Die Industrie steckt mitten im digitalen Wandel. Sowohl für Großunternehmen als auch für kleine und mittlere Unternehmen (KMU) bieten sich viele Chancen, wenn sie zum Beispiel Künstliche Intelligenz (KI) einsetzen. Wenn sie etwa mithilfe von Machine Learning (ML) den Stillstand ihrer Fertigungsmaschinen verhindern, weil das System einen drohenden Ausfall rechtzeitig erkennt. Oder den Ausschuss in ihrer Produktion reduzieren, indem KI-Systeme in der Qualitätskontrolle Fehler aufdecken.
Doch die digitale Transformation hat auch Schattenseiten. Denn alles, was digitalisiert und somit vernetzt wird, stellt auch ein potenzielles Ziel für Cyberkriminelle dar. Das Thema Sicherheit gewinnt daher noch mehr an Bedeutung – erst recht, wenn auch Produktionsanlagen in einer smarten Fabrik mit dem Firmennetz verbunden werden.
Gefahr droht Unternehmen jeder Größe. Da jedoch bisher nur sehr wenige Cyberattacken auf Mittelständler publik wurden, hätten sich diese Firmen insgesamt recht sicher gefühlt – so die Aussage in einer Studie des Beratungsunternehmens Deloitte, die sich mit Security im Mittelstand beschäftigt hat. Doch dieses Gefühl ist trügerisch. Denn: „Besonders seit dem Jahr 2019 haben Cyberattacken auf mittelständische und Familienunternehmen stark zugenommen“, heißt es in dem Report weiter. Jüngstes Beispiel ist der Maschinenbauer Mahr, der Ende des vergangenen Jahres Opfer eines Online-Angriffs auf die hauseigene IT wurde und dessen betriebliche Abläufe daraufhin gestört waren.
Dienstleister nehmen dem Mittelstand Sicherheitsaufgaben ab
Beim Thema Sicherheit fehlt häufig nicht nur das Problembewusstsein, sondern auch Kompetenz. Denn die Online-Angriffe werden zunehmend raffinierter und komplexer. Um die neuen flexibleren Netzwerkarchitekturen einer digitalisierten Industrie zu schützen, brauche es eine Vielzahl verschiedener Security-Maßnahmen, sagt Max Weidele, Gründer der Wissensplattform Sichere Industrie. „Das beginnt beim Schutz der Endgeräte, geht über Netzwerk-Zugriffslösungen und führt bis hin zu Tools, die regelmäßig die Firmware der Steuerungen überprüfen.“
Erste Lösungsmöglichkeiten gibt es schon: Services, welche speziell auf kleine und mittlere Unternehmen ausgerichtet sind. So übernehmen Dienstleister etwa bestimmte Sicherheitsaufgaben. Mittelständler können zum Beispiel auf Managed Services zurückgreifen, um die Netzwerksicherheit zu überwachen oder das Back-up von Daten zu erledigen. Anbieter solcher Dienste stellen auch eigene ausfallsichere Netzwerke zur Verfügung, auf die der Internetverkehr nach einem Angriff auf die Firmen-Website umgeleitet werden kann.
Managed Services gibt es sowohl von großen Anbietern wie etwa Cisco oder IBM als auch von kleinen regionalen Systemhäusern. Letztere können vor allem damit punkten, dass sie sich eher auf Augenhöhe mit einem mittelständischen Anwenderunternehmen befinden.
Doch nicht nur aus Sicht der IT sind Sicherheitsanforderungen herausfordernd für Mittelständler. Auch im Sinne von Safety können sie Verantwortlichen Kopfzerbrechen bereiten – also wenn es darum geht, die Automatisierungstechnik in einer Produktionslinie abzusichern. Für jede Anwendung, bei der ein Roboter zum Einsatz kommt, müssen eine Risikoanalyse und eine entsprechende Zertifizierung durchgeführt werden. Es muss gewährleistet sein, dass der Roboter bei seiner Arbeit keine menschlichen Mitarbeitenden gefährdet. Und bei jeder neuen Anwendung muss auch das Sicherheitskonzept angepasst werden. Das kann für kleinere Unternehmen eine große Hürde sein.
Immerhin gibt es schon Ansätze, diese Hürde etwas zu senken. Anbieter, die Automatisierung auch zu den Mittelständlern bringen wollen, denken Sicherheitsanforderungen bereits mit. So hat zum Beispiel Epson kostengünstige Roboter entwickelt, die als Einstieg in die Technik dienen sollen. In Verbindung mit einem speziellen Sicherheitspaket können solche Entry-level-Modelle auch ohne Schutzzaun arbeiten. Durch vorab durchgeführte Risikobewertungen will Epson die Einbindung der Roboter in eine Anlage so einfach wie möglich gestalten.
Für den Einsatz von sogenannten fahrerlosen Transportsystemen (FTS) – also mobilen Robotern – hat Sicherheitsspezialist Pilz ein Komplettangebot zusammengestellt. Unternehmen erhalten unter anderem Unterstützung, wenn es um die Validierung der konkreten Applikation geht – inklusive Überprüfung der FTS und Definition der Schutzfelder. Auf Wunsch begleitet Pilz die Firma bis zur internationalen Konformitätsbewertung.
Start-ups wie Wandelbots oder ArtiMinds erleichtern die Inbetriebnahme von Robotern, indem sie deren Programmierung deutlich vereinfachen. Das hilft auch, wenn es um Sicherheitsaspekte geht. Denn damit lassen sich zum Beispiel die für einen sicheren Betrieb notwendigen Sensoren leichter integrieren. Das Gleiche gilt für spezielle Peripheriegeräte wie etwa abgerundete Greifer.
Die Herausforderungen gerade für kleinere Unternehmen will auch das europäische Projekt COVR reduzieren. Dabei geht es um die Sicherheit von Robotern im kollaborativen Einsatz – also quasi Hand in Hand mit dem Menschen. Das Projekt stellt unter anderem konkrete Anwendungsbeispiele sowie relevante Normen und Richtlinien auf seiner Website bereit. Dort sind auch Schritt-für-Schritt-Anleitungen verfügbar, nach denen Unternehmen eine eigene Validierungsmessung ihrer Anwendungen durchführen können.
Wer Unterstützung bei der Roboter-Safety braucht, kann sich daneben auch an den Deutschen Robotik Verband wenden. Der Verband hat es sich zum Ziel gesetzt, die Robotik speziell im Mittelstand zu fördern.
Dies überschneidet sich mit einem weiteren Bereich, in dem sich mangelndes Wissen und fehlende Fachkräfte bei KMU bemerkbar machen. „Ein wesentliches Hemmnis im Mittelstand sind aktuell noch fehlende KI-Expertise beziehungsweise nicht ausreichendes Digitalisierungs-Know-how“, sagt Martin Lundborg, der die Begleitforschung von Mittelstand-Digital leitet – einem Förderschwerpunkt des Bundeswirtschaftsministeriums. Meist stünden die mittleren Unternehmen vor dem Problem, dass ihr digitaler Reifegrad nicht für die Implementierung von KI-Anwendungen ausreiche.
Einen Einstieg in den Einsatz von Künstlicher Intelligenz ermöglichen Anbieter wie etwa Google, Microsoft oder Amazon WebServices. Deren vorgefertigte und trainierte KI-Dienste benötigen nur wenige Fachkenntnisse beim Endanwender. Mit ihnen lassen sich Funktionen wie zum Beispiel Sprach- oder Bilderkennung auf einfache Weise nutzen.
Dabei spielen auch sogenannte Low-Code-Ansätze eine Rolle – wie beispielsweise AutoML. Diese machen die Programmierung einer Anwendung deutlich einfacher. Lundborg hält sie für gut geeignete Werkzeuge, um Personen mit wenig Expertise im Bereich KI den Einsatz der Technologien zu ermöglichen. „Für den Mittelstand stellen Low-Code-ML-Lösungen durch ihre Einfachheit einen Beschleuniger für digitale Innovation dar“, so der Forschungsleiter.
Das fehlende Know-how lässt sich mithilfe von Schulungen oder Qualifizierungsmaßnahmen in den Mittelstand bringen. So stellt beispielsweise die Initiative Mittelstand-Digital KI-Trainerinnen und -Trainer bereit. „Diese klären mit Workshops, Unternehmensbesuchen, Vorträgen, Roadshows und zahlreichen weiteren Angeboten über das Thema KI auf“, erläutert Lundborgs Kollege Christian Märkel. Die Trainerinnen und Trainer helfen Unternehmen auch dabei, konkrete Anwendungsfälle umzusetzen.
Ein Beispiel dafür ist die Geothermieanlage in Traun-reut, welche die Region nordöstlich des Chiemsees mit Fernwärme und Strom versorgt. Um effizient arbeiten zu können, sind alle Pumpen und Wärmetauscher mit Sensoren ausgestattet. Doch die vielen aufgezeichneten Werte übersteigen die Datenmenge, aus der ein Mensch noch Zusammenhänge erkennen könnte. Die KI-Trainer und -Trainerinnen unterstützten das Unternehmen unter anderem durch einen Crashkurs in Sachen Machine Learning. Zudem hätten sie neue Möglichkeiten aufgezeigt, die zahlreichen Daten intelligent zu nutzen, wie Geschäftsführer Sebastian Schultz berichtet. Das Ergebnis: Mithilfe von KI lassen sich nun Ausfälle und Störungen in der Geothermieanlage frühzeitig erkennen.
CERT@VDE hilft bei der Suche im Heuhaufen
Um hinsichtlich aktueller Cyberbedrohungen ständig auf dem Laufenden zu sein, bietet sich gerade für den Mittelstand ein sogenanntes CERT (Computer Emergency Response Team) an – also eine Gruppe von IT-Experten, die Unternehmen bei Sicherheitsvorfällen helfen. Beispiel dafür ist das CERT@VDE. Über die Plattform können Maschinenbauer, Technik- und Serviceanbieter sowie Betreiber von Produktionsanlagen Informationen über Cybersicherheitsprobleme und potenzielle Schwachstellen austauschen. In sogenannten Schwachstellenmeldungen (Advisories) werden Sicherheitslücken in den Produkten der Kooperationspartner professionell und nach strengen Qualitätsregeln veröffentlicht sowie Lösungen zur Behebung dieser Schwachstellen beschrieben.
„Als Anwender und Betreiber von Industrieautomation muss man tagtäglich das Risiko in seinem Umfeld kennen und bewerten. Dazu ist das Wissen essenziell, ob ein Produkt, das ein Betreiber nutzt, vulnerabel ist. Dieses Wissen speist sich aus verlässlichen Informationen, die das CERT@VDE für seine Zielgruppe bereitstellt“, sagt Andreas Harner, Leiter von CERT@VDE.
Zudem geben die CERT-Experten unter anderem Hilfestellung bei der Entwicklung gemeinsamer Lösungen im Fall von Schwachstellen in Zulieferkomponenten der Kooperationspartner. „Wenn die Angreifer sich zunehmend vernetzen, die potenziellen Opfer aber quasi Einzelkämpfer sind, dann ist das grundsätzlich ein Problem“, so Harner weiter. „Mit dem CERT schaffen wir ebenfalls Vernetzung und stellen somit gewissermaßen Waffengleichheit her.“ Da gerade mittelständischen Unternehmen oft das Wissen und die Fachkräfte fehlten, sei es wichtig, „eine vertrauensvolle Community zu haben, in der die Firmen auch voneinander lernen können“.
Security-Experte Weidele hält ein CERT wie etwa das des VDE für eine gute Anlaufstelle für Mittelständler. So helfe unter anderem der Austausch mit den CERT-Mitgliedsunternehmen, eine gewisse Routine bei den eigenen Sicherheitsmaßnahmen zu erlangen. „Da geht es zum Teil um ganz banale Fragen wie zum Beispiel: ‚An wen wendet man sich bei einem Angriff?‘ oder: ‚Welche Reaktionsketten müssen aufgebaut werden?‘.“