Wien – Die industrielle Produktion verändert sich. Unter Schlagworten wie Digitalisierung, Internet of Things oder Industrie 4.0 wird eine technologische Erneuerung vorangetrieben, die auf eine deutliche Flexibilisierung und Effizienzsteigerung abzielt. Der Umbau industrieller Prozesse nach Gesichtspunkten der Informatik wird auch die Organisation von Lieferketten grundsätzlich verändern. Lieferanten und Kunden sind global verteilt, höhere Variantenvielfalt der Produkte sorgt für tendenziell geringere Frachtmengen.

Um hohe Auslastungen zu erreichen, muss auch die Logistik flexibler werden. Transport- und Lagerkapazitäten von Betrieben sollen künftig etwa über Unternehmensgrenzen hinweg genutzt und über digitale Managementsysteme organisiert werden. Eine Voraussetzung dafür: Betriebe und Institutionen müssen bereit sein, Daten untereinander zu teilen – nahtlos und in Echtzeit. Das bedeutet, dass auch Datensicherheit in neuer Form gedacht werden muss. Nicht nur die eigene Lieferkette muss abgesichert werden, sondern auch Daten assoziierter Unternehmen.

"Es gibt eine Vielzahl potenzieller Schwachstellen. Dazu gehören nicht nur Lieferanten- und Kundenprozesse, die über IT-Schnittstellen abgewickelt werden, sondern etwa auch Outsourcing von IT-Services oder Schnittstellen für die Finanzbuchhaltung", sagt Markus Gerschberger, der sich am Logistikum Steyr der FH Oberösterreich mit Cyberrisiken in den Lieferketten beschäftigt. "Die Frage ist: Wie kann man den Überblick behalten?"

Bewusstsein in allen Unternehmensbereichen

Interne Prozesse sind im Normalfall sehr gut durch IT-Technik und entsprechende Schulungen abgesichert. Doch wenn Hacker-Angriffe, Viren oder Phishing in einem Unternehmen durch die geteilten Daten direkte Auswirkungen auf ein anderes Unternehmen haben können, muss sich die Strategie ändern.

"Das klassische Virenprogramm ist nicht mehr ausreichend. Cyberrisiken fallen nicht mehr nur in die Verantwortung der IT-Abteilungen, sondern betreffen zunehmend das Supply Chain Management", sagt Gerschberger. Bewusstsein für IT-Sicherheit in einer vernetzten Logistik müsse in allen Unternehmensbereichen vorhanden sein.

Werden etwa Stammdaten manipuliert, kann das zu einer Unterbrechung der Produktion führen. "Es könnte sein, dass der Beschaffungsvorgang von Verpackungsmaterial, das man für einen Fertigungsauftrag benötigt, durch eine fehlende Verlinkung nicht mehr ausgelöst wird", gibt Gerschberger ein einfaches Beispiel. Man hat dann ein fertiges Produkt, das nicht lieferbar ist, nur weil Verpackungsmaterialien fehlen. "Die Schwierigkeit dabei ist natürlich auch, dass man vielleicht erst lange Zeit nach dem Angriff bemerkt, dass man Ziel einer Attacke wurde."

Prinzipien für Risikomanagement

Gerschberger und Kollegen wollen nun herausfinden, wie weit das Bewusstsein für diesbezügliche Risiken schon gediehen ist; ob ein entsprechendes Risikomanagement bereits ein Thema in der Logistik ist oder ob Cybersicherheit nach wie vor lediglich als IT-Thema gesehen wird. "Wir schauen uns an, wie gut die Branche in Österreich vorbereitet ist."

Eine Referenz dafür geben die Prinzipien, die im Rahmen des Cybersecurity Framework des National Institutes of Standards and Technology entwickelt wurden. Die US-Einrichtung stellt eine flexible, offene und zeitgemäße Methodik zur Verfügung, wie Cybersecurity als Teil des Risikomanagements einer Organisation gesehen werden kann und wie – ungeachtet der Größe einer Organisation – die Abwehr von Bedrohungen und der Schutz kritischer Infrastruktur verbessert werden kann.

Die Forscher des Logistikum kooperieren mit der American University in Washington DC, wo ähnliche Untersuchungen zum Stand der IT-Sicherheit durchgeführt werden. Im Rahmen der Forschungspartnerschaft sollen nicht nur Studienergebnisse zum Stand des betrieblichen Risikomanagements verglichen, sondern auch österreichische und amerikanische Unternehmen zum Erfahrungsaustausch eingeladen werden. (pum, 15.11.2016)