Sicherheit und Plattform-Harmonisierung bleiben Herausforderungen

IoT wird Realität in Deutschland

14.08.2019
Von 

Gerhard Holzwart begann 1990 als Redakteur der COMPUTERWOCHE und leitete dort ab 1996 das Ressort Unternehmen & Märkte.  Ab 2005 verantwortete er den Bereich Kongresse und Fachveranstaltungen der IDG Business Media GmbH und baute „IDG Events“ mit jährlich rund 80 Konferenzen zu einem der führenden Anbieter von ITK-Fachveranstaltungen in Deutschland aus. Seit 2010 ist Gerhard Holzwart geschäftsführender Gesellschafter der h&g Editors GmbH und ist in dieser Funktion als Event Producer, Direktmarketingspezialist und ITK-Fachredakteur tätig.        

IoT ist in den Unternehmen angekommen. Bei der nötigen Verzahnung von Operational Technology (OT) und klassischer IT liegt jedoch noch vieles im Argen – insbesondere in puncto IT-Sicherheit.

Das Internet of Things (IoT) bewegt die IT-Branche und die deutsche Wirtschaft gleichermaßen. Allerdings sind Interpretationen und Herangehensweisen nach wie vor höchst unterschiedlich. Zu dieser grundsätzlichen Einschätzung kamen Branchenexperten im Rahmen eines Round Tables der COMPUTERWOCHE. Juergen Hahnrath, Head of IoT Germany von Cisco Systems, skizzierte die große Vision: "Wenn wir über IoT reden, geht es meiner Meinung nach um Grundsätzliches. Wir müssen bereit sein, alles infrage zu stellen. Wenn beispielsweise heute ein Start-up in Aachen in der Lage ist, ein komplett neues Auto rein mit Elektroantrieb, aber ohne Blech zu produzieren und zu vermarkten, kann das morgen schon bedeuten, dass ich keine Presse zum Stanzen von Karosserieteilen mehr benötige. Damit würde ein komplettes Produktionsverfahren samt Wertschöpfungskette entfallen." Sein Branchenkollege Bernhard Kirchmair, CDO Vinci Energies Deutschland, warb für einen eher pragmatischen Ansatz: "Mit der Brille des IT-Managers und auch aus Unternehmenssicht betrachtet, geht es bei IoT natürlich um einen tief greifenden Transformationsprozess. Aus Infrastruktursicht reden wir aber in erster Linie über ein effizienteres Ressourcenmanagement und die bessere Verzahnung von PPS-, ERP- und SCM-Systemen."

Unternehmen arbeiten an konkreten Use Cases

Zwischen diesen beiden Polen bewegt sich zurzeit nicht nur die Debatte hierzulande, die Bandbreite dieser Einschätzungen spiegelt auch den Status quo wider. Fest steht: Das Internet of Things (IoT) hat in Deutschland deutlich Fahrt aufgenommen und inzwischen auch einen beachtlichen Reifegrad erreicht. "IoT ist bei den Unternehmen längst angekommen. In den meisten Firmen hat man die Phase eines Proof of Concept längst hinter sich gelassen und arbeitet an konkreten Use Cases mit entsprechenden finanziellen und personellen Ressourcen", betont Dorian Gast, Head of Business Development IoT Germany bei Dell, und beschreibt damit die allgemeine Marktsituation. Einschlägigen Untersuchungen zufolge plant weit mehr als die Hälfte der deutschen Unternehmen die Einführung von IoT-Plattformen oder befindet sich bereits in entsprechenden Projektierungsphasen.

Informationen zu den Partner-Paketen der IoT-Studie

Auch die COMPUTERWOCHE-Studie "Internet of Things 2019" bestätigte schon vor Jahresfrist diesen Trend und ermittelte zudem bei den Anwendern einen Wandel in der Zielsetzung. 2017 sah die Mehrheit noch den größten Nutzen des IoT in der Erschließung neuer und besserer Serviceangebote - inklusive der Steigerung der Kundenzufriedenheit sowie des Auslotens neuer Geschäftsmodelle und damit der Erweiterung der bisherigen Kundenbasis. 2018 pendelten die Prioritäten wieder zurück, und es standen erneut - wie schon 2016 - vor allem eine Effizienzsteigerung bei bestehenden Geschäftsprozessen und Kostensenkungen im Vordergrund.

Diese Rückwärtsbewegung lässt eines erahnen: So richtig scheint der digitale Wandel hierzulande noch immer nicht vollzogen worden zu sein, wie Experte Gast feststellt: "Gerade in Deutschland wähnt man sich immer noch zu sehr in einer trügerischen Sicherheit, weil bis dato der Druck fehlte, das bisherige Geschäftsmodell auf ,plus a service' oder ,as a service' umzustellen. Die hiesigen Unternehmen fokussieren sich immer noch zu sehr auf den Fertigungsprozess per se und das Produkt, nicht aber auf das Smart Frontend, das künftig entscheidend sein wird." Diese eher kritische Einschätzung scheint zumindest auf kleine und mittelständische Unternehmen in der Fertigungsindustrie zuzutreffen, wo immer noch eher die vermeintlich "klassischen" Vorteile von IoT im Fokus stehen wie beispielsweise höhere Effizienz in der Produktion, geringere Ausfallzeiten und bessere Auslastung von Maschinen. Noch entscheidender dürfte hier aber ein anderes Motiv sein: die Angst, das angestammte Produktgeschäft zu kannibalisieren, indem man auf ein ,as-a-service'-Geschäftsmodell teilweise oder sogar komplett umstellt.

Grundsätzlich lassen sich IoT-Szenarien jedoch nicht über einen Kamm scheren. Mehr denn je gibt es signifikante Unterschiede zwischen den einzelnen Branchen. Während im hiesigen produzierenden Gewerbe die erwähnten Vorbehalte unverändert prägend sind, starten andere Industriezweige bei IoT längst durch - beispielsweise die Bauwirtschaft, wo unter den Schlagworten "Connected Building" und "Smart City" neue Wohn- und Arbeitswelten längst nicht mehr nur auf dem Reißbrett entstehen, oder im Bereich Handel und Logistik, wo der Kundendialog und damit die Customer Experience durch "Connected Products" auf eine völlig neue Ebene transferiert werden.

Einer der aktuell herausragendsten IoT-Anwendungsfälle findet sich in der Assekuranz, wo im Bereich Kfz-Versicherungen sogenannte "Car-Telematic"-Policen entstanden sind. Dabei erklärt sich der Versicherungsnehmer bereit, dass mittels Sensoren in seinem Kfz eine Reihe von Geschwindigkeits- und Beschleunigungsdaten an den Versicherer gesendet werden, der daraus eine Bewertung der Fahrweise und damit des Risikogehalts ableiten kann.

Die zunehmende Nutzung des IoT durch die Versicherungswirtschaft hat vor allen Dingen auch deshalb eine Art Leuchtturmcharakter, weil IoT hier nicht nur um der Effizienz und Technologie willen zum Einsatz kommt, sondern ein völlig neues, datenbasiertes Geschäftsmodell zum Tragen kommt. Für Karsten Stöhr, Solution Engineer bei DataStax, ist ein solches Szenario die eigentliche Errungenschaft von IoT: "Bei IoT nur über reine IT-Themen, über Machine Learning und IT-Security zu diskutieren greift zu kurz. Es geht in Zukunft hauptsächlich um den Wert der Daten und der darauf basierenden Geschäftsmodellen. Die Tatsache, dass heutzutage traditionelle Gewerbe wie beispielsweise Taxiunternehmen gegen eine App von Plattformbetreibern konkurrieren müssen, sollte allen Unternehmen die Augen öffnen."

Der Fokus liegt oft nicht auf dem Geschäftsmodell

Doch zurück zum Anlagen- und Maschinenbau sowie zur Automobilindustrie. Deutschland, immer noch ein Land der Maschinen- und Autobauer, Tüftler und Ingenieure? Nirgendwo sonst scheint dieses Klischee mehr zuzutreffen als beim Thema IoT, wie Marcel Buchner, Country Manager Germany & Austria bei Tech Mahindra, betont: "Grundsätzlich wird IoT in Deutschland sehr technologisch gesehen und entsprechend angegangen. Im Blickfeld steht das Produkt und weniger das Geschäftsmodell, geschweige denn eine Veränderung desselben." Und man müsse, so Buchner weiter, die Branchen, die das Rückgrat der deutschen Industrielandschaft verkörpern, auch noch einmal differenzieren. "Der Transformationsdruck in der Automobilbranche ist aktuell viel höher als beispielsweise im Anlagen- und Maschinenbau. Dort steckt IoT noch in den Kinderschuhen."

Entsprechend sind in der Automobilbranche derzeit die großen OEMs auch die Innovations-Taktgeber und definieren ihr jeweils individuelles IoT-Szenario, wie Uwe Herrmann, Accountmanager bei Objektkultur, zu berichten weiß: "Die großen Automobilhersteller fordern von ihren Zulieferern und deren Lieferanten verstärkt den Zugriff auf Maschinen- und Produktionsdaten, um die Einhaltung der Qualitätsstandards direkt kontrollieren zu können. Jeder möchte auch wissen, in welcher Produktionsphase sich sein Produkt gerade befindet. Besonders wichtig ist dies zum Beispiel bei völlig neuen Antriebstechnologien im Bereich E-Mobility."

Informationen zu den Partner-Paketen der IoT-Studie

Kluft zwischen IT und OT ist ein Security-Risiko

Grundsätzlich erschwerend dürfte hinzukommen, dass in den genannten Branchen IoT vielfach mit Industrie 4.0 gleichgesetzt wird. Damit liegt (zunächst) der Fokus auf der einzelnen Maschine, dem einzelnen Gerät sowie den Produktionsanlagen auf der Hand. Und es begegnen sich vielfach immer noch zwei Welten: die klassische IT mit ihren Hardware-, Software- und Netzwerkkomponenten und die Operational Technology (OT) mit ihren Produktions- und Industrieanlagen, die bis dato fast ausnahmslos in einem in sich geschlossenen Ökosystem ohne Anbindung ans Internet arbeitet. Für IoT-Security-Experten wie Navid Sayed vom TÜV Süd ist dies eine Herausforderung in doppelter Hinsicht: "Wir haben in den Unternehmen nicht nur ein hierarchisches, sondern auch ein horizontales Problem. Denn die OT-Welt redet nur ungern mit der IT-Welt."

Zudem ist es ein Albtraum für diejenigen, die zu den Verfechtern einer durchgängigen Security-by-Design-Strategie gehören. Während es in Industriebereichen mit "nur" einer klassischen IT bei der Anbindung von IoT-Plattformen primär um Interoperabilität, geschützte standardisierte Schnittstellen zu Drittsystemen und Multi-Cloud-Fähigkeit geht, ist die Herausforderung in der Fertigungsindustrie weitaus komplexer. Hier reden wir nach Ansicht der Analysten von CRISP Research von fehlender End-to-End-Security, von IoT-Plattformen, die typischerweise vom Public Internet isoliert geschrieben werden und aufgrund des Innovationsdruckes zu schnell neben industriellen Kontrollsystemen wie SCADA zum Einsatz kommen. Wird dann das Unternehmensnetz durch nur einen infizierten Laptop gehackt, stehen IoT-Devices ohne Schutz da, und ein Erpresser kann schnell, wie kürzlich bei der Krauss-Maffei-Gruppe geschehen, die gesamte Produktion für Wochen lahmlegen.

Spannend dürfte vor diesem Hintergrund nicht nur die Frage werden, ob IT und OT im Rahmen von Industrie 4.0 zusammenwachsen, sondern wie dies vonstattengeht. Das Vorhalten paralleler Infrastrukturen bietet jedenfalls, so viel steht fest, zu viele Einfallspforten für potenzielle Angreifer. Dies gilt erst recht, als bis zum heutigen Tag viele Hersteller von Maschinen und Produktionsanlagen rein proprietäre Systeme ausliefern, die nicht einmal ein herkömmliches, standardisiertes Patch-Management ermöglichen.

Die OT-Welt hat einen Sicherheitsstandard wie die IT vor 25 Jahren, heißt es unter Branchenkennern hinter vorgehaltener Hand. Nicht wenige Unternehmen suchen deshalb auch ihr Heil in nicht kabelgebundenen IoT-Plattformen auf Basis aktueller sowie vor allem künftiger Mobilfunkstandards wie 5G oder Wireless-Technologien für Nahbereichsverbindungen wie RFID oder NFC. Vorteil: Hier lässt sich Security-by-Design implementieren. Nachteil: Es ist kaum wirtschaftlich. Christian Koch, Director GRC & IoT/OT NTT Security , bringt die gesamte Misere noch einmal plakativ auf den Punkt: "Wenn ich heute zum Kunden gehe und ihn frage, wie viele und welche Komponenten sich in seinen Produktionsanlagen befinden, bekomme ich als Antwort oft nur ein Schulterzucken. Und wir haben es in der deutschen Fertigungsindustrie zum Teil noch mit einer völlig veralteten IT-Infrastruktur zu tun. Ich habe erst vor Kurzem ein Gespräch mit einem Produktionsleiter aus der Automobilindustrie geführt, der sich darüber gefreut hat, dass er jetzt endlich von den Herstellern neuer Produktionsanlagen Windows 7 auf seinen Produktionsrechnern installiert bekommt."