.
Fertigungsanlagen, egal welcher Couleur, müssen von außen abgeschottet werden, egal ob es sich dabei um moderne oder ältere Systeme handelt. Nichtsdestotrotz muss aber auch ein Remote-Support seitens des Maschinenlieferanten oder das Aufspielen von Software-Updates möglich sein. Des Weiteren müssen Backups gezogen werden, um Fertigungszahlen für die Nachverfolgbarkeit zu sichern. Hierzu muss die Anlage wenigstens zeitweise in der Cloud eingebunden sein. Schlussendlich muss sichergestellt werden, dass Mitarbeiter nicht aus Versehen die Maschine offen in der Cloud belassen, so dass diese als der Zugang für Unbefugte zum gesamten IT-Netzwerk des Unternehmens fungiert. Römer weiß aus Erfahrung, dass sich viele Unternehmen mit diesen Abwägungen schwertun, denn verschiedene Sicherheitskonzepte bedeuten einen höheren Aufwand. Doch Römer weist auch darauf hin, dass wenn die Fertigung doch betroffen ist, Möglichkeit zu einem schnellen Re-Start sowie einer schnellen Wiederherstellung der IT-Infrastruktur möglich sind.
Hinzu kommt, dass es nur eine Frage der Zeit ist, wann ein Unternehmen von einem IT-Vorfall betroffen sein wird. Dennoch verzichten insbesondere kleine und mittelständische Betriebe aus Kostengründen häufig auf einschlägige Abwehrmaßnahmen. Schließlich ist eine firmeneigene Sicherheitsarchitektur, bei der Mitarbeiter an 365 Tagen im Jahr unmittelbar auf verdächtige Transaktionen reagieren, mit einem hohen finanziellen Aufwand verbunden. „Dies gilt im Übrigen auch ganz allgemein für das Thema Datensicherheit. So werden oftmals aus Unwissenheit oder aus Kostengründen falsche Entscheidungen getroffen, die Unternehmen im Ernstfall teuer zu stehen kommen. Dabei lassen sich IT-Sicherheitsstrukturen durchaus smart und kostenreduziert umsetzen. Daher: Kein Backup, kein Mitleid“, scherzt Köppe.
PKN unterstützt seine Kunden mit langjähriger Fachexpertise und umfassenden IT-Sicherheitslösungen für Fertigungsbereiche und die Verwaltung. „Wir überprüfen die bestehenden IT-Sicherheitsmaßnahmen und implementieren neue Technologien. Dazu untersuchen wir die kundenspezifische Infrastruktur. Auf Basis einer systematischen IST-Analyse zeigen wir auf, wie sich aktuelle sicherheitsspezifische Dienstleistungen in die jeweilige Infrastruktur integrieren lassen. Darüber hinaus bieten wir auch Schulungen und Awareness-Maßnahmen an. Ziel ist es, die Mitarbeiter für die Bedeutung von IT-Sicherheit in ihrem Bereich und die korrespondierenden Maßnahmen zu sensibilisieren und zu informieren“, stellt Köppe heraus.
Inzwischen wenden sich insbesondere Industrieunternehmen verstärkt an die Spezialisten von PKN. Ziel ist es, den Bereich der Cyber Security auszubauen. Manche IT-Sicherheitsstrukturen lassen sich dabei auch auf andere Unternehmensbereiche übertragen, um auch diese angriffssicher zu gestalten, andere wie oben beschrieben nicht. „Nicht selten ist eine beträchtliche Überzeugungsarbeit erforderlich. Oftmals insbesondere dann, wenn ein Unternehmen eine eigene IT-Abteilung unterhält“, sagt Köppe. Greift der Kunde hingegen auf einschlägige Dienstleistungen zurück, profitiert er von einer mit fachspezifischem Know-how durchgängig überwachten IT-Infrastruktur.
Parallel dazu schreibt der Gesetzgeber ab Mai 2023 aufgrund zunehmend bedrohter IT-Infrastruktur vor, eine spezifische IT-Sicherheitsarchitektur vorweisen zu können. Das IT-Sicherheitsgesetz 2.0 verpflichtet Unternehmen, Organisationen, diverse Einrichtungen als auch deren Zulieferer, die kritische Infrastruktur in Deutschland durch “angemessene organisatorische und technische Vorkehrungen” vor Cyber-Attacken zu schützen. Dementsprechend muss die einschlägige IT-Infrastruktur bestimmten Mindeststandards genügen. Überdies müssen spezifische Prozesse im Fall eines Cyber-Angriffs ein schnelles, koordiniertes Handeln erlauben. Somit sind die unter diese Regelung fallenden Organisationen und Unternehmen verpflichtet, ihre IT-Systeme regelmäßig zu überprüfen und Maßnahmen zur Verhinderung von Cyber-Angriffen zu implementieren. Beispiele hierfür sind Netzwerk- und Datenschutzmaßnahmen, Zugangskontrollen, Systemüberwachungen und Mitarbeiterschulungen. „Unserer Erfahrung nach hat jedoch kaum ein Mittelständler das IT-Sicherheitsgesetz 2.0 auf dem Schirm. Viele wissen somit nicht, ob sie einschlägige Vorgaben erfüllen müssen. Zeitgleich ist kaum ein mittelständisches Unternehmen in der Lage, diesen spezifischen Anforderungen nachzukommen“, führt Köppe weiter aus. „Mit Dienstleistungen wie etwa „Security Operations as a Service“ können wir die Anforderungen des IT-Sicherheitsgesetzes 2.0 jedoch abdecken. Diese externe Dienstleistung wird daher zukünftig sicherlich verstärkt nachgefragt werden“, ist Köppe überzeugt.