Gartner zur Industrie 4.0

Sicherheit mit Lücken

25.02.2016
Jörg Fritsch ist Research Director im Team "Security and Risk Management" des Bereichs Gartner for Technology Professionals (GTP). Zu seinen Schwerpunkten zählen die Informationssicherheit, Security im Rechenzentrum und in der Cloud, Big Data (Analytics), Cloud Computing, PaaS, verteilte Systeme, Messaging und Event-driven Systems sowie sehr schnelle Netzwerke und Server.
Mit dem Thema Industrie 4.0 ist auch die Sicherheit als wichtiger Bestandteil des Trends in den Fokus der Diskussion gerückt. Das ist die gute Nachricht.

Die schlechte Nachricht ist: Bis sich Musterlösungen und Sicherheitsstandards herausbilden, die Anwender quasi blind implementieren können, wird es noch fünf bis zehn Jahre dauern.

Das Trendthema Industrie 4.0 ist in vielen Unternehmen bereits angekommen. Doch in Sachen IT-Security gibt es Nachholbedarf.
Das Trendthema Industrie 4.0 ist in vielen Unternehmen bereits angekommen. Doch in Sachen IT-Security gibt es Nachholbedarf.
Foto: Sergey Tarasov - shutterstock.com

Was fehlt zur sicheren Industrie 4.0?

Erfolgreiche Industrie 4.0-Projekte benötigen häufig das Zusammenspiel von Informationstechnologie (IT), Operational Technology (OT) und dem Internet der Dinge (IoT). Drei Technologie-Welten, deren Sicherheitsarchitekturen und -werkzeuge nicht immer zueinander passen. Die traditionelle IT kann die Sicherheitsbelange von Industrie 4.0 noch gut verstehen und nachvollziehen. Im OT-Bereich sind die Sicherheitsstandards ANSI/ISA-99 und IEC 62443 jedoch sehr limitiert. Den Standards in der IT und dem Internet der Dinge hinken sie etwa zehn Jahre hinterher. OT und IoT beruhen zudem häufig auf Netzwerkarchitekturen, wie zum Beispiel Controller Area Networks (der "CAN-Bus"), die ursprünglich nicht dafür geplant waren, mit der restlichen Welt vernetzt zu werden. Sie kommen bisher zum Beispiel in Fahrzeugen zum Einsatz, die ursprünglich als geschlossenes System ausgelegt waren. Die Kommunikation mit anderen Fahrzeugen, der Werkstatt oder Einrichtungen einer Smart City kommt erst mit Industrie 4.0-Anwendungen als Anforderung hinzu.

Zusätzlich wird sich der Umgang mit Daten verändern: Durch Industrie 4.0 werden immer mehr Unternehmen in den Besitz sensibler Daten kommen. Diese Daten sind häufig entweder für sich - oder in Kombination mit Daten aus der Lieferkette sowie von Partnern - schutzbedürftig im Sinne des Datenschutzgesetzes (BDSG). Unternehmen müssen sich darauf frühzeitig vorbereiten und die vorhandenen Budgets effizient einsetzen.

Konzeptionelle und architektonische Anforderungen

Industrie 4.0 ist kein monolithisches Gebilde, um das man einen Zaun zieht und dann eventuell auftretende Löcher stopft. Weil das Konzept sich noch in einem frühen Stadium befindet, wissen wir bislang noch wenig darüber, welche Sicherheitslücken und Datenschutz-Probleme genau auf die einzelnen Anwendungen und Sektoren zukommen werden. Wir benötigen deshalb adaptive Sicherheit. Sicherheit, die flexibel, anpassbar und skalierbar ist. Ein Beispiel dafür sind Architekturen, die auf Mikroperimetern aufbauen. Der Security-Perimeter muss sich dafür auf System-Level oder eine noch kleinere Einheit zurückziehen und von innen heraus für Sicherheit sorgen. Alle Sicherheits-Features müssen zudem effizient sein und sich bei Bedarf nachrüsten und erweitern lassen.

Security darf in Industrie 4.0 kein nachträglicher Gedanke mehr sein, sondern muss zu einem zentralen Bestandteil werden. Nutzbare Sicherheitsmerkmale müssen auf allen Sensoren, vernetzten Geräten, Produktionsmitteln und zentralen Steuersystemen zur Verfügung stehen. Das erfordert grundlegende Veränderungen in Denkweise und Architektur. Bislang war Sicherheit oft ein Zusatzprodukt, wie zum Beispiel eine Firewall oder ein IPS, das Unternehmen einkauften, um einen klar umrissenen Perimeter abzusichern. Das ändert sich nun. Sicherheit muss ein konzeptioneller Bestandteil jedes einzelnen Systems werden.

Security & Industrie 4.0: Das ist zu tun

Unternehmen sind im Moment noch damit überfordert, Sicherheitsmängel zu erkennen und gegenüber den Systemherstellern zu artikulieren. An erster Stelle sind deshalb die Lieferanten in der Pflicht, Sicherheit als zentralen Bestandteil in ihre Angebote für Industrie 4.0 einzubauen. Dabei darf sich die Sicherheit nicht nachteilig auf die Funktionalität auswirken. Anschließend müssen auch die Unternehmen lernen, die Sicherheit der eingesetzten Technologieplattformen zu hinterfragen, zu analysieren und zu bewerten. Das ist für viele Unternehmen noch Neuland. Verbände sollten deshalb den Austausch über diese Themen aktiv fördern: Sie können beispielsweise Veranstaltungen und digitale Foren schaffen, auf denen sich Unternehmensvertreter über die beobachteten Risiken und Lösungsmöglichkeiten austauschen können. Wichtig ist ein offener, aber interner Austausch, um das Vertrauen der Konsumenten nicht aufs Spiel zu setzen. Die Verbände könnten dann wiederum mit europäischen Organen zusammenarbeiten und beispielsweise daran mitwirken, die neuen EU NIS-Richtlinien vom März 2015 zu implementieren.

Der Blick auf den Status Quo zeigt: Sicherheit für Industrie 4.0 fordert Unternehmen zum Umdenken heraus. Weg von geschlossenen Netzwerken (wie beispielsweise dem CAN-BUS) und scharf abgegrenzten Perimetern, die man mit statischen Werkzeugen abgesichert hat und hin zu dynamischer, verteilter Sicherheit, die von innen heraus kommen muss und nur selten als Zusatzprodukt nachgekauft werden kann. Von Einzellösungen werden nur wenige profitieren, deswegen sind der Dialog und das Schaffen von geeigneten Plattformen zum offenen Austausch ein wichtiger Motor für die Sicherheit von Industrie 4.0. (fm)