Gastkommentar: IT-Sicherheit eminent wichtig für Industrie 4.0

Durch die Vernetzung von Industrieprozessen gibt es ein hohes Sicherheitsrisiko durch IT-Angriffe. Daher sollten Unternehmen schon frühzeitig Maßnahmen zum Schutz ihrer Anlagen ergreifen, wenn sie Industrie-4.0-Konzepte anwenden möchten. Malte Pollmann, CEO von Utimaco, stellt in diesem Statement die IT-Sicherheit als Voraussetzung für Industrie 4.0 vor.

Gastkommentar von Malte Pollmann, Utimaco

Malte Pollmann, CEO, Utimaco

20678-utimaco-malte-pollmann

Malte Pollmann, CEO, Utimaco

Das Industrie 4.0-Konzept: Industrie 4.0 bezeichnet die vierte industrielle Revolution, bei der Fabriken ihre Produktionsanlagen ins »Internet der Dinge« (Internet of Things, IoT) einbinden. Ihr Ziel ist es, dass sie zu Smart-Factories werden, und mit weniger Personal immer kürzere Produktzyklen und steigende Produktvarianten zu niedrigen Kosten realisieren können. Um diese Potentiale auszuschöpfen, sind allerdings erhebliche Investitionen erforderlich. Daher nimmt das Thema einen Spitzenplatz auf der Agenda der Chefs deutscher Industrieunternehmen ein. Eine Studie des IT-Verbandes Bitkom schätzt das zusätzliche Wertschöpfungspotential von Industrie 4.0 allein für die Branchen wie Maschinenbau, Elektrotechnik, Automobilbau und chemischer Industrie auf 78 Milliarden Euro bis zum Jahr 2025.

IT-Sicherheit für Industrie 4.0: Geht es um die Einführung von Industrie-4.0-Konzepten, muss auch die IT-Sicherheitsproblematik berücksichtigt werden, und das entlang der kompletten Wertschöpfungskette eines Produktes. Das Thema Informationssicherheit ist eine grundlegende Herausforderung, da die hohe Flexibilität von Industrie 4.0 eine absolute Vernetzung verlangt. Steuerungen müssen beispielsweise große Datenmengen verarbeiten und brauchen eine Vielzahl von offenen Schnittstellen für die Kommunikation mit der industriellen Umgebung.

Sicherheitsrisiken: Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA, zeigen, dass in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus hierfür einschlägige Standards bekannt sind, aber in nur einem Drittel der Unternehmen werden diese erst umgesetzt. Gleichzeitig geben 29 Prozent der Unternehmen an, selbst schon von Produktionsausfällen aufgrund von IT-Sicherheitsvorfällen betroffen gewesen zu sein. IT-Security hat in der Vergangenheit eine untergeordnete Rolle gespielt, da oftmals davon ausgegangen wurde, dass Fertigungsnetze nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis jedoch zeigt sich, dass viele Fabriknetze mit dem Internet verbunden sind. Dabei spielen zum Beispiel Fernwartungsanwendungen eine Rolle. Und seit dem Virus »Stuxnet« ist es widerlegt, dass aufgrund von proprietären Systemen und Protokollen die Hürde für Angreifer hoch liegen würde.

Verbindung von Office- und Fertigungs-IT: Um Industrie 4.0 vollständig integrieren zu können, muss die organisatorische Trennung von Office- und Fertigungs-IT aufgehoben werden. Meist sind sensible Konstruktionsdaten von einem Ingenieur erarbeitet worden, die in der Fertigung oder in einem anderen Bereich verwendet werden.

Gezielte Angriffe erfolgen meist über einen Einstieg im Bürobereich: Von diesem Einstiegspunkt werden dann weitere Angriffe im Unternehmen durchgeführt, bis hin zu den Produktions- und Steuerungsanlagen. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Unternehmensbereiche ist nicht erfolgreich, wenn die durchgängige Vernetzung des Industrie-4.0-Konzepts gewünscht ist. Angriffe können nur mit einem ganzheitlichen Ansatz verhindert werden. Aber es muss auch die Frage erlaubt sein, ob Maschinen und Fertigungsanlagen, aber auch andere elektronische Geräte, immer mit dem Internet verbunden sein müssen? Oder reicht es, die Maschinen in einem abgesicherten, lokalen Netz zu kontrollieren?

Hardware-Sicherheitsmodule als Vertrauensanker: Kommunikationsprotokolle müssen dafür ausgelegt sein, den Informationsfluss bestimmen zu können. Die Ende-zu Ende-Verschlüsselung kann eine abhörsichere Verbindung realisieren. Die Identifikation der Kommunikationspartner und Produkte spielen dabei eine große Rolle. Eine entsprechende Sicherung der Daten und Transaktionen wird über asymmetrische, kryptografische Verfahren durchgeführt. Unabhängig ob elektronische Signaturen oder Verschlüsselung zum Einsatz kommt, die gesicherte Generierung und Speicherung sowie dann im zweiten Schritt die Anwendungen der kryptografischen Schlüssel, stehen immer im Vordergrund. An dieser Stelle kommen die unterschiedlichen Arten von Hardware-Sicherheitsmodulen zur Anwendung. Sicherheitsmodule ermöglichen es, die kryptografischen Schlüssel gesichert vor dem Zugriff von unautorisierten Personen zu speichern und zur Anwendung zu bringen.

Fazit: Es gibt noch viel zu tun: Bis das Konzept Industrie 4.0 funktionieren kann, ist noch viel Entwicklungsarbeit zu leisten. Schutz vor unerlaubtem Zugriff sowie Schutz vor Sabotage und vor unachtsamer Bedienung sind für Industrieunternehmen essentiell und überlebensnotwendig. Intelligente und nachhaltige IT-Sicherheitsmaßnahmen müssen während der Gestaltung des Industrie-4.0-Konzeptes eingeführt werden, und nicht danach.

.

About the Author: Engelbert Hörmannsdorfer