Geht es um die Einführung von Industrie-4.0-Konzepten, muss auch die Security-Problematik berücksichtigt werden – entlang der kompletten Wertschöpfungskette des Produktes. [...]
Das Thema Informationssicherheit ist eine grundlegende Herausforderung, da die hohe Flexibilität von Industrie 4.0 eine absolute Vernetzung verlangt. Steuerungen müssen beispielsweise große Datenmengen verarbeiten und brauchen eine Vielzahl von offenen Schnittstellen für die Kommunikation mit der industriellen Umgebung.
Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA (Verband Deutscher Maschinen- und Anlagenbau), zeigen, dass in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus hierfür einschlägige Standards bekannt sind, aber in nur einem Drittel der Unternehmen werden diese erst umgesetzt. Gleichzeitig geben 29 Prozent der Unternehmen an, selbst schon von Produktionsausfällen aufgrund von IT-Sicherheitsvorfällen betroffen gewesen zu sein. IT-Security hat in der Vergangenheit eine untergeordnete Rolle gespielt, da oftmals davon ausgegangen wurde, dass Fertigungsnetze nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis jedoch zeigt sich, dass viele Fabriknetze mit dem Internet verbunden sind. Dabei spielen zum Beispiel Fernwartungsanwendungen eine Rolle. Und seit Stuxnet ist es widerlegt, dass aufgrund von proprietären Systemen und Protokollen die Hürde für Angreifer hoch liegen würde.
VERBINDUNG VON OFFICE- UND FERTIGUNGS-IT
Um Industrie 4.0 vollständig integrieren zu können, muss die organisatorische Trennung von Office- und Fertigungs-IT aufgehoben werden. Meist sind sensible Konstruktionsdaten von einem Ingenieur erarbeitet worden, die in der Fertigung oder in einem anderen Bereich verwendet werden.
Gezielte Angriffe erfolgen meist über einen Einstieg im Bürobereich. Von diesem Einstiegspunkt werden dann weitere Angriffe im Unternehmen durchgeführt, bis hin zu den Produktions- und Steuerungsanlagen. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Unternehmensbereiche ist nicht erfolgreich, wenn die durchgängige Vernetzung des Industrie 4.0-Konzepts gewünscht ist. Angriffe können nur mit einem ganzheitlichen Ansatz verhindert werden. Aber es muss auch die Frage erlaubt sein, ob Maschinen und Fertigungsanlagen, aber auch andere elektronische Geräte, immer mit dem Internet verbunden sein müssen? Oder reicht es, die Maschinen in einem abgesicherten, lokalen Netz zu kontrollieren?
HARDWARE-SICHERHEITSMODULE ALS VERTRAUENSANKER
Kommunikationsprotokolle müssen dafür ausgelegt sein, den Informationsfluss bestimmen zu können. Die Ende-zu Ende-Verschlüsselung kann eine abhörsichere Verbindung realisieren. Die Identifikation der Kommunikationspartner und Produkte spielen dabei eine große Rolle. Eine entsprechende Sicherung der Daten und Transaktionen wird über asymmetrische, kryptografische Verfahren durchgeführt. Unabhängig ob elektronische Signaturen oder Verschlüsselung zum Einsatz kommt, die gesicherte Generierung und Speicherung sowie dann im zweiten Schritt die Anwendungen der kryptographischen Schlüssel, stehen immer im Vordergrund. An dieser Stelle kommen die unterschiedlichen Arten von Hardware-Sicherheitsmodulen zur Anwendung. Sicherheitsmodule ermöglichen es die kryptographischen Schlüssel gesichert vor dem Zugriff von unautorisierten Personen zu speichern und zur Anwendung zu bringen.
FAZIT
Bis das Konzept Industrie 4.0 funktionieren kann, ist noch viel Entwicklungsarbeit zu leisten. Schutz vor unerlaubtem Zugriff sowie Schutz vor Sabotage und vor unachtsamer Bedienung sind für Industrieunternehmen essentiell und überlebensnotwendig. Intelligente und nachhaltige IT-Sicherheitsmaßnahmen müssen während der Gestaltung des Industrie 4.0-Konzeptes eingeführt werden und nicht danach.
* Malte Pollmann ist CEO von Utimaco.
Be the first to comment