SIGI - Sicherheit für die digitale Transformation der Produktion
Die Erfüllung der Informations-, Daten-, und Kommunikationssicherheit ist einer der zentralen Herausforderungen für die Implementierung von Industrie 4.0. Sämtliche Kommunikations-, Produktions- und Entscheidungsprozesse funktionieren nur, wenn die IKT-Infrastrukturen zuverlässig zur Verfügung stehen und gegenüber Ausfällen und Bedrohungen widerstandsfähig konzipiert sind.
Vor diesem Hintergrund hatte die vorliegende Studie das Ziel, empirische Befunde zum vorhandenen Security-Bewusstsein und den gesetzten Maßnahmen von Seiten der österreichischen Industrie aufzubereiten. Des Weiteren wurde aus Sicht der Anbieter von Security-Lösungen der Status-quo in Österreich beleuchtet. Um Security als wesentlichen Standortfaktor für Österreich zu etablieren, war ein weiteres Ziel, Handlungsempfehlungen für Industrieunternehmen und die Politik aufzuzeigen. Befunde aus dem European Manufacturing Survey (EMS) für Österreich, Interviews und ein Workshop bildeten die Basis für die Erstellung der Studie.
Insgesamt kann konstatiert werden, dass das Sicherheitsbewusstsein in der Produktion in den letzten Jahren zugenommen hat, aus Security-Sicht jedoch Branchen wie die Finanz- oder Energiewirtschaft deutlich weiter sind. Am weitesten sind jene, vielfach großen Produktionsbetriebe, die ein sehr großes Verantwortungsbewusstsein in ihrer Tätigkeit haben, etwa in Bezug zur Wahrung von Intellectual Property oder KundInnendaten. Die empirischen Befunde auf Basis des EMS zeigen, dass es einen klaren positiven Zusammenhang zwischen dem Ausmaß der Nutzung von Industrie-4.0 Technologien (Industrie-4.0-Reifegrad) und dem Security-Bewusstsein einschließlich der eingesetzten Security-Maßnahmen (Security-Reifegrad) gibt. Gleichzeitig schenkt aber eine große Gruppe von Produktionsbetrieben dem Thema Security noch deutlich zu wenig Aufmerksamkeit.
Als Gründe für Sicherheitsrisiken gelten mangelndes Sicherheitsbewusstsein, ungenügende Sicherheitsvorsorge (z.B. Sicherheitslücken in Systemarchitekturen), erschwerter Schutz durch fehlende Standardisierung, unklare Kosten-Nutzen-Relationen bei Investitionen in die Sicherheit und die fehlende Akzeptanz von Cybersecurity-Lösungen seitens der Anwender (z.B. aufgrund sinkender Benutzerfreundlichkeit). Technische Lösungen allein greifen zu kurz, umfassende Sicherheit ist nur erreichbar, wenn Technik und organisatorische Prozesse gemeinsam betrachtet werden. Wirksame Sicherheit ist daher auch nur mit Unterstützung des Managements möglich.
Die Markttransparenz für Sicherheitslösungen wird in Österreich als gering eingestuft und Unternehmen, die im Hinblick auf Security noch am Anfang stehen, bekunden, dass die fehlende Klarheit über Sicherheitsmaßnahmen eine Barriere für die weitere Investition in Industrie 4.0 und vor allem die Vernetzung von Systemen ist.
Auf Basis der durchgeführten Analysen wurden Empfehlungen für Industrieunternehmen und die Politik abgeleitet, die die Bereiche Forschung und Entwicklung, Aus- und Weiterbildung, Standardisierung und Zertifizierung sowie Kommunikation und Bewusstseinsbildung umfassen. Wenngleich etwa schon sehr umfangreiche und ausdifferenzierte Normen und Standards existieren (Bsp. Normenreihe IEC 62443), fehlen bislang Best Practices und Leitfäden zur konkreten Nutzung bzw. Anwendung dieser Regelungen.