GDV-Umfrage unter Maschinenbauern zum Thema Cybersecurity – VDMA und VSMA sind von den Ergebnissen irritiert

Mit der markanten Schlagzeile „Maschinenbauer nehmen IT-Risiken zu oft auf die leichte Schulter“ veröffentlichte der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) Ende Mai eine Umfrage. Befragt wurden laut Aussage des GDV 100 kleine und mittelständische Maschinenbauer zum Thema Cybersecurity. „Dies sei erstaunlich, da bisher kein Mitgliedsunternehmen bezüglich dieser Umfrage auf den VDMA zugekommen sei“, berichtet Jürgen Seiring, Geschäftsführer der VSMA GmbH. Alleine in Deutschland zählen über 3000 kleinere und mittelständische Unternehmen aus dem Maschinen- und Anlagenbau zu den Mitgliedern des VDMA e. V. (Verband Deutscher Maschinen- und Anlagenbau).

Die vom GDV veröffentlichte Forsa-Umfrage sorgte beim größten Wirtschaftsverband in Europa, dem VDMA e. V., für Unverständnis. Auch die VSMA GmbH, eine 100%ige Dienstleistungstochter des VDMA und Versicherungsmakler für den Maschinen- und Anlagenbau, zeigte sich irritiert. „Die Aussagen der GDV-Umfrage seien weit entfernt von den Ergebnissen fundierter Studien, die der VDMA bei seinen Mitgliedsunternehmen durchgeführt hätte. Man beschäftige sich bereits seit Jahren intensiv mit der Etablierung von Cybersecurity-Themen im Maschinenbau und könne mittlerweile eine hohe Sensibilisierung unter den VDMA-Mitgliedsfirmen registrieren“. Dies erklärte Jürgen Seiring, Geschäftsführer der VSMA, dem GDV auch bereits in einer telefonischen Konferenz.

Die bereits erzielten Fortschritte in Sachen Sensibilisierung der Mitgliedsunternehmen für das Thema Cybersecurity werden von der GDV-Veröffentlichung negiert. Mit Headlines wie „Tickende Zeitbomben“ und „Verbreitete Verantwortungslosigkeit bei der IT-Sicherheit“ wird nach Ansicht von VDMA und VSMA ein völlig falscher Eindruck vermittelt. Bereits seit Jahren unterstützen VDMA und VSMA die Mitgliedsunternehmen erfolgreich mit Informationen und Hilfsangeboten. Das eigens gegründete Competence Center „Industrial Security“ bietet zahlreiche Fachkreise, Veranstaltungen und Unterstützungsmaterialien an und sieht den Maschinenbau in puncto Cybersecurity gut informiert und vorbereitet.

Zur GDV-Veröffentlichung nimmt Steffen Zimmermann, Head of Competence Center Industrial Security des VDMA, wie folgt Stellung:

  • Es bedarf im Maschinen- und Anlagenbau einer Differenzierung zwischen IT und OT. Die Veröffentlichung geht jedoch einzig auf die (Office-)IT ein und berücksichtigt die besonderen Herausforderungen der Produktionsumgebungen (Operational Technology – OT) mit ihrer Vielzahl unterschiedlichster Systeme überhaupt nicht. Dabei liegen die größten Risiken gerade in diesem Bereich. So hatte die Studie „Industrial Security“ des VDMA gezeigt, dass bereits 30 % der Maschinenbauer von einem Produktionsausfall durch Security-Vorfälle betroffen waren. Der VDMA ermittelt in Studien bereits seit 2013 den Status quo der Security in Produktion und Automation.
  • Sowohl die GDV-Studie als auch die Fragen des GDV-Cybersicherheitschecks sind zu unspezifisch für den Maschinenbau. Deshalb sind die Ergebnisse bereits veröffentlichter Umfragen (z .B. zur Security bei Ärzten) tendenziell stark ähnlich, obwohl die Bedrohungen und Maßnahmen der Branchen deutlich voneinander abweichen. Das Bundesamt für Sicherheit in der IT (BSI) stellt diesem differenzierten Lagebild der Cyberbedrohungen eigene Sicherheitskataloge gegenüber, sowohl für industrielle IT-Umgebungen als auch für den sicheren Einsatz von Medizintechnik.
  • Die Vermischung von Zahlen aus zwei verschiedenen Erhebungen mit unterschiedlichen Adressatenkreisen, macht vergleichende Aussagen unglaubwürdig. Die präsentierte Forsa-Umfrage konzentriert sich auf 100 kleine und mittelständische Unternehmen (hier fehlt zudem eine nachvollziehbare Definition, um welche Unternehmensgrößen es sich hierbei handelt), während die Online-Tests bei 500 mittelständischen Unternehmen durchgeführt wurden. Solch eine Vermischung der Ergebnisse sehen wir als unseriös an.
  •  Es werden tendenziöse Aussagen mit unvollständigen Umfrageergebnissen untermauert, zum Beispiel bei der Frage zur Einschätzung des Risikos. Hier wird lediglich die Aussage „38 % der Unternehmen halten das Risiko für sehr gering bzw. gering“ zitiert. Es ist jedoch keine vollständige Sicht auf die Antworten ersichtlich. Wir gehen davon aus, dass hiermit die eigentlich positive Risiko-Wahrnehmung von 62 %der befragten Unternehmen, die das Risiko NICHT für gering bzw. sehr gering halten, für den Leser bewusst ausgeblendet werden soll. Dies ist für Umfragen eine ebenfalls unseriöse Praxis.
  • Die passive Untersuchung auf veraltete Software führt zu gefährlichen Fehlannahmen. Die Aussage unter der Überschrift „Tickende Zeitbomben: 5 % der Maschinenbauer nutzen Software, für die es keine Sicherheitsupdates mehr gibt“, ist selbst unter der Annahme, dass hier nur das IT/Office-Umfeld erfasst wurde, nach unserer Erfahrung sehr optimistisch. Für das OT-Umfeld der Maschinenbauer ist die Aussage mit Sicherheit falsch. Dies ergibt sich schon aus den klassischen Unterschieden zwischen IT und OT in Bezug auf die Laufzeiten von Maschinen und Anlagen (> 15-30 Jahre) und dem Primat der Verfügbarkeit, einschließlich aller dazugehörigen notwendigen technischen und organisatorischen Randbedingungen.
  • Sowohl die Umfrage als auch der GDV selbst suggerieren mit dem Cybersicherheitscheck eine 100%ige Security bei der Beantwortung von 10 Fragen. VDMA-Mitglieder wissen: „100%ige Security gibt es nicht“.
  • Die Umfrage negiert schlussendlich die hohe Bedeutung des Themas „Mitarbeiter-Awareness“. Dabei ist Ransomware, die derzeit größte Bedrohung für Unternehmen, selbst auf voll gepatchten Systemen eine akute Gefahr. Gemäß der VDMA-Befragung der Maschinen- und Anlagenbauer zu den TOP 10 Bedrohungen sehen die Mitglieder „menschliches Fehlverhalten und Sabotage“ zu Recht als die derzeit höchste Bedrohung an. (Quelle: VDMA Studie Industrial Security 2019).

 

Beitragsbild: VSMA GmbH

Kontakt:
Herr Jürgen Seiring
Geschäftsführer
VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1653
jseiring@vsma.org