Kleine und mittlere produzierende Unternehmen, die im internationalen Wettbewerb bestehen wollen, sind auf möglichst nahtlose Fertigungs- und Zulieferabläufe angewiesen. Unternehmensübergreifende Vernetzung ihrer Systeme kann ihnen dabei helfen, gemeinsam effizienter und flexibler zu werden. Zwar ist das Potenzial dieser übergreifenden Vernetzung beachtlich, doch der Anteil der deutschen Unternehmen, die entsprechend agieren, ist nach wie vor sehr gering – erst recht, wenn auch die Produktion eng verzahnt werden soll. Als größtes Hemmnis gilt vor allem die IT-Sicherheit, da viele Bedenken zu Datenrecht und -souveränität existieren [1]. Mit der Öffnung bisher geschlossener Systeme hin zu cyberphysischen Systemen entstehen mehr Angriffsflächen und Sicherheitslücken. IT-Schwachstellen bei einzelnen Unternehmen können sich dramatisch auf alle Partner auswirken, denn Unternehmensnetzwerke sind tägliches Ziel von Cyberangriffen.
Gerade kleine und mittlere Unternehmen schrecken jedoch häufig davor zurück, in IT-Sicherheit zu investieren – obwohl das Risiko von Angriffen beachtlich ist. Ursächlich dafür sind nicht nur die Kosten, sondern oft auch fehlendes Wissen über die Bedrohungen und wie ihnen entgegengewirkt werden kann. Dabei sind Unternehmen zum Schutz persönlicher Daten durch die EU-Datenschutzgrundverordnung (EU-DGSVO) sogar verpflichtet. Doch häufig mangelt an bedarfsorientierten IT-Sicherheitskonzepten, die die Wichtigkeit und Kritikalität der Produktionsdaten (z. B. Daten zu Kernkompetenzen) in Betracht ziehen. Sie sind die Basis für die Auswahl geeigneter IT-Sicherheitslösungen. Das Kosten-Nutzen-Verhältnis zwischen der Investition in IT-Sicherheit und der Wertschöpfung durch Produktionsvernetzung lässt sich jedoch nur schwer beziffern. Der Verzicht auf IT-Sicherheit kann jedoch kostspielige Folgen haben – erst recht, wenn die möglichen Produktivitätssteigerungen hinzugerechnet werden, die dem Unternehmen dadurch entgehen.
Die Partner im Projekt ESPRI entwickelten deshalb gemeinsam eine Software mit dem Namen »KMUsecure«, die zur kontinuierlichen Überwachung des eigenen Datenflusses und bedarfsorientierten Ermittlung von IT-Sicherheitslösungen für produzierende KMU entwickelt, welche neben Maßnahmen zur Steigerung der IT-Sicherheit die wirtschaftlichen Potenziale der Produktionsoptimierung durch Vernetzung aufzeigt.
Um KMUsecure zu nutzen, wurden zunächst alle an das Netzwerk angeschlossenen Maschinen und Geräte sowie die installierten Produktions-IT-Systeme (z.B. ERP, MES und CAQ) ermittelt. Die Software identifizierte daraufhin Informations- und Datenflüsse zwischen den Geräten und Systemen. Mit Hilfe der am Fraunhofer IPT entwickelten vBox, einem Industrie.4.0-fähigen Datenswitch, wurden die sicherheitskritischen Daten der Produktions-IT in die KMUsecure-Cloudplattform übertragen. In der KMUsecure-Cloudplattform wurden diese Daten schließlich hinsichtlich der relevanten Sicherheitsattribute von der Software klassifiziert und Bedrohungen des Netzwerks aufgedeckt. Aus der Analyse ließen sich dann automatisiert die passenden IT-Sicherheitsmaßnahmen ableiten.
KMUsecure erfüllt dabei vier Funktionen:
[1] Icks, A., Schröder, C., Brink, S., Dienes, C., Schneck, S.: Digitalisierungsprozesse von KMU im Verarbeitenden Gewerbe. IfM-Materialien Nr. 225, Institut für Mittelstandsforschung Bonn, Bonn (2017).
Allgeier IT Solutions GmbH, Bremen
Gefördert durch das Bundesministerium für Bildung und Forschung (BMBF) im Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit „Selbstbestimmt und sicher in der digitalen Welt“.
Förderkennzeichen: 16KIS1123