Der Unterschied: Safety steht für die Betriebssicherheit, Security für Informationssicherheit. Das Spannende daran: Beide Ansätze sind erfolgskritisch, beide widersprechen sich teilweise. Der Bereich Betriebssicherheit implementiert Funktionen, die Menschen und Maschinen umfassend und möglichst schnittstellenfrei schützen. Der Bereich Security sorgt sich wiederum darum, dass kein Unbefugter Daten stehlen beziehungsweise Anlagen manipulieren kann und setzt auf möglichst geschlossene Systeme. Das ist mit einer Fluchttür vergleichbar: Safety möchte, dass sie für den Fall der Notfälle immer offensteht, Security will sie dagegen zumauern, damit niemand Fremdes hereinkommen kann. Erschwerend kommt hinzu, dass der Bereich IT-Security bisher eigenständig agieren konnte. Da im Industrie 4.0-Rahmen aber Maschinen und Anlagen via IT-Schnittstellen miteinander kommunizieren, sind beide Bereiche heute existentiell und funktionell voneinander abhängig.
Menschenschutz
Safety wird vom Gesetzgeber in Form von Sicherheitsrichtlinien zwingend vorgeschrieben, während Security eine (noch überwiegend) freiwillige und allein durch unternehmerische Entscheidungen beeinflusste Investition ist. Eine prominente Ausnahme stellt der 5G-Netzausbau in Deutschland mit Huawei-Komponenten dar. Hier hat sich die Politik eingeschaltet und eine Debatte über die Sicherheit (präziser: Security) der Komponenten angestoßen. Solche behördlichen Eingriffe könnten sich in Zukunft mehren, wenn die Gefahren durch politisch oder wirtschaftlich motivierte Angriffe zunehmen und auch zunehmend erkannt werden.
Safety ist statisch. Klassische Safety-Maßnahmen umfassen zum Beispiel die Installation von Türkontakten, Lichtgittern und Schutzzäunen. Dazu kommen inzwischen auch die sicherheitsorientierte Auslegung der Sensorik sowie die Ansteuerung der Aktoren, welche Maschinen und Anlagen für den Menschen zuverlässig und unbedingt in einem gefahrlosen Zustand halten. Safety ist mithin auch digital und wird zunehmend zum substanziellen Teil der Steuerungsintelligenz. Die Lösungen dafür sind vorhanden. Es gibt zahlreiche leistungsfähige Sicherheitssteuerungen auf dem Markt. Mit günstigen Preisen und geringem Platzbedarf haben sie inzwischen selbst bei einfachen Anwendungen klassische Relais-Schaltungen ersetzt. Mit TÜV-zertifizierten Funktionsbausteinen können Software-Anwendungen in Minutenschnelle implementiert und normgerecht dokumentiert werden – wenn die Schutzmaßnahmen nicht schon herstellerseitig integriert wurden. Einmal umgesetzt, kann das Thema zumindest vorübergehend zu den Akten gelegt werden. Zwar erfordern agile Produktionsstrukturen, Abnutzung, Alterung wie auch ein bewusstes Umgehen der Safety-Komponenten durch den Bediener immer wieder erneute Reaktionen, meist aber erst nach längeren beziehungsweise planbaren Zeiträumen.
Datenschutz
Der Bereich Security verhält sich dagegen komplexer und dynamischer. Das hat mehrere Gründe: erstens die rasante technologische Entwicklung. Durch die Digitalisierung sind neue Einsatzbereiche und Prozesse entstanden – zum Beispiel in Form der Smart Factory oder additiver Fertigungssysteme. Diese weiterentwickelten Strukturen erfordern neue, umfassende Schutzkonzepte.
Zweitens durch die Agilität der Bedrohung. Die sorglose Einschätzung, dass klassische Hacker kein Interesse an Fertigungsprozessen und Industrieprotokollen haben, ist obsolet. Die Zahl der Angriffe steigt permanent – im Fokus stehen dabei primär mittelständische Unternehmen, die den Schutz ihrer IT-Architektur nicht immer so ernst nehmen wie Konzerne. Den Schaden beziffern Experten hierzulande auf 50 Mrd. Euro pro Jahr. Peter Wirnsperger, Leiter der Abteilung Cyber Risk beim Beratungsunternehmen Deloitte: „Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele. Angreifer spähen Produkte wie auch Geschäftsprozesse aus, um aus erbeuteten Informationen Profit zu schlagen.“
Zu einer praktischen Sicherheitsstrategie gehört eine saubere Risikobeurteilung – mit entsprechenden Maßnahmen in allen Bereichen. Dazu zählen primär
- Vertraulichkeit: die Sicherheit gegen Angriffe durch unerlaubtes Abhören
- Integrität: der Schutz gegen die Veränderung von Informationen
- Authentifizierung: die Überprüfung, ob ein Sender tatsächlich eine definierte Identität besitzt
- Verfügbarkeit und Zugang: Informationen sind nur dort und dann zugänglich, wo und wann sie von Berechtigten gebraucht werden
Industrie 4.0 vernetzt Administration mit Produktion. Damit wächst die Angriffsfläche. Denn selbst wenn das Produktionsnetz sorgfältig vom Internet abgeschirmt ist, reicht im digitalisierten Unternehmen ein schlecht gesicherter Büro-PC oder ein arglos verwendeter USB-Stick, um auf diesem Umweg doch noch digital zu den Maschinendaten vorzudringen. Neben präventiven Maßnahmen muss deshalb zwingend auch eine Analyse der aktuellen Datenströme erfolgen. Nur dann fällt auf, wenn zwei Maschinen unvermittelt miteinander kommunizieren, die davor nie Daten ausgetauscht haben. Oder wenn ein Roboter Steuerimpulse empfängt, die außerhalb seiner Routinearbeit liegen. Softwarelösungen sind für eine umfassende Sicherheitsanalyse bisher nur eingeschränkt in der Lage, das wird sich erst durch den Einsatz KI-gesteuerter Systeme ändern. Wenn die menschliche Expertise im Unternehmen fehlt, dann müssen externe Dienstleister einspringen.
Ein System, das secure ist, muss nicht unbedingt auch safe sein. Ebenso gilt: Ein System, das nicht secure ist, kann niemals safe sein.
Serie Industrie 4.0
Wir begleiten Sie mit unserer Serie auf dem Weg zur Digitalisierung. In dieser Ausgabe beleuchten wir das Thema IT-Sicherheit. Alle Beiträge finden Sie auch online unter: www.industrieanzeiger.de.
