Hintergrund
Moderne Produktionssysteme hängen in hohem Maße vom reibungslosen Funktionieren der Lieferketten ab. Diese werden aber zunehmend komplexer. Dafür gibt es verschiedene Gründe. Der Trend hin zu maßgeschneiderten Produkten nach kundenspezifischen Wünschen zum Beispiel, die just-in time Produktion, damit Lagerkosten gering gehalten werden, aber auch die voranschreitende Spezialisierung von Betrieben auf einzelne Produkte oder Dienstleistungen stellen Logistik und Management auf die Probe. Um Produktionsprozesse schlank zu halten und gegen Ausfälle und Störungen abzusichern, braucht es daher Maßnahmen auf vielen Ebenen. Diese erstrecken sich von der flexiblen Anpassung von Produktionsanlagen an neue Aufträge, über die Ausrichtung der Lieferketten an den Wünsche von Kund*innen einerseits und den Kapazitäten der Lieferant*innen anderseits, bis hin zur Schaffung einer resilienten Systemarchitektur, die mögliche Störfälle so abfedert, dass der Betrieb aufrechterhalten werden kann.
Projektinhalt
Vernetzte, komplexe Lieferketten sind ein Charakteristikum modernen Wirtschaftens. Je nach Größe und Struktur der beteiligten Partner sind die Organisationsgrade der Lieferketten unterschiedlich und damit gehen auch unterschiedliche Sicherheitsrisiken einher. Unter gleichgestellten Partnern, die viele verschiedene Kunden bedienen zum Beispiel, muss die Lieferkette sehr flexibel gestaltet sein und es ist daher schwierig eine gemeinsame Plattform zu schaffen. Solche Strukturen sind oft anfällig für social engineering – also den Versuch über Mitarbeiter*innen an sensible Informationen zu kommen. Große Unternehmen geben üblicherweise viel für Sicherheit aus und setzen auf eigenen Plattformen über welche die Kommunikation und Abwicklung laufen soll. Ihre Lieferanten sind aber mitunter kleinere Unternehmen, die nicht über ausreichend Mittel und Kapazitäten verfügen, um ihre Systeme ausreichend sicher zu machen. Sie sind daher oft die Schwachstelle über die Angriffe erfolgen.
Wie die angeführten Szenarien deutlich machen, ergeben sich je nach den Gegebenheiten unterschiedliche Sicherheitsrisiken. In dem vorliegenden Projekt wird darauf Rücksicht genommen und ein umfassender Ansatz verfolgt bei dem mehr als Teilaspekte (IT-Sicherheitskonzepte von lediglich ein oder zwei Unternehmen) untersucht werden. Die Ergebnisse der Analysen werden außerdem an Anwendungsfällen in der „realen Welt“ geprüft, um echte Probleme abseits rein akademischer Laborumgebungen zu lösen. Ein wesentliches Merkmal ist auch die Abkehr von einer reinen technischen Sichtweise hin zu einer Integration des Faktors Mensch (Stichwort: social engineering) und einer Erweiterung klassischer Sicherheitskonzepte in Richtung Resilienz.
Ziele und Methodik
Das übergeordnete Ziel des Projektes ist es, die Verwundbarkeit von Lieferketten gegenüber Cyber-Angriffen zu untersuchen. Besonderes Augenmerk wird dabei auf unterschiedliche Komplexitätsgrade in den Lieferketten gelegt. Außerdem werden unterschiedliche Branchen für die Untersuchungen herangezogen und Methoden entwickelt Cyber-Angriffe zu erkennen und die Resilienz und Widerstandsfähigkeit der zugrundeliegenden Systeme zu steigern. Die Ergebnisse werden an echten Anwendungsfällen erprobt und somit eine große Nähe zur Praxis hergestellt.
Das Projektteam hat unter anderem vor:
- die Rahmenbedingungen für und Anforderungen an sichere und resiliente Systeme in Hinblick auf Lieferketten zu eruieren. Dazu ist eine Taxonomie zu entwickeln, welche eine Brücke zwischen den verschiedenen Disziplinen schlägt.
- mit der Unterstützung von Firmenpartner aus verschiedenen Branchen Lösungen für die Praxis zu entwickeln. Auf die unterschiedlichen Organisationsgrade von Lieferketten soll dabei Bedacht genommen werden.
- über die Implementierung einzelner technischen Maßnahmen hinauszugehen und den Blick auf das Gesamtsystem zu richten. Das schließt neben direkten und indirekten Angriffen (über Zulieferer zum Beispiel) auf oder über die Softwarearchitektur auch social engineering mit ein (also Angriffe über Mitarbeiter*innen).
- die Forschungsergebnisse zu veröffentlichen und in die Lehre zu integrieren. Das bezieht sich auf bestehende aber auch neue Lehrgänge sowie auf Schulungs- und Informationsangebote außerhalb des akademischen Umfelds.
Ergebnis
Die klassischen Sicherheitskonzepte zu einer ganzheitlichen Betrachtungsweise – wie sie resiliente Systeme erfordern – weiterzuentwickeln und dies als neuen Standard festzuschreiben ist eines der wesentlichen, über die Projektlaufzeit hinausgehenden Vorhaben. Moderne Lieferketten sind Systeme mit hohem Organisationsgrad und wesentlich komplexer als typische Web-Services. Sie können kaum auf allen Ebenen abgesichert werden. Resilienz hingegen ist mehr als eine Absicherung. Vielmehr sollen Angriffe, Störfälle oder schlicht Veränderungen zu Anpassungen führen ohne dass die Systeme ihre Funktionstüchtigkeit einbüßen. Das bedeutet auch, einer isolierten Betrachtung einzelner Sicherheitsaspekte eine Absage zu erteilen. Resilienz ist weiter zu fassen und berührt auch Aspekte wie Organisation, Management sowie den Informationsaustausch innerhalb der und zwischen den Unternehmen. Resilienz ist also keine Einzelmaßnahme, die nur Techniker*innen betrifft, sondern verlangt einen Blick auf das „große Ganze“.