Die Hürde Datensicherheit ist niedriger als erwartet
Wer seinen Maschinenpark dem Internet öffnet, dem stellen sich zwangsläufig Fragen zur Sicherheit der Daten: Kann der Betrieb nun gehackt werden und wie kann man gewährleisten, dass alle rechtlichen Vorgaben zur Verarbeitung der Daten – insbesondere die DSGVO – eingehalten werden? Maschinenbauer zögern wegen dieser Bedenken ihrer Kunden, datenbasierte Geschäftsmodelle anzubieten und umzusetzen. Mit dem richtigen Softwarepartner können diese Unsicherheiten leicht ausgeräumt werden.
Wie können Maschinenbauer angesichts von günstig produzierender Konkurrenz und der digitalen Transformation wettbewerbsfähig bleiben? Eine Lösung liegt in digitalen Geschäftsmodellen auf Basis von Softwareplattformen. Sie führen Anlagen und Kunden zusammen: Der Maschinenbauer erhält Einblicke in die Betriebsdaten der Maschinen und kann Ersatzteile, Instandhaltung und Reparaturen als weitere und vor allem konstante After Sales Umsatzquellen unkompliziert und mit Mehrwert für den Kunden etablieren. Viele Maschinenbauer stehen hier allerdings vor einem Problem: Sie wissen nicht, wie sie die Datensicherheit gewährleisten sollen – das Internet erscheint unsicher und die DSGVO hängt wie ein Damoklesschwert über ihnen. Die gute Nachricht: So hoch sind die Hürden nicht, um eine sichere Datenverarbeitung zu garantieren. Wichtig ist, die verschiedenen Problemstellungen getrennt zu betrachten, weil ihnen unterschiedlich zu begegnen ist.
- Das Internet ist zu unsicher
Maschinenbauer halten das Internet für unsicher: Wichtige Daten können im Worst Case von Unbefugten gelesen oder manipuliert werden. Jede Internetverbindung bzw. Anwendung, die im Internet läuft, erhöht die Wahrscheinlichkeit eines Hackerangriffs auf den Maschinenbauer oder seine Kunden. Und jede Software kann ein Einfallstor darstellen und Angreifer darüber Zugriff auf andere Systeme erhalten – gerade, wenn sie im Internet über den Browser erreichbar ist. Schlimmstenfalls kann das zu Schäden an teuren Maschinen führen, zu Produktionsstillstand oder zu gesperrten Systemen und damit einhergehenden Erpressungsversuchen. Denn die Bandbreite der Cyberangriffe und ihrer Methoden ist groß und wird immer raffinierter. All diese Argumente sind nicht von der Hand zu weisen – das Internet kann unsicher sein. Unternehmen sollten die Gefahren deswegen ernst nehmen und Abwehrstrategien aufsetzen, aber nicht in Hysterie verfallen.
Es ist wichtig, dass IoT-Softwarelösungen eine solide Sicherheitsarchitektur haben und diese systematisch in allen Bereichen umgesetzt wird. Dazu gehören unter anderem die Segmentierung von Netzwerken und Systemen, eine starke Datenverschlüsselung sowie durchdachte Authentifizierungs- und Autorisierungskonzepte. Die Softwarearchitektur muss so gestaltet sein, dass sie keinen direkten Zugriff von außen erlaubt. Mit nachrichtenbasierten Konzepten spezieller IoT-Protokolle ist das leicht möglich. Auf der Quelltextebene muss durch sorgfältiges Coding und automatisierte Qualitätskontrolle das Risiko für versehentlich eingebaute Sicherheitslücken möglichst reduziert werden. Außerdem ist es wichtig, dass der Anbieter einen Überblick über aktuelle Angriffstaktiken und potenzielle Sicherheitslücken wie die berühmt gewordene log4j-Schwachstelle hat und sie mit Updates zeitnah schließt – denn hier geht es in der Tat um Zeit. Viele Angriffe sind bekannt und damit abzufangen.
Unternehmen sollten darüber hinaus nur einen professionellen Rechenzentrumsbetrieb mit gehärteten Netzwerken und Systemen nutzen – der eigene Server im Keller ist hier nicht die sicherste Lösung. Sogenannte Denial-of-Service-Attacken mit dem Ziel, den angegriffenen Server durch Überbelastung in die Knie zu zwingen, können mit einer entsprechenden Infrastruktur, guten Tools und entsprechendem Fachpersonal routinemäßig abgewehrt werden. Sie müssen außerdem darauf achten, dass stets der gesamte Software-Stack in der aktuellen verfügbaren Version läuft und klassische Betriebsfehler wie offene Ports oder einfache Passwort-Systeme vermeiden. Darüber hinaus sind eine Backup-Strategie und Notfallpläne notwendig. Die meisten Unternehmen können all dies nicht selbst leisten, es aber als Cloud-Services einkaufen.
Und es gibt weitere gute Nachrichten: Unternehmen können die gängigsten Sicherheitslücken und damit die größten Einfallstore für Hacker leicht selbst schließen, denn diese haben nichts mit einer industriellen Software zu tun: Dabei handelt es sich um Mitarbeiter, die E-Mails mit Schadsoftware öffnen oder fremde USB-Sticks in die Geschäftscomputer stecken. Dem kann mit einer Sensibilisierung des eigenen Teams vorgebeugt werden.
- Der Datenschutz kann nicht sichergestellt werden
Maschinenbauer sind der Ansicht, dass je höher der Digitalisierungsgrad wird, desto stärker auch die Aufwände für den Datenschutz wachsen und man sich um den Schutz personenbezogener Daten von Mitarbeitern und Kunden kümmern muss. Hinzu kommt die Furcht vor Strafen, da die DSGVO teilweise drakonisch ausgelegt wird und Strafzahlungen exorbitante Höhen erreichen können.
Unternehmen haben grundsätzlich recht, das Thema ernst zu nehmen. Sie müssen einen gesetzeskonformen Datenschutz implementieren und ihn dokumentieren. Aber auch hier gilt, sich nicht von den vermeintlichen Anforderungen und Auswirkungen paralysieren zu lassen. Nichts wird so heiß gegessen, wie es gekocht wird und Datenschutzberater stellen die Lage oft schlimmer dar, als sie tatsächlich ist – schließlich ist das ihr Geschäftsmodell. Unternehmen müssen wissen, dass bei Verstößen gegen die DSGVO hohe Strafen nur bei Vorsatz, Missbrauch und Wiederholung drohen. Einfache Fehler – sofern sie überhaupt entdeckt werden – ziehen nur Verwarnungen nach sich. Es muss dann nachgebessert werden, es steht aber nicht sofort die Zukunft des Betriebs auf dem Spiel.
Hinzu kommt, dass die zu verarbeitenden Daten richtig eingestuft werden müssen: Bei digitalen Geschäftsmodellen im Maschinenbau dreht es sich in der Regel um Informationen zu Auslastung, Taktung, Stillstandzeiten oder üblichen Fehlern – sie alle fallen nicht unter die DSGVO, da diese nur personenbezogene Daten unter Schutz stellt. In dem vom Maschinenbau angestrebten Geschäftsmodell fallen per se nur wenige personenbezogener Daten wie Name und Email etwa für Useraccounts an, die technisch notwendig sind und deswegen verarbeitet werden dürfen. Für sie gelten dann verschiedene Maßnahmen: So muss im System sichergestellt werden, dass die Daten durch Authentifizierung und Autorisierung geschützt werden. Es müssen Konzepte für Datenauskunft und -löschung implementiert werden, was sich einfach bewerkstelligen lässt, wenn es von Anfang an konzipiert wird. Außerdem muss dokumentiert werden, welche personenbezogenen Daten zu welchem Zweck gespeichert werden. Die vorgenannten Maßnahmen gelten natürlich auch, wenn eigentlich rein technische Daten durch die Software einen Personenbezug erhalten, etwa wenn über die Software ermittelt werden kann, welcher Bediener an der Maschine arbeitet und damit, wer tendenziell einen Stillstand in der Produktion verursacht hat. Doch diese Art der Datenzusammenführung findet zum einen meist nicht statt. Und wenn doch, gilt es bereits in der Konzeption wachsam und proaktiv zu sein, dann bleibt die Aufgabe gut beherrschbar.
Unternehmen sollten außerdem die gängigen Fehler auf dem Schirm haben und sie vermeiden, etwa die leichtfertige Einbindung von Google Fonts durch Web-Designer. Werden Daten in externen Rechenzentren oder der Cloud verarbeitet oder gespeichert, benötigen Unternehmen eine Auftragsverarbeitungsvereinbarung – professionelle Anbieter halten diese bereit. Handelt es sich um umfangreichere sensible Daten, sollten Unternehmen auf ein Hosting in der EU wertlegen – das gilt aber nicht, wenn es nur um Namen, Emails und Telefonnummern geht. Außerdem kann es sinnvoll sein, einen professionellen Datenschutzbeauftragten einmalig damit zu beauftragen, eine eigene, einfache und klare Datenschutzerklärung und bei Bedarf eine Auftragsverarbeitungsvereinbarung für die Kunden vorzubereiten.
Generell ist das Vertragswerk zwischen Maschinenbauer und Softwarepartner kein Hexenwerk. Es regelt, wer welche Daten sehen und wie sie verarbeitet werden dürfen. Das kann wasserdicht bzw. rechtssicher aufgesetzt werden, so dass dem Unternehmen garantiert werden kann, dass kein Missbrauch der Daten stattfinden. Ein IT-Partner wie Smartsquare hält zum Beispiel entsprechende Vorlagen vor und berät Maschinenbauer in der vertraglichen Ausgestaltung.
Fazit
Datensicherheit ist ein wichtiges Anliegen und die Sorge, ob man das entsprechende Schutzniveau aufrecht erhalten kann, berechtigt. Doch es gibt Entwarnung: Maschinenbauer überschätzen die Rolle der DSGVO hinsichtlich ihrer digitalen Geschäftsmodelle, die in der Regel nur wenig personenbezogene Daten, für die die DSGVO greift, benötigen. Und mit dem passenden Softwarepartner sind sie auch in Sachen Abwehr von Cyberangriffen gut aufgestellt.
Alexander Niemann, CEO Smartsquare GmbH