Datenspionage, Bild: © Leo Lintang - Fotolia

Denkt man an Industrie 4.0, muss auch an IT-Sicherheit gedacht werden. Zwar steigt das Bewusstsein für mehr Security-Maßnahmen, aber es ist noch viel zu tun. Bild: © Leo Lintang - Fotolia

Am ersten Februar war „Ändere dein Passwort“-Tag. Erstmals riefen 2012 die Technik-Blogs Gizmodo und Lifehacker dazu auf, um durch positiven Gruppenzwang Menschen dazu zu bewegen, persönliche Daten besser zu schützen. Denn immer noch sind Passwörter wie „123456“ oder „Passwort“ weiter auf den ersten Plätzen der Beliebtheitsskala zu finden. Passwörter, die wohl kaum schwer zu knacken sind.

Nicht nur im Privatleben, sondern auch in vielen Unternehmen steht die IT- und Datensicherheit noch nicht an erster Stelle. In der aktuellen IT-Sicherheitsstudie „Dell Security Survey 2015“ wurden 175 IT-Verantwortliche dazu befragt, wie deutsche Unternehmen in puncto IT-Sicherheit aufgestellt sind. Dabei erklärten knapp 77 Prozent, dass es in ihren Unternehmen keine eigene Abteilung für die IT-Sicherheit gäbe. In vielen Unternehmen seien die CIOs und IT-Leiter im Rahmen ihrer Tätigkeit für die IT-Sicherheit zuständig. Nur acht Prozent der Unternehmen mit einer Mitarbeiteranzahl zwischen 100 bis 199 haben eine eigene IT-Sicherheitsabteilung. Bei Unternehmen mit mehr als 1000 Beschäftigten sind es immerhin 33 Prozent.

Ein weiteres Problem ist, dass viele IT-Systeme in den befragten Unternehmen nicht auf dem neuesten Stand sind. 55,4 Prozent gaben an, dass ihre Systeme veraltet sind. Auf die Frage woran das lag, gab es drei Hauptgründe: Es gab nach Angaben der Befragten noch keine ernsthaften Sicherheitsvorfälle (57 Prozent), das IT-Sicherheitsbudget sei zu gering (55,8 Prozent) und das Personal fehle (54,7 Prozent).

Ernst Esslinger, Leiter IT-Engineering bei Homag und im BMBF-Leitprojekt IUNO, Bild: Homag
Ernst Esslinger, Leiter IT-Engineering bei Homag und im BMBF-Leitprojekt IUNO, rät Unternehmen in die Sicherheit zu investieren. Bild: Homag

Diese Vernachlässigung der Sicherheit ist Ernst Esslinger, Leiter IT-Engineering bei Homag und im BMBF-Leitprojekt IUNO aktiv, schon länger bekannt: „In den KMUs wird sicherlich das Thema IT-Sicherheit bisher meist nicht mit dem notwendigen Stellenwert behandelt. Bei den größeren Firmen, von denen man in der Regel in den Zeitungen liest, ist das Thema aber bereits meist gut besetzt, aber 100-prozentige Sicherheit gibt es eben nicht.“ So sollten Unternehmen in die Sicherheit investieren.

Dieser Meinung ist auch Oliver Narr, Marketing Manager Industrial Security bei Siemens: „Hier gibt es ein schönes Zitat eines unserer Forschungsexperten für Security: ‚Eigentlich gibt es nur zwei Gruppen von Firmen: die einen, die wissen, dass sie gehackt wurden und die anderen, die es einfach nicht gemerkt haben‘. Das zeigt, dass Security für alle Industrieunternehmen relevant ist.“

Gefahrenquelle Vernetzung

Besonders im Rahmen von Industrie 4.0 und der Vernetzung der Maschinen mit dem Internet glauben viele Unternehmen daran, dass Spionage und Co. zunehmen werden. Im Cyber-Security-Report 2015 gaben 84 Prozent der Befragten an, dass mit Industrie 4.0 auch die Gefahr des Angriffs steige. „Sie müssen daran denken, dass sich durch die nun zunehmende Vernetzung das Thema IT-Sicherheit nicht mehr nur auf den Office-Bereich beschränkt, sondern auch die Produktion jetzt im gleichen Netzwerk hängt“, erklärt Esslinger. 87 Prozent der Befragten glauben demnach, dass durch die Zunahme der Vernetzung und Automatisierung auch die Schadsoftware (78 Prozent) und vor allem die Hackerangriffe (83 Prozent) steigen werden.

Dr. Thomas Lapp, Vorsitzender Nifis, Bild: Nifis
Dr. Thomas Lapp, Vorsitzender der Nationale Initiative für Informations- und Internet-Sicherheit, sieht die Unternehmen in der Pflicht, in ihren eigenen Schutz zu investieren. Bild: Nifis

Deswegen halten 81 Prozent unternehmensübergreifende Standards wichtig für die Industrie 4.0. Einen ersten Schritt zur Standardisierung hat Deutschland mit dem  IT-Sicherheitsgesetz im letzten Jahr in die Wege geleitet. Dr. Thomas Lapp, Vorsitzender der Nationale Initiative für Informations- und Internet-Sicherheit (Nifis), ist noch skeptisch: „Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-Sicherheitsgesetz – soll eine erhebliche Verbesserung der IT-Sicherheit in Deutschland bewirken. Das Gesetz ist auf jeden Fall ein Meilenstein. Was es tatsächlich bewirkt, werden wir erst sehen.“

Dabei lege das Gesetz den Grundstein für die IT-Sicherheit und verpflichte die Unternehmen dazu, Maßnahmen zum Schutz der informationstechnischen Systeme zu ergreifen. „Es ist also nach dem Gesetz die Aufgabe der Unternehmen, in ihren eigenen Schutz zu investieren. Das Gesetz kann keine Sicherheit schaffen, sondern lediglich eine Grundlage dafür schaffen.“