Security | Die vernetzte Fabrik öffnet Produktionssysteme nach außen und birgt neue Sicherheitsrisiken. Ein rein auf Produktionsstabilität begrenzter Security-Ansatz ist damit nicht mehr ausreichend.
Dr. Harald Schöning Head of Research, Software AG
Die IT-Sicherheit wird in der Produktion immer wichtiger, zum Beispiel um sich vor Datendiebstahl oder Sabotagen zu schützen. Da in dezentral vernetzten, selbststeuernden Produktionsumgebungen die Kommunikation mit Kunden, Lieferanten und Partnern erheblich zunimmt, gewinnt das Thema Netzwerk-Sicherheit im Zuge des zunehmenden Datenaustauschs enorm an Bedeutung. Die Schutzmaßnahmen auf die eigene Fabrikhalle und die eigenen IT-Systeme zu begrenzen, genügt in vernetzten Produktionsszenarien nicht mehr. Es ist ein branchenübergreifender Sicherheitsansatz gefordert.
Organisatorisch besteht der wesentliche Unterschied zwischen der bisherigen IT-Sicherheit und der Security, die Industrie 4.0 erfordert, darin, dass bei Industrie 4.0 die IT-Sicherheit nicht nur innerhalb eines Standorts beziehungsweise innerhalb eines Unternehmens, sondern standort- und unternehmensübergreifend zu gewährleisten ist. Industrie 4.0 zeichnet sich schließlich gerade dadurch aus, dass verschiedene Firmen für einen bestimmten Zeitraum eine Art virtuelles Unternehmen bilden. Dadurch etabliert sich die Angriffssicherheit, also der Schutz vor Spionage oder Sabotagen, gleichberechtigt neben der Produktionssicherheit.
Ein vielversprechender Lösungsansatz für diese neue Herausforderung ist „Security by Design“: Der Ansatz bedeutet, dass die IT-Sicherheit bereits während Entwicklung und Entwurf der Systeme berücksichtigt wird. Sie wird also von Anfang an und über die gesamte Lebenszeit der Systeme mitgedacht und nicht mehr nachträglich in die Systeme eingebaut. Dadurch lassen sich etwaige konzeptionelle Schwachstellen im Vorhinein vermeiden, anstatt sie nachträglich aufwendig beseitigen zu müssen. Security by Design bietet damit die Chance, auch die Kosten zu senken.
In diesem Zusammenhang werden die Themen vertrauenswürdige Infrastrukturen und sichere Identitäten wichtiger: Wer darf welche Daten nutzen? Ist jeder auch derjenige, für den er sich ausgibt? Wie identifiziert sich beispielsweise der Mechaniker eines externen Dienstleister, der Maschinendaten ausliest? Worauf hat er Zugriff – und worauf eben nicht? Die Frage der Zugriffsrechte beschränkt sich dabei aber nicht nur auf Personen, sondern auch und gerade auf Maschinen und Sensoren. Kein Gerät darf sich in den Produktionsprozess einklinken, ohne sich vorher nicht zweifelsfrei identifiziert zu haben. Hier müssen Sicherheitsvorkehrungen getroffen werden, die Einfallstore für Hacker und Industriespione schließen und gewährleisten, dass Daten nicht in die falschen Hände gelangen.
IT-Security 4.0 steckt noch in den Kinderschuhen
Die IT-Sicherheit für Industrie 4.0 steht noch am Anfang der Entwicklung, wobei insbesondere die aus IT-Sicht ungewöhnlich lange Lebensdauer von Industrieanlagen eine große Herausforderung darstellt. Die meisten Fertigungsunternehmen produzieren mit heterogenen Maschinenparks und teilweise sehr alten Anlagen. Während ihres Einsatzes lassen sich diese Maschinen und Anlagen nur schwer und bedingt sicherheitstechnisch aufrüsten. Es bedarf daher eines ganzheitlichen Ansatzes über den gesamten Lebenszyklus von Produktion und Produkten. Davon ist die Industrie derzeit allerdings noch weit entfernt: Die heutige IT-Sicherheit ist geprägt von herstellerspezifischen Insellösungen und punktuellen Schutzvorkehrungen.
Ein zentraler Baustein der IT-Sicherheit für Industrie 4.0 ist die Entwicklung einer branchenunabhängigen Semantik und entsprechender IT-Sicherheitsmodelle. Als „Bauanleitung“ wird ein standardisierter Ansatz benötigt, mit dem sich die komplette Produktion absichern lässt. Die größte Herausforderung bei der Entwicklung eines branchenübergreifenden Ansatzes liegt darin, eine gemeinsame „Sprache“ zu finden: IT und Maschinenbau leben und denken in völlig unterschiedlichen Welten: Dies beginnt bei Semantiken und endet bei Sicherheitsmodellen und -konzepten. Hier müssen sich in allererster Linie IT und Fertigungsindustrie einander stärker annähern, als dies bislang der Fall ist.
So ist es in der IT üblich, Updates und Patches zeitnah im monatlichen oder wöchentlichen Rhythmus zu installieren, um alle Software-Anwendungen möglichst aktuell zu halten und etwaige Sicherheitslücken zu schließen. In der Produktion hingegen sind derartig regelmäßige Eingriffe in die laufenden Systeme undenkbar. Zudem unterscheiden sich die reaktiven Maßnahmen, die Unternehmen im Fall des Falles ergreifen erheblich: Nach einem erkannten IT-Angriff werden die betroffenen Systeme abgeschaltet, um weiteren Schaden zu vermeiden, den entstandenen Schaden zu analysieren und entsprechende Schutzmaßnahmen zu ergreifen. In der Produktion ist ein solcher Stillstand nicht möglich.
Aber es gibt Ideen und erste Ansätze, um dieses Problem zu lösen, zum Beispiel mithilfe von Simulationen, um Probleme im Vorfeld erkennen und beheben zu können. Nichtsdestotrotz müssen sich Industrie und IT auf dem Weg zu Industrie 4.0 ein Stück weit von ihren gelebten Gewohnheiten verabschieden und sich auf einen gemeinsam getragenen Konsens einigen. Hier besteht noch erheblicher Gesprächs- und Dialogbedarf.
Im nächsten Schritt ist entscheidend, dass Referenzprojekte umgesetzt werden, die der Industrie als Blaupause dienen können. Vorbereitend hat das Fraunhofer-Institut für Sichere Informationstechnologie einige Grundlagen und Voraussetzungen im Rahmen des „Eberbacher Gesprächs zu Sicherheit in der Industrie 4.0“ erarbeitet und veröffentlicht. Damit solche Rahmenbedingungen definiert und branchenspezifisch angepasst werden, sind jedoch in erster Linie die Industrieverbände gefordert. •
Unsere Webinar-Empfehlung
XR-Lösungen als sinnvolles Werkzeug im Service. Komplexität reduzieren und Wissen einfacher sowie verständlich zur richtigen Zeit, am richtigen Ort, im richtigen Format ausspielen.
Teilen:
