Deutschland ist laut Bitkom zusammen mit den USA bei Industrie 4.0 weltweit führend. Entscheidend für den Erhalt der Spitzenposition ist es, vertrauliche Daten zu schützen. Neben den Betriebsgeheimnissen geht es dabei um personenbezogene Daten. Doch der Datenschutz kommt meist noch zu kurz.
Industrie 4.0 erfordert mehr Datensicherheit und Datenschutz
Für Deutschland als weltweit führendem Industriestandort ist die Vernetzung der Produktion eine zentrale Zukunftschance der Digitalisierung, so das Bundesforschungsministerium. Zur Umsetzung der intelligenten Fabrik ist jedoch die Vernetzung der Maschinen mit dem Internet notwendig. Dadurch überträgt sich die zunehmende Bedrohung von IT-Systemen durch Cyberangriffe automatisch auf die industriellen Anlagen.
„IT-Sicherheit ist zentrale Voraussetzung für den Erfolg der Digitalisierung und Vernetzung im Industrieumfeld. Schon heute sind industrielle Produktionsprozesse ebenso wie der Geschäftserfolg von Unternehmen mehr denn je von funktionierender IT abhängig. Vor dem Hintergrund der Industrie 4.0 wird sich dieser Trend noch verstärken“, erklärte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die am häufigsten insbesondere im Mittelstand geäußerte Befürchtung ist laut Bundesministerium für Bildung und Forschung (BMBF), dass bei Industrie 4.0
- die Daten nicht sicher seien,
- Geschäftsgeheimnisse verloren gehen und
- sorgfältig gehütetes Wissen der Unternehmen der Konkurrenz offenbart würde.
Entsprechend hat das Bundesministerium die Entwicklung eines durch Industrie und Forschung getragenen Sicherheits-Referenzsystems vorbereitet. IT-Sicherheit für Industrie 4.0 ist zudem ein Schwerpunkt im neuen IT-Sicherheitsforschungsprogramm der Bundesregierung. Darüber hinaus haben BMBF und VDMA (Verband Deutscher Maschinen- und Anlagenbau e.V.) ein gemeinsames Vorgehen „IT-Sicherheit in Industrie 4.0“ begonnen.
Neben Maschinendaten personenbezogene Daten betroffen
Die Berichte über die IT-Sicherheitsrisiken in Industrieunternehmen scheinen sich nur um Firmengeheimnisse zu drehen, mit denen der Vorsprung deutscher Unternehmen bei Industrie 4.0 in Verbindung steht, also etwa vertrauliche Konstruktionspläne, Marketingstrategien und Vertragsinhalte.
Daher stellt sich die Frage, was Industrie-Anlagen mit dem Datenschutz zu tun haben. Tatsächlich geht es nicht nur um Daten, die zu Maschinen, Konzepten und Plänen gehören. Personenbezogene Daten sind ebenso in Gefahr. Sie können indirekt von IT-Angriffen auf Industrieunternehmen betroffen sein, wenn sie Teil der digitalen Beute sind. Die Daten der Beschäftigten, Kunden und Partner können aber auch das eigentliche Ziel der Attacken sein:
- So liefern Beschäftigtendaten den Wettbewerbern nicht nur Informationen über Leistungsträger und deren Gehälter, um diese wenn möglich abzuwerben.
- Bestimmte Daten über Mitarbeiter könnten die betroffenen Personen auch erpressbar und letztlich zu Mittätern bei einem Datendiebstahl machen.
- Daten über Kunden und Lieferanten können Konditionen und Abhängigkeiten verraten, die Mitbewerber ausnutzen könnten, und die deshalb bereit sein könnten, den Datendieben einiges für die Daten zu bezahlen.
Neben den Schutz von Betriebsgeheimnissen muss deshalb immer auch der Schutz personenbezogener Daten treten, die zum einen oftmals Teil der vertraulichen Firmendaten sind, zum anderen aber auch aus rechtlichen Gründen umfassend geschützt werden müssen. Bereits heute mit dem Bundesdatenschutzgesetz (BDSG) und in Zukunft mit der Datenschutz-Grundverordnung (DSGVO) der EU gibt es strenge Vorschriften für den Datenschutz, deren Missachtung zu hohen Bußgeldern führen kann.
Datenschutz ist elementar für Industrie 4.0
Wie wichtig der Schutz personenbezogener Daten für Industrie 4.0 ist, zeigen zahlreiche Studien und Initiativen. „Das Thema Datenschutz spielt für Industrie 4.0 eine außerordentlich wichtige Rolle – dabei geht es sowohl um den Schutz von Unternehmensdaten als auch den Schutz der persönlichen Daten von Kunden und Beschäftigten. Die zunehmende Vernetzung von Arbeitnehmern und Produktionssystemen führt dazu, dass verstärkt personenbezogene Daten erfasst werden“, erklärte der Wirtschaftsrat.
„Damit die vierte industrielle Revolution gelingt, müssen jedoch noch einige Herausforderungen gemeistert werden: Fragen zu einheitlichen Normen und Standards, IT-Sicherheit und Datenschutz müssen ebenso diskutiert werden wie die Qualifizierung von Fachkräften, die in einer digitalisierten Wirtschaft erforderlich sind“, so zum Beispiel die Hochschule Albstadt-Sigmaringen bei der Eröffnung eines neuen Kompetenzzentrums für Industrie 4.0.
Die Sorge vor Gesetzesverstößen und Klagen ist eines der größten Hemmnisse bei der Verbreitung von Industrie 4.0, so der Digitalverband Bitkom bei der Veröffentlichung des Leitfadens „Rechtliche Aspekte von Industrie 4.0“. Fragen, die zu beantworten sind, wären demnach:
- Für welche Zwecke dürfen Produkt- und Produktionsdaten von wem und unter welchen Bedingungen genutzt werden?
- Welche Datenschutzbestimmungen müssen im Umgang mit personenbezogenen Daten beachtet werden?
- Welche Pflichten hat der Betreiber einer vernetzten Anlage in puncto IT-Sicherheit?
- Und wer haftet im Fall einer Cyberattacke?
„Das Vertrauen in die digitale Welt spielt eine überragende Rolle, um Industrie 4.0 umzusetzen. Auf der Agenda der Elektroindustrie steht daher Cybersicherheit von Industrie 4.0-Anwendungen und Datenschutz ganz oben“, erklärt auch der ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie e.V.). „Das Datenschutzrecht greift Risiken wie die potenzielle Überwachung von Mitarbeitern im Rahmen des Produktionsprozesses oder die mögliche Ausspähung von Endnutzern eines Produkts auf.
Ein sorgloser Umgang mit dem Datenschutzrecht kann dabei zu einem erheblichen finanziellen Risiko führen“, so der VDMA (Verband Deutscher Maschinen- und Anlagenbau e.V.) bei der Veröffentlichung des Leitfadens „Datenschutz & Industrie 4.0“. „Compliance in Sachen Datenschutz ist dabei keine einfache Angelegenheit, insbesondere wenn personenbezogene Daten – wie im Rahmen von Industrie-4.0-Techniken üblich – massenhaft und auch global vernetzt verarbeitet werden“.
Ähnlich sieht es der Digitalverband Bitkom in den Politischen Handlungsempfehlungen „Industrie 4.0 – Deutschland als Vorreiter der digitalisierten Vernetzung von Produkten und Produktionsprozessen“, in denen erklärt wird, warum reine IT-Sicherheit nicht ausreicht: „Wo aber personenbezogene Daten verarbeitet werden, kommt es zusätzlich darauf an, Vertrauen in Industrie 4.0 durch ein Höchstmaß an Datenschutz und Transparenz zu gewährleisten. Für unternehmens-, länder- und wirtschaftsübergreifende Kommunikation sind durch die Industrie offene, kompatible Standards für die Verschlüsselung herbeizuführen. Insbesondere mit der EU-Datenschutzgrundverordnung stellen wir hohe Anforderungen an den Datenschutz und sind somit internationaler Vorreiter“.
Die Automobilindustrie ist bereits den Schritt gegangen und hat in Gestalt des VDA (Verband der Automobilindustrie) zusammen mit den Aufsichtsbehörden für den Datenschutz eine gemeinsame Erklärung „Datenschutz-rechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Fahrzeuge“ verfasst. Sie kann als Beispiel dafür dienen, welche Datenschutzfragen bei vernetzten Systemen zu klären sind, wie sie generell bei Industrie 4.0 zu erwarten sind. Dazu gehören die Personenbezogenheit der anfallenden Daten,
- die Festlegung des Zeitpunkts der Datenerhebung,
- die Bestimmung der verantwortlichen Stelle,
- die Rechtsgrundlagen für den Datenumgang,
- das datenschutzrechtliche Auskunftsrecht der Nutzer gegenüber dem Hersteller und
- die Hoheit über die Datenverarbeitungsvorgänge.
Industrie-4.0-Projekte: In der Regel Datenschutz-Folgenabschätzung
In den meisten Anwendungen von Industrie 4.0 kommen datenschutzsensible Technologien wie Cloud Computing und die Analyse großer Datenmengen (Big-Data-Analysen) zum Einsatz, wie die Marktforscher von IDC in ihrer Studie zu Industrie 4.0 erklären. Trotzdem ist der Datenschutz häufig noch kein Thema in entsprechenden Projekten. Das Bewusstsein, dass Industrie 4.0 und personenbezogene Daten eng zusammenhängen, ist noch nicht ausgeprägt genug.
Damit deutlich wird, wo neben Maschinendaten auch personenbezogene Daten anfallen, die es zu schützen gilt, sollten Industrieunternehmen eine Datenschutz-Folgenabschätzung für ihre Verfahren im Bereich Industrie 4.0 angehen, zumal es sich in der Regel um die Verwendung neuer Technologien mit hohen Datenrisiken handelt.
Was ist dafür erforderlich?
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz personenbezogener Daten sicherstellen und den Nachweis dafür erbringen, dass die Datenschutz-Grundverordnung eingehalten wird.
Deutsche Industrie im Fadenkreuz der Datendiebe
An eine Spitzenposition bei Industrie 4.0 knüpfen sich viele wirtschaftliche Chancen für Deutschland, doch auch die möglichen Risiken dürfen nicht übersehen werden.
Welches sind die führenden Industrie-4.0-Nationen, so lautete die Frage einer Studie des Digitalverbands Bitkom zur Hannover Messe 2016:
- Auf Platz eins landeten mit 28 Prozent die USA.
- 25 Prozent sahen Deutschland vorne.
- Japan belegte mit 20 Prozent den dritten Platz.
- Es folgten mit großem Abstand Frankreich (8 Prozent),
- China (6 Prozent) sowie
- Korea und die Niederlande (je 3 Prozent).
Offensichtlich besteht ein hohes Interesse an den Firmengeheimnissen der deutschen Industrie. Zwei von drei Industrieunternehmen (69 Prozent) sind in Deutschland in den vergangenen zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden, so eine weitere Umfrage im Auftrag des Digitalverbands Bitkom. Damit ist die Industrie überdurchschnittlich stark bedroht. Denn im Durchschnitt der Gesamtwirtschaft sind 51 Prozent aller Unternehmen von entsprechenden Delikten betroffen.
Video: Industrie 4.0 – die vierte industrielle Revolution
Um die Risikoabwehr steht es trotzdem nicht gut:
- Nur die Hälfte aller Industrieunternehmen in Deutschland verfügt über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können.
- Nur jedes zehnte Industrieunternehmen hat in Deutschland eine Versicherung gegen Hackerangriffe und andere IT-Risiken abgeschlossen.
- Weitere neun Prozent planen den Abschluss einer Versicherung und 26 Prozent diskutieren das zumindest.
Dabei sind es nicht nur Angriffe über das Internet, die Industrieunternehmen in Deutschland bedrohen. Laut der Bitkom-Umfrage berichten 32 Prozent der Unternehmen, dass zum Beispiel Smartphones, Computer oder Tablets gestohlen wurden. Bei 20 Prozent wurden sensible physische Dokumente, Bauteile oder Muster entwendet. Vom Diebstahl sensibler digitaler Dokumente waren 19 Prozent betroffen. Bei 18 Prozent kam es zu Sabotageakten mit dem Ziel, die betrieblichen Abläufe zu stören oder lahmzulegen.
„Sicherheitslücken innerhalb der Produktionsnetze sowie in deren Kommunikation nach außen müssen gefunden werden, denn wird das Netzwerk angegriffen, drohen Produktionsausfall und finanzielle Schäden“, erklärte das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) bei einer Vorstellung seines IT-Sicherheitslabors für die industrielle Produktion.
All dies zeigt, wie wichtig Datensicherheit und Datenschutz bei Industrie 4.0 sind.
(Ein Beitrag von datenschutz-praxis.de; Autor: Oliver Schonschek)
Bildnachweis: © Fotolia – Titelbild: Coloures-pic – #01 serpeblu