Herr Zimmermann, das Thema Datenschutz ist aktuell in aller Munde – welche Rolle spielt Security grundsätzlich innerhalb des VDMA?

Zimmermann: Dem VDMA ist es wichtig, vor allem die Sicht der Anwender gegenüber Politik, Behörden und Standardisierungsorganisationen zu vertreten. Zu oft werden Vorgaben und Standards noch von Gruppierungen verfasst, die mit ihrer IT-Brille versuchen, eigene Office-Produkte in die Fertigung zu pressen. Das kann nicht funktionieren. Daher müssen wir Security-Dienstleister und -Anbieter näher heranholen, damit die speziellen Anforderungen unserer Anwender sich in Änderungen der Produkte niederschlagen. Wichtig dabei ist vor allem der ganzheitliche Ansatz – also die Integration von Security sowohl in vertikaler als auch horizontaler Vernetzung.

Was hat die unlängst unter den im VDMA organisierten Maschinen- und Anlagenbauern durchgeführte Befragung konkret ergeben?

Zimmermann: Uns ging es vor allem darum, eine erste Standortbestimmung zur Security in Produktion und Automation zu erhalten. Inwieweit nutzen unsere Anwender bereits Security, welche Standards spielen eine Rolle, wo sind die größten Bedrohungen? Die Befragung hat unter anderem ergeben, dass nur 57 % der Unternehmen einen der gängigen Security-Standards kennen, und weniger als ein Drittel wenden die Standards auch an. Dass sich daran in Zukunft durch die NSA-Affäre etwas ändert, ist nicht zu erwarten, denn 79 % der Befragten teilen mit, dass die neuen Erkenntnisse keine Auswirkungen auf ihre aktuelle Security-Strategie haben.
Allerdings ist das grundlegende Interesse an Security gestiegen, was sich positiv auf die Sensibilität der Mitarbeiter und des Managements auswirkt. Grundsätzlich kann man festhalten, dass Security-Vorfälle häufiger, schneller und kostenintensiver werden. Konkret erwarten 63 % der Unternehmen einen Anstieg der Vorfälle. Bedenklich stimmt nicht zuletzt, dass in 29 % der befragten Unternehmen bereits Produktionsausfälle durch Security-Vorfälle zu beklagen sind!

Eine Frage zielte darauf, welche Rolle das Bundesamt für Sicherheit in der Informationstechnik in Produktionsunternehmen spielt.

Zimmermann: Richtig. Die Antworten haben ergeben, dass Unternehmen skeptisch sind gegenüber dem BSI, welches 61 % der Umfrageteilnehmer unbekannt ist. Auch eine Meldepflicht von Security-Vorfällen lehnen knapp zwei Drittel der Unternehmen ab. Hier bestehen seitens des BSI noch große Lücken zwischen Anspruch und Wirklichkeit als Partner für Cyber-Sicherheit in der produzierenden Industrie.

Mit dem NSA-Anhörskandal hat das Thema IT-Security eine ganz neue Dimension bekommen und es ist die Rede davon, dass Wirtschaftsspionage gezielt von „höchster Stelle“ droht. Kann man sich hier als Unternehmen überhaupt noch dagegen wappnen?

Zimmermann:  Schwerlich. Ein solches Vorhaben gleicht momentan einem Kampf mit Steinschleudern gegen Hightech-Drohnen. Aber ernsthaft: Um einen effektiven Schutz gegen gezielte Spionage zu erreichen, müssen viele Dienste, Systeme und Anwendungen auf den Prüfstand. Zum Beispiel ausländische Cloud-Dienste, selbst solche aus Frankreich oder Großbritannien. Hardware- und Softwaremodule von Steuerungsherstellern könnten zudem undokumentierte Hintertüren besitzen, die verpflichtend eingebaut wären. Auch VPN-Verbindungen wären nicht mehr sicher und über Teleservice möchte ich gar nicht erst reden.
Der VDMA drängt daher darauf, dass staatlich gelenkte Spionage in Industrieunternehmen zum Zwecke der Standortsicherung ab sofort bindend für alle NATO-Staaten untereinander verboten wird. Das muss eines der zentralen Ziele der deutschen Politik in Gesprächen mit US-amerikanischen und britischen Verantwortlichen sein. Keine Option ist jedenfalls eine Ausweitung der Befugnisse deutscher Dienste, sozusagen ein „Wettrüsten“.

Die Studie „Status quo der Security in Produktion und Automation“ ist online unter www.pks.vdma.org/security verfügbar.