Foto: Bosch
Wie schützt man die vernetzten Maschinen vor Zugriffen Dritter? Welche Daten müssen unbedingt im Unternehmen bleiben? Welche Daten teilt man mit Geschäftspartnern? Welche Daten werden womöglich komplett veröffentlicht? Mit der Industrie 4.0 wird die IT-Sicherheit zu einer der Voraussetzungen für den Erfolg. Denn nur wer Vertrauen in Sicherheitsfragen genießt, kann Kooperationspartner für die unternehmensübergreifenden Wertschöpfungsketten gewinnen.
Die Experten der Plattform Industrie 4.0 haben hierzu einen Leitfaden für Betreiber erarbeitet. Die Plattform Industrie 4.0 ist das zentrale Netzwerk in Deutschland, um die digitale Transformation zur Industrie 4.0 voranzubringen. Im Schulterschluss zwischen Politik, Wirtschaft, Wissenschaft, Verbänden und Gewerkschaften entwickelt und koordiniert sie Informations- und Vernetzungsservices, die Industrie 4.0-Lösungen bei Unternehmen bekannt machen und in die Fläche tragen. Die Plattform wird von Bundeswirtschaftsministerium und Bundesforschungsministerium gesteuert und geleitet. In dem Leitfaden "IT-Security in der Industrie 4.0" geben Experten der Plattform praktische Handlungsanleitungen für eine sichere digitalisierte Produktion. Einige der zentralen Empfehlungen des Leitfadens stellen wir ihnen im Folgenden vor.
Informationssicherheits-Management-Systems (ISMS)
Qualitäts-Management-Systeme nach ISO 9000 sind in Unternehmen zur Sicherstellung der geforderten Qualitätsanforderungen und -merkmale heute gängige Praxis. Dabei ist ein Informationssicherheits-Management-System (ISMS) eine Unterstützung für das Management, um die Ziele der Informationssicherheit erreichen zu können, das Unternehmensrisiko zu minimieren und regulatorische Anforderungen zu erfüllen. Soll im Zusammenhang mit Industrie 4.0 ein ISMS etabliert werden, ist ein ganzheitlicher Ansatz erforderlich, der die Office-IT, die Produktentwicklung und die Produktions-IT mit beinhaltet. Bereits vorhandene ISMS müssen dahingehend erweitert und ergänzt werden.
Foto: Plattform Industrie 4.0
Ein ISMS, wie es der BSI-Standard 100-1 beschreibt, setzt sich aus den vier Komponenten Sicherheitsprozess, Ressourcen, Mitarbeiter und Management-Prinzipien zusammen. Dabei ist der Sicherheitsprozess ein zentrales Element des Management-Systems. Er ist als zyklischer Prozess nach dem PDCA-Modell (Plan, Do, Check, Act) zu verstehen.
Der ganzheitliche Ansatz von Industrie 4.0 erfordert zudem die Einbeziehung aller Unternehmensteile in den Sicherheitsprozess. Diesen Prozess zu initiieren ist Aufgabe der Unternehmensleitung. Ebenso verbleibt die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung (und damit für die Informationssicherheit) bei der Leitungsebene - ungeachtet, ob sie an nachgelagerte Führungsebenen delegiert wird.
Die Umsetzung eines ISMS erfordert die klare Festlegung von Rollen und Zuständigkeiten. Empfohlen wird die Einsetzung eines "Chief (Information) Security Officer (C(I)SO)". Er ist Zuständigkeit für alle Fragen rund um die Informationssicherheit und Governance-Funktion für alle Unternehmensbereiche, um das bisherige - oft vorhandene - Silodenken zu überwinden. Unterstützung erhält der CISO von einem mit den notwendigen Ressourcen ausgestatteten interdisziplinären IT-Sicherheitsteams. Neu im Zusammenhang mit Industrie 4.0 ist der Industrial Security Officer. Er steht parallel zu einem IT-Security-Verantwortlichen für die Office-IT und einem Produkt Security Officer. Gemäß seinem definierten Anforderungsprofil ist er ein "Kümmerer", der die Security in der Produktion verantwortet, gestaltet und standortweit steuert. Diese Funktion muss entsprechend organisatorisch eingebunden und mit den notwendigen Kompetenzen ausgestattet werden.
Foto: Plattform Industrie 4.0
Last but not least spielt der Mensch bei der ganzheitlichen Durchsetzung von IT-Sicherheit eine elementare Rolle. Er ist Teil der Organisation und Ausführender von Prozessen. Entsprechend der Rolle und der Aufgabe müssen Grundlagen von Informationstechnologie und Informationssicherheit unternehmensweit geschult werden. Ziel ist dabei, die Fähigkeiten der unterschiedlichen Organisationsteile auf ein einheitliches Befähigungsniveau zu heben und den Befähigungsgrad der Organisation kontinuierlich zu verbessern.
Risiko-Management
Die Kenntnis und Dokumentation der kritischen und schützenswerten Assets ist auch in der Produktion (wie etwa Anlagen und Maschinen, Produktionsprozess-Informationen, Daten über Fertigungsparameter, Rezepturen, Prozess Know-how) für ein nachhaltiges Risiko-Management notwendig. Nach der dokumentierten Bestandsaufnahme sind die Verantwortlichkeiten zu benennen. In regelmäßigen Abständen ist die Bestandsaufnahme zu aktualisieren. Tabellarisch können für ein Asset beispielhaft die möglichen Bedrohungen und deren Zusammenhänge aufgezeigt werden. Für die Eintrittswahrscheinlichkeit, das erwartete Schadensausmaß und den Risiko-Level kann etwa jeweils eine dreistufige Skala genutzt werden.
Foto: Plattform Industrie 4.0
Daten - häufig auch als das "Öl des 21. Jahrhunderts" bezeichnet - sind insbesondere bezüglich ihres Wertes beziehungsweise der Sensibilität und der daraus resultierenden Schutzwürdigkeit zu klassifizieren. Im Kontext von Industrie 4.0 wird hier die Forderung nach einer unternehmensübergreifenden und standardisierten Klassifizierung von Daten gestellt, um bezüglich der Klassifizierung interoperabel zu sein und Missverständnissen vorzubeugen. Aus Sicht der Plattform Industrie 4.0 könnte ein einheitliches und einfaches Klassifikationsschema, wie folgt aussehen:
Öffentlich
• Keine Geheimhaltung erforderlich, keine Schutzmaßnahmen,
• Informationen und Dienste sind nicht schützenswert beziehungsweise gewollt öffentlich verfügbar,
• etwa Maschinen-Bewegungsdaten oder Sensordaten, wenn diese unkritisch bei einer Veröffentlichung sind
Vertraulich, Geschäftspartner (neuartig bei Industrie 4.0-Szenarien)
• Mittlere Schutzwürdigkeit;
• Unternehmensübergreifender Informationsaustausch für Industrie 4.0 zwingend erforderlich,
• Sachgemäßer Umgang mit Geschäftsinformationen und Dokumentation der korrekten Behandlung ist grundlegend,
• Gilt beispielsweise für den automatischen Austausch von Produktionsinformationen.
Vertraulich intern
• Höchste Schutzwürdigkeit,
• Daten oder Dienste dürfen Unternehmensgrenzen nicht überschreiten,
• zum Beispiel vertrauliche Produktdaten, Technologiedaten oder noch nicht veröffentlichte Patente.
Notfall-Management und Wiederherstellung
Unabhängig von dem Ereignis, wie beispielsweise defekte Hardwarekomponenten einer Maschine/Anlage, veränderte Daten aufgrund von externen oder internen Einflüssen oder "nur" ein Stromausfall, für die Wiederherstellung ist ein Notfallkonzept erforderlich. Das schließt ein regelmäßiges Backup der relevanten Daten und Programme auch und gerade für die produktionsrelevanten Teile mit ein. Da diese Daten gleichsam das Kern-Know-how einer Firma darstellen, sollten entsprechende Datenträger nur unter höchsten physischen Sicherheitsvorkehrungen erstellt und transportiert werden.
Geräte, Anlagen und Netze segmentieren
Die Segmentierung in Office-IT und Produktions-IT beschreibt eine vertikale Trennung. Anlagen-Subnetze lassen sich dagegen auch horizontal trennen. Zonen ähnlichen Schutzbedarfes müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Um weiterhin zwischen den Zonen zu kommunizieren, sind eventuell vorhandene Übergänge klar zu definieren und entsprechend abzusichern. Eine sorgfältige Erstellung der Zonen mit zugehöriger Identifikation und Absicherung der Informationsflüsse kann Kaskadeneffekten entgegenwirken und ein hohes Sicherheitsniveau auch in der hochvernetzten Systemlandschaft der Industrie 4.0 gewährleisten.
Sicheres Identitäts-Management
Ein essentieller Bestandteil von Industrie 4.0 sind sichere Wertschöpfungsnetzwerke. Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder an dem Wertschöpfungsnetzwerk beteiligter Kommunikationspartner (oft auch als Entität bezeichnet) benötigt eine für seinen Verwendungszweck geeignete (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls eine Authentifizierung (Echtheitsprüfung) erlaubt.
Foto: Bosch
In der Office-IT ist Identitäts-Management heute bereits gängige Praxis. Menschliche Nutzer, Geräte und Software-Prozesse erhalten eine ihrer Aufgabe und der Rolle entsprechende Berechtigung innerhalb ihrer Organisation. Eingesetzt werden vielfach zertifikatsbasierte Systeme auf Basis einer Public Key Infrastruktur (PKI). Dieses Identitäts-Management muss auf die Produktion ausgeweitet werden. Jeder Kommunikationsteilnehmer benötigt eine seiner Aufgabe und Rolle entsprechende Berechtigung. Die Produktentwicklung für die Automationskomponenten muss die Voraussetzung zur Verwendung von (sicheren) Identitäten schaffen.
Sicherheit von Software in der Produktion
Hardware- und Softwarekomponenten in der Produktion sollten wie andere IT-Komponenten inventarisiert und dokumentiert werden. Auf dieser Basis können dann Regeln zur Einbringung von Softwareupdates und neuer Software- und Hardwarekomponenten aufgestellt werden. Um die Systeme zu härten, sollten zudem alle nicht genutzten Dienste und Funktionen von Hard- und Softwarekomponenten deaktiviert werden. Lieferanten sollten aufgefordert werden, eine entsprechende Dokumentation für die gelieferten Komponenten zur Verfügung zu stellen.
Die in der Office-IT eingesetzten, gängigen Virenscanner eignen sich nur bedingt für den Einsatz in der Produktion. Stattdessen empfiehlt sich der Einsatz von Application-Whitelisting. Im einfachsten Falle bedeutet Whitelisting die Erstellung einer Liste von erlaubten Programmen. Wird eigene Software entwickelt, sollte dies nach den Grundsätzen einer sicheren Softwareentwicklung erfolgen.
IT-Sicherheit beim Kauf von Maschinen und Anlagen
Durch die Erstellung oder Erweiterung von Einkaufsrichtlinien können Vorgaben an die IT-Sicherheit von Maschinen und Anlagen eingeführt und gegenüber dem Lieferanten eingefordert. Dabei ist bei der Anschaffung von neuen Maschinen oder Anlagen schon im Vorfeld darauf zu achten, dass gemeinsam mit dem Lieferanten eine abgestimmte und langfristige Lösung für den sicheren Betrieb der Anlage über den kompletten Lebenszyklus ausgearbeitet und vereinbart wird. Industrieverbände wie ZVEI und VDMA weisen ihre Mitglieder in eigenen Publikationen auf diesen Bedarf hin, und erstellen ihrerseits Forderungen zu mehr IT-Sicherheitskriterien bei der Beschaffung von Modulen oder Bauteilen.
Fazit
Vertrauen ist die Grundlage für Zusammenarbeit über Unternehmensgrenzen hinweg. Um dieses Vertrauen zu erlangen, ist es notwendig, dass die beteiligten Partner ihr Unternehmen im Hinblick auf den Schutz gegen unbekannte Bedrohungen weiterentwickeln. Der vorliegende Artikel zeigt, dass dabei ausgehend von der Analyse der Unternehmenswerte sowohl technische, organisatorische und Prozessaspekte betrachtet werden müssen. Die Einführung von IT-Sicherheit für Industrie 4.0 erfordert eine umfassende Betrachtung und eine ineinandergreifende Entwicklung die einhergeht mit einer entsprechenden Qualifizierung der Organisation. Eine sprunghafte Änderung ist nicht möglich, vielmehr handelt es sich um einen unternehmensspezifischen Prozess, der allerdings jetzt von den Unternehmensverantwortlichen definiert und gestartet werden muss, um zukünftig an den Wertschöpfungsnetzwerken der Industrie 4.0 partizipieren zu können.