Leitfaden der Plattform Industrie 4.0

Darauf müssen Sie in Sachen Security bei Industrie 4.0 achten

01.05.2017

Leiter AG „Sicherheit vernetzter Systeme“ bei der Plattform Industrie 4.0 und Director Projekt Industrie 4.0@Bosch.

Notfall-Management und Wiederherstellung

Unabhängig von dem Ereignis, wie beispielsweise defekte Hardwarekomponenten einer Maschine/Anlage, veränderte Daten aufgrund von externen oder internen Einflüssen oder "nur" ein Stromausfall, für die Wiederherstellung ist ein Notfallkonzept erforderlich. Das schließt ein regelmäßiges Backup der relevanten Daten und Programme auch und gerade für die produktionsrelevanten Teile mit ein. Da diese Daten gleichsam das Kern-Know-how einer Firma darstellen, sollten entsprechende Datenträger nur unter höchsten physischen Sicherheitsvorkehrungen erstellt und transportiert werden.

Geräte, Anlagen und Netze segmentieren

Die Segmentierung in Office-IT und Produktions-IT beschreibt eine vertikale Trennung. Anlagen-Subnetze lassen sich dagegen auch horizontal trennen. Zonen ähnlichen Schutzbedarfes müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Um weiterhin zwischen den Zonen zu kommunizieren, sind eventuell vorhandene Übergänge klar zu definieren und entsprechend abzusichern. Eine sorgfältige Erstellung der Zonen mit zugehöriger Identifikation und Absicherung der Informationsflüsse kann Kaskadeneffekten entgegenwirken und ein hohes Sicherheitsniveau auch in der hochvernetzten Systemlandschaft der Industrie 4.0 gewährleisten.

Sicheres Identitäts-Management

Ein essentieller Bestandteil von Industrie 4.0 sind sichere Wertschöpfungsnetzwerke. Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder an dem Wertschöpfungsnetzwerk beteiligter Kommunikationspartner (oft auch als Entität bezeichnet) benötigt eine für seinen Verwendungszweck geeignete (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls eine Authentifizierung (Echtheitsprüfung) erlaubt.

Klassische Security-Lösungen aus der Office-IT eignen sich meist nicht für die Produktion.
Foto: Bosch

In der Office-IT ist Identitäts-Management heute bereits gängige Praxis. Menschliche Nutzer, Geräte und Software-Prozesse erhalten eine ihrer Aufgabe und der Rolle entsprechende Berechtigung innerhalb ihrer Organisation. Eingesetzt werden vielfach zertifikatsbasierte Systeme auf Basis einer Public Key Infrastruktur (PKI). Dieses Identitäts-Management muss auf die Produktion ausgeweitet werden. Jeder Kommunikationsteilnehmer benötigt eine seiner Aufgabe und Rolle entsprechende Berechtigung. Die Produktentwicklung für die Automationskomponenten muss die Voraussetzung zur Verwendung von (sicheren) Identitäten schaffen.

Sicherheit von Software in der Produktion

Hardware- und Softwarekomponenten in der Produktion sollten wie andere IT-Komponenten inventarisiert und dokumentiert werden. Auf dieser Basis können dann Regeln zur Einbringung von Softwareupdates und neuer Software- und Hardwarekomponenten aufgestellt werden. Um die Systeme zu härten, sollten zudem alle nicht genutzten Dienste und Funktionen von Hard- und Softwarekomponenten deaktiviert werden. Lieferanten sollten aufgefordert werden, eine entsprechende Dokumentation für die gelieferten Komponenten zur Verfügung zu stellen.

Die in der Office-IT eingesetzten, gängigen Virenscanner eignen sich nur bedingt für den Einsatz in der Produktion. Stattdessen empfiehlt sich der Einsatz von Application-Whitelisting. Im einfachsten Falle bedeutet Whitelisting die Erstellung einer Liste von erlaubten Programmen. Wird eigene Software entwickelt, sollte dies nach den Grundsätzen einer sicheren Softwareentwicklung erfolgen.

IT-Sicherheit beim Kauf von Maschinen und Anlagen

Durch die Erstellung oder Erweiterung von Einkaufsrichtlinien können Vorgaben an die IT-Sicherheit von Maschinen und Anlagen eingeführt und gegenüber dem Lieferanten eingefordert. Dabei ist bei der Anschaffung von neuen Maschinen oder Anlagen schon im Vorfeld darauf zu achten, dass gemeinsam mit dem Lieferanten eine abgestimmte und langfristige Lösung für den sicheren Betrieb der Anlage über den kompletten Lebenszyklus ausgearbeitet und vereinbart wird. Industrieverbände wie ZVEI und VDMA weisen ihre Mitglieder in eigenen Publikationen auf diesen Bedarf hin, und erstellen ihrerseits Forderungen zu mehr IT-Sicherheitskriterien bei der Beschaffung von Modulen oder Bauteilen.

Fazit

Vertrauen ist die Grundlage für Zusammenarbeit über Unternehmensgrenzen hinweg. Um dieses Vertrauen zu erlangen, ist es notwendig, dass die beteiligten Partner ihr Unternehmen im Hinblick auf den Schutz gegen unbekannte Bedrohungen weiterentwickeln. Der vorliegende Artikel zeigt, dass dabei ausgehend von der Analyse der Unternehmenswerte sowohl technische, organisatorische und Prozessaspekte betrachtet werden müssen. Die Einführung von IT-Sicherheit für Industrie 4.0 erfordert eine umfassende Betrachtung und eine ineinandergreifende Entwicklung die einhergeht mit einer entsprechenden Qualifizierung der Organisation. Eine sprunghafte Änderung ist nicht möglich, vielmehr handelt es sich um einen unternehmensspezifischen Prozess, der allerdings jetzt von den Unternehmensverantwortlichen definiert und gestartet werden muss, um zukünftig an den Wertschöpfungsnetzwerken der Industrie 4.0 partizipieren zu können.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren