Diesen Artikel bewerten: 

Das richtige Konzept

Industrie 4.0 braucht Sicherheit

Alexander Oesterle (Chief Security Officer, SAP) absolvierte sein Studium der medizinischen Informatik an der Universität Heidelberg. Seine berufliche Karriere begann er als Programm Manager für SAP Implementierungen bei einem SAP Partner. Im Anschluss wechselte er zur InterComponentWare AG. Dort war er verantwortlich für das Qualitäts Management und die Globale IT. Seit dem Jahr 2007 ist er für SAP tätig, wo er zunächst das globale Prozess Management leitete. 2012 wurde er Global Vice President mit Verantwortung für Governance, Risk & Compliance. 2013 übernahm er zusätzlich die Verantwortung als Chief Security Officer für die Konzernsicherheit bei der SAP SE. Zur Zeit absolviert er seinen Executive MBA an der Mannheim Business-School und der ESSEC in Paris.
In vielen komplexen Projekten addieren sich die Sicherheitsanforderungen – im Falle von Industrie 4.0 beziehungsweise dem Internet der Dinge muss man wohl eher von potenzieren sprechen. Mit Hilfe dieser Leitfragen gelingt die sichere Umsetzung.

Wer sich schon immer mal mit allen Aspekten des Themas Sicherheit auseinandersetzen wollte, hat jetzt das perfekte Arbeitsgebiet dafür: Industrie 4.0. Von physischer Sicherheit, über sichere Netzwerke bis hin zur sicheren Software-Entwicklung findet sich die gesamte Spannbreite an Sicherheitsthemen - und das Ganze im Verbund über Unternehmens- und Landesgrenzen hinweg.

Jeder Sicherheitschef, der im Unternehmen für das Thema Sicherheit verantwortlich ist, weiß aus Erfahrung, wie schwierig sich die verschiedenen Sicherheitsbereiche koordinieren und auf eine gemeinsame Linie bringen lassen. Jetzt sollen Sicherheitskonzepte in komplexen Projekten mit Software, Maschinensteuerungen, Produktionsplanungssystemen, verschiedenen Partnern mit verschiedenen IT-Infrastrukturen Einzug halten. Wie muss der Experte für solch ein Konzept ausgebildet sein? Und wer hat in einem Konglomerat aus Unternehmen, Partnern und Dienstleistern den Sicherheitshut im Projekt und später im Live-Betrieb auf? Wie kann ich das vertraglich regeln und allen rechtlichen Anforderungen gerecht werden?

Jedes gute Industrie-4.0-Projekt muss von Anfang an ein Sicherheitskonzept beinhalten. Ähnlich wie bei einer Produktentwicklung brauchen solche Projekte "Security by Design". Sicherheit im Nachhinein einzuführen oder anzuhängen ist meist nicht möglich oder kostet ein Vielfaches.

Leitfragen zum Thema Sicherheit

Wichtige Fragen bei Beginn des Projektes sind: Welche Daten fallen an, verlassen sie das Unternehmen oder überschreiten sie Landesgrenzen? Welche Systeme kommunizieren miteinander? Wem gehören die Daten, wer haftet, wenn Daten verloren gehen? Wie kritisch sind die Daten oder das Projekt? Besteht die Gefahr der Sabotage oder eines IP-Verlustes? Haben alle Projektmitglieder die nötige "Security-Awareness"?

Gerade der Faktor Mensch sollte nicht vernachlässigt werden. Alle Mitarbeiter im Projekt und nach Go-live brauchen entsprechenden Sicherheitsschulungen. Als warnendes Beispiel für den Faktor Mensch in der Sicherheitskette sei der STUXNET-Angriff auf die iranischen Atomanlagen genannt, bei dem ein von einem Mitarbeiter eingesteckter verseuchter USB Stick der Anfangspunkt eines Angriffes war.

Zusammenfassend mein Appell: Unterschätzen Sie nicht die Komplexität des Themas Sicherheit in Industrie-4.0-Projekten. Machen Sie Sicherheit von Anfang an zu einem wichtigen Bestandteil des Projektes. Holen sie sich Experten, die einen guten Gesamtüberblick über das Thema Sicherheit haben. Klären sie alle Datenschutz Aspekte. Und zu guter Letzt: Vernachlässigen Sie nicht den Faktor Mensch im Sicherheitskonzept.

Dann sollte auch ihr Industrie 4.0 Projekt sicher gelingen!