IT-Security

ZVEI: Wie steht es um die Cybersicherheit in der Elektroindustrie?

29.05.2018 - In einer Zeit, in der die Anzahl der Cyberangriffe in allen Lebensbereichen steigt, lohnt es sich, die aktuelle Cybersicherheitslage genau zu kennen. Denn nur so lassen sich die ri...

In einer Zeit, in der die Anzahl der Cyberangriffe in allen Lebensbereichen steigt, lohnt es sich, die aktuelle Cybersicherheitslage genau zu kennen. Denn nur so lassen sich die richtigen Schritte für mehr ­Cybersicherheit einleiten. Um diese Basis zu schaffen, hat der ZVEI - Zentralverband Elektrotechnik und Elektronikindustrie bereits im Jahr 2016 das Pilotprojekt „Sicherheitslagebild im Fachverband Auto­mation“ erfolgreich abgeschlossen. Es zeigt: Nahezu jedes Unter­nehmen in der Automationsbranche ist mit kleineren und mittleren Angriffen konfrontiert, drei von zehn Unternehmen müssen regel­mäßig schwere Vorfälle bewältigen.

Mehr zum Thema auf unserer Microsite GIT Cyber Security:

Nun hat der ZVEI das Sicherheitslagebild auf die gesamte Elektroindustrie erweitert: Gemeinsam mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) hat der Verband eine Mitgliederumfrage zur Cybersicherheit in den Unternehmen durchgeführt. Insgesamt nahmen daran 101 Unternehmen aus 21 unterschiedlichen Industriesektoren teil, von denen die meisten KMUs mit bis zu 1.000 Mitarbeiter waren. Die Fragen umfassten sowohl Office- als auch Produktions-IT.

Cybersicherheit in der Elektro­industrie: Wie ist die Branche ­aufgestellt?
Zu den wichtigsten Erkenntnissen aus der Befragung gehört, dass das Thema Cybersicherheit definitiv in der Branche angekommen ist. So bezeichnen es 88 Prozent der Teilnehmenden als Topthema der Geschäftsführung. Die große Mehrheit der befragen Unternehmen (87 %) beschäftigen zudem einen Hauptverantwortlichen für IT-Sicherheit. Ein Security-Engineering für Produkte, d. h. ein Fokus auf Cybersicherheitsaspekte schon im Entwicklungsprozess, ist noch nicht die Regel, wird aber durch die Unternehmen aufgebaut, um „Security-by-Design“ umsetzen zu können. Standardmaßnahmen wie Prozesse für Vorfälle, Passwort- und Rechtemanagement und Backups sind dagegen in den meisten Unternehmen implementiert. Ein gutes Drittel (33 %) führt Risikoanalysen für alle Bereiche ihrer Firma durch, weitere 23 Prozent im Bürobereich sowie 15 Prozent für die Produktions-IT. Deutlich wird außerdem, dass mit der erhöhten Relevanz von Cybersicherheit auch mehr finanzielle Mittel für diesen Bereich einhergehen: 42 Prozent der Befragten planen, ihr Budget zu erhöhen, weniger will fast niemand (1 %) für Cybersicherheit ausgeben. Positiv zu sehen ist, dass das Geld ganzheitlich in IT-Sicherheit investiert wird: Neben Technik (37 %), fließen auch in Prozesse (32 %) und Neuanstellungen und/oder Schulungen (20 %) finanzielle Mittel. Hindernisse für Investitionen stellen neben der Qualifizierung des Personals (25 %) vor allem die Inkompatibilität der Lösung mit dem Bestand (17 %) sowie die Intransparenz des Markts (16 %) dar. Hier müssen aus Sicht des ZVEI die Anbieter an Verbesserungen arbeiten.

Sicherheitsvorfälle und Ursachen: Woran liegt es, wenn Cyberangriffe erfolgreich verlaufen?
Cyberangriffe gehören zum Alltag. Das bestätigen die befragten Unternehmen: In den vergangenen zwei Jahren waren 60 Prozent von ihnen von Trojanern und Ransomware betroffen. 9 Prozent geben an, dadurch einen Schaden von mindestens 100.000 Euro erlitten zu haben. Aber was sind die Hauptursachen für geglückte Cyberangriffe? Im Bürobereich ist menschliches Fehlverhalten mit 58 Prozent Hauptfaktor für Sicherheitsvorfälle, danach kommen Schwachstellen in der eingesetzten Software (25 %). In der Produktion sind letztere die häufigste Ursache für Vorfälle (29 %), dicht gefolgt von menschlichem Fehlverhalten (22 %) sowie organisatorischen Mängeln (19 %). Damit gewinnt die Bewertung und Prüfung von eingekaufter Soft- und Hardware in der Branche an Bedeutung. 39 Prozent der Befragten haben das erkannt und geben an, dass das Thema Vertrauenswürdigkeit von eingekauften Komponenten relevant für das Supply-Chain-Management ist. 28 Prozent messen dem noch keine hohe Bedeutung zu. Nach Auffassung des ZVEI herrscht hier Verbesserungsbedarf: Neben Know-how-Aufbau in puncto Cybersicherheit ist die Vertrauenswürdigkeit von eigenen und Drittprodukten aus Sicht des Verbands ein entscheidender Faktor, um Cyberangriffen zu begegnen. Aus diesem Grund bietet der ZVEI am 19. Juni 2018 einen „ZVEI-Expertentag Vertrauenswürdigkeit“ an, der Verantwortlichen für Supply-Chain-, Produkt- und Qualitätsmanagement sowie Produktsecurity Informationen zu rechtlichen Aspekten, Möglichkeiten bei der Bewertung und Prüfung sowie Lösungsansätzen für Industrie- und Konsumgüter vermittelt. Trotz der hohen Anzahl an Cybersicherheitsvorfällen, halten sich die daraus entstandenen Schäden bisher in Grenzen. So geben 39 Prozent an, keinen Schaden erlitten zu haben, 27 Prozent nennen Finanzschäden, 13 Prozent Datenverlust. Auffallend ist aus Sicht des ZVEI, dass Imageschäden nur fünf Prozent der entstandenen Schäden ausmachen.

Unterstützung im Kampf gegen Cyberkriminalität
Trotz häufiger Cyberattacken und der hohen Zahl an Betroffenen verläuft die Zusammenarbeit zwischen Unternehmen und Ermittlungsbehörden noch nicht optimal. Hauptursache dafür ist fehlendes Vertrauen in die Arbeit der Behörden. So haben 83 Prozent der Teilnehmer angegeben, einen mutwillig verursachten Vorfall nicht zur Anzeige gebracht zu haben, da die Erfolgsaussichten als gering eingestuft (21 %) oder die Täter im Ausland, und damit außerhalb der Zugriffsmöglichkeiten nationaler Behörden, vermutet werden (weitere 20 %). Das ist insofern von Bedeutung, als dass das vermutete Argument „Angst vor Reputationsschäden“ nicht der entscheidende Faktor zu sein scheint (die sehen nur 2 % als Hindernis). Dies bestärkt den ZVEI darin, sich weiterhin für eine verstärkte europäische und internationale Zusammenarbeit bei der Verfolgung von Cyberkriminalität einzusetzen. Neben staatlichen Stellen bietet auch die Allianz für Cyber-Sicherheit kostenlos Hilfestellung für Unternehmen. Ihre Mitglieder unterstützt die Allianz mit BSI-Warnungen, aktuellen Lagebildern, Lösungshinweisen und verschiedenen Schulungsangeboten. Laut der Umfrage ist sie allerdings nur knapp der Hälfte der Befragten bekannt.

Fazit
Das Sicherheitslagebild zeigt, dass die Branche beim Aufbau von Cybersicherheits-Kompetenz vorangekommen ist. Ihre Bedeutung als Voraussetzung für die Digitalisierung ist erkannt worden. Eine Baustelle bleibt das Zusammenspiel mit den Security-Anbietern und Dienstleistern. Hier finden die Unternehmen noch nicht das Maß an Flexibilität und Anpassungsfähigkeit an ihre Bedürfnisse, das sie brauchen. Gleichzeitig wird klar sichtbar, wo noch Verbesserungsbedarf besteht: Security-Engineering muss konsequent eingeführt und Security-Standards (z. B. IEC 62443) angewendet werden. Bei der Bekämpfung von Cybercrime müssen die Behörden mehr leisten, um das Vertrauen in die staatliche Handlungsfähigkeit zu erhalten. Schließlich ist die Zusammenarbeit von Industrie, Behörden und Kunden – zum Beispiel über die Allianz für Cyber-Sicherheit – der Schlüssel zu mehr ­Cybersicherheit in der Elektroindustrie.

Mehr zum Thema auf unserer Microsite GIT Cyber Security:

Kontakt

ZVEI - Zentralverband Elektrotechnik- und Elektronikindustrie e.V. - Archiv

Lyoner Str. 9
60528 Frankfurt
Deutschland

+49 69 6302 0
+49 69 6302 317