Mit dem Thema Industrie 4.0 ist auch die Sicherheit als wichtiger Bestandteil des Trends in den Fokus der Diskussion gerückt. Das ist die gute Nachricht.
Die schlechte Nachricht ist: Bis sich Musterlösungen und Sicherheitsstandards herausbilden, die Anwender quasi blind implementieren können, wird es noch fünf bis zehn Jahre dauern.
Das Trendthema Industrie 4.0 ist in vielen Unternehmen bereits angekommen. Doch in Sachen IT-Security gibt es Nachholbedarf. Foto: Sergey Tarasov - shutterstock.com
Was fehlt zur sicheren Industrie 4.0?
Erfolgreiche Industrie 4.0-Projekte benötigen häufig das Zusammenspiel von Informationstechnologie (IT), Operational Technology (OT) und dem Internet der Dinge (IoT). Drei Technologie-Welten, deren Sicherheitsarchitekturen und -werkzeuge nicht immer zueinander passen. Die traditionelle IT kann die Sicherheitsbelange von Industrie 4.0 noch gut verstehen und nachvollziehen. Im OT-Bereich sind die Sicherheitsstandards ANSI/ISA-99 und IEC 62443 jedoch sehr limitiert. Den Standards in der IT und dem Internet der Dinge hinken sie etwa zehn Jahre hinterher. OT und IoT beruhen zudem häufig auf Netzwerkarchitekturen, wie zum Beispiel Controller Area Networks (der "CAN-Bus"), die ursprünglich nicht dafür geplant waren, mit der restlichen Welt vernetzt zu werden. Sie kommen bisher zum Beispiel in Fahrzeugen zum Einsatz, die ursprünglich als geschlossenes System ausgelegt waren. Die Kommunikation mit anderen Fahrzeugen, der Werkstatt oder Einrichtungen einer Smart City kommt erst mit Industrie 4.0-Anwendungen als Anforderung hinzu.
Zusätzlich wird sich der Umgang mit Daten verändern: Durch Industrie 4.0 werden immer mehr Unternehmen in den Besitz sensibler Daten kommen. Diese Daten sind häufig entweder für sich - oder in Kombination mit Daten aus der Lieferkette sowie von Partnern - schutzbedürftig im Sinne des Datenschutzgesetzes (BDSG). Unternehmen müssen sich darauf frühzeitig vorbereiten und die vorhandenen Budgets effizient einsetzen.
Gartner Big Data Survey 2015
Big Data 2015 Zur Praxis von Big Data hat der US-Marktforscher Gartner 437 Teilnehmer seines eigenen Panels ("Gartner Research Circle") befragt. Die Ergebnisse dokumentiert das Papier "Practical challenges mount as Big Data moves to mainstream".
Adaption Hatten 2012 noch 58 Prozent der Teilnehmer von bereits getätigten oder geplanten Investitionen gesprochen, sind es jetzt 76 Prozent. Gartner bezeichnet das als "Adaptionswelle".
Initiatoren Gartner wollte auch wissen, wer Big Data-Initiativen anstößt. Hier zeigt sich eine deutliche Verschiebung zuungunsten der IT-Entscheider.
Ziele In den vergangenen Jahren hat sich herauskristallisiert, welche Ziele die Unternehmen mit Big Data verbinden. An oberster Stelle steht die Kundenerfahrung (Customer Experience). Das war auch 2013 der Spitzenreiter, allerdings mit 55 Prozent der Nennungen.
Messung des ROI 24 Prozent derer, die bereits in Big Data-Lösungen investieren, messen den ROI (Return on Investment) nicht. Die anderen orientieren sich entweder an finanziellen Kennzahlen, an der Steigerung der Effizienz oder besserer Entscheidungsfindung.
Konzeptionelle und architektonische Anforderungen
Industrie 4.0 ist kein monolithisches Gebilde, um das man einen Zaun zieht und dann eventuell auftretende Löcher stopft. Weil das Konzept sich noch in einem frühen Stadium befindet, wissen wir bislang noch wenig darüber, welche Sicherheitslücken und Datenschutz-Probleme genau auf die einzelnen Anwendungen und Sektoren zukommen werden. Wir benötigen deshalb adaptive Sicherheit. Sicherheit, die flexibel, anpassbar und skalierbar ist. Ein Beispiel dafür sind Architekturen, die auf Mikroperimetern aufbauen. Der Security-Perimeter muss sich dafür auf System-Level oder eine noch kleinere Einheit zurückziehen und von innen heraus für Sicherheit sorgen. Alle Sicherheits-Features müssen zudem effizient sein und sich bei Bedarf nachrüsten und erweitern lassen.
Security darf in Industrie 4.0 kein nachträglicher Gedanke mehr sein, sondern muss zu einem zentralen Bestandteil werden. Nutzbare Sicherheitsmerkmale müssen auf allen Sensoren, vernetzten Geräten, Produktionsmitteln und zentralen Steuersystemen zur Verfügung stehen. Das erfordert grundlegende Veränderungen in Denkweise und Architektur. Bislang war Sicherheit oft ein Zusatzprodukt, wie zum Beispiel eine Firewall oder ein IPS, das Unternehmen einkauften, um einen klar umrissenen Perimeter abzusichern. Das ändert sich nun. Sicherheit muss ein konzeptioneller Bestandteil jedes einzelnen Systems werden.
ZEW-Umfrage Industrie 4.0
Big Data Insgesamt 18 Prozent der Unternehmen wertet zur strategischen Unterstützung des Geschäftsbetriebs im Rahmen von Big Data Analysen große Mengen an Daten systematisch aus. Dabei setzten überdurchschnittlich viele große Unternehmen ab 500 Beschäftigten (58 Prozent) auf Big Data.
Industrie 4.0 Insgesamt ist 18 Prozent der Unternehmen der Begriff Industrie 4.0 bekannt. Vier Prozent der Unternehmen setzten bereits Industrie 4.0-Projekte um oder planen dies in naher Zukunft zu tun.
Cloud Computing Im Fahrzeugbau nutzen 24 Prozent der Unternehmen Cloud Computing. In der Metallindustrie sind es nur 6 Prozent der Unternehmen.
Schnelles Internet In der Branche Einzelhandel nutzen 20 Prozent der Unternehmen einen Internetanschluss mit mindestens 50 Mbit pro Sekunde.
Social Media Social Media-Anwendungen wird von 79 Prozent der IT- und Telekommunikationsunternehmen und von 70 Prozent der Mediendienstleister eingesetzt.
Security & Industrie 4.0: Das ist zu tun
Unternehmen sind im Moment noch damit überfordert, Sicherheitsmängel zu erkennen und gegenüber den Systemherstellern zu artikulieren. An erster Stelle sind deshalb die Lieferanten in der Pflicht, Sicherheit als zentralen Bestandteil in ihre Angebote für Industrie 4.0 einzubauen. Dabei darf sich die Sicherheit nicht nachteilig auf die Funktionalität auswirken. Anschließend müssen auch die Unternehmen lernen, die Sicherheit der eingesetzten Technologieplattformen zu hinterfragen, zu analysieren und zu bewerten. Das ist für viele Unternehmen noch Neuland. Verbände sollten deshalb den Austausch über diese Themen aktiv fördern: Sie können beispielsweise Veranstaltungen und digitale Foren schaffen, auf denen sich Unternehmensvertreter über die beobachteten Risiken und Lösungsmöglichkeiten austauschen können. Wichtig ist ein offener, aber interner Austausch, um das Vertrauen der Konsumenten nicht aufs Spiel zu setzen. Die Verbände könnten dann wiederum mit europäischen Organen zusammenarbeiten und beispielsweise daran mitwirken, die neuen EU NIS-Richtlinien vom März 2015 zu implementieren.
Der Blick auf den Status Quo zeigt: Sicherheit für Industrie 4.0 fordert Unternehmen zum Umdenken heraus. Weg von geschlossenen Netzwerken (wie beispielsweise dem CAN-BUS) und scharf abgegrenzten Perimetern, die man mit statischen Werkzeugen abgesichert hat und hin zu dynamischer, verteilter Sicherheit, die von innen heraus kommen muss und nur selten als Zusatzprodukt nachgekauft werden kann. Von Einzellösungen werden nur wenige profitieren, deswegen sind der Dialog und das Schaffen von geeigneten Plattformen zum offenen Austausch ein wichtiger Motor für die Sicherheit von Industrie 4.0. (fm)
Industrie 4.0: Ein Leitfaden für CIOs
Industrie 4.0 - Leitfaden für CIOs Stephen Prentice (Gartner) legt den IT-Verantwortlichen zwölf Dinge ans Herz, die sie für den IT-Beitrag zu Industrie 4.0 beachten beziehungsweise tun sollten:
1. Nur keine Panik! Industrie 4.0 ist kein Sprint, sondern ein Marathon. Die gute Nachricht: Wenn man nicht so genau sieht, wo es hingeht, kann man bislang auch nicht wirklich eine Gelegenheit verpasst haben.
2. Integrieren Sie Informationstechnik und operationale Technik! Unter operationaler Technik (OT) versteht Gartner Ingenieurtechnik mit einer Langzeitperspektive. Sie liefert Information über das, was im Inneren der Produktionssysteme vor sich geht. Dabei ist sie digital, aber nicht integriert.
3. Steigern Sie den Reifegrad Ihres Fertigungsprozesses! Lernen Sie Ihre Mitspieler auf der Produktionsseite kennen. Verstehen Sie deren Sorgen und Hoffnungen und planen Sie den gemeinsamen Fortschritt auf einem fünfstufigen Weg.
4. Integrieren Sie Ihre Informations-Assets! Reißen Sie Ihre Silos nieder und öffnen Sie Ihre Unternehmenssysteme auch für externe Informationsquellen: Wetterdaten, Social Media etc. "Ihre wertvollsten Daten könnten von außerhalb Ihres Unternehmens stammen", konstatierte Gartner-Analyst Prentice.
5. Verinnerlichen Sie das Internet der Dinge! Das Internet of Things (IoT) ist der international gebräuchliche Begriff für das, was die Grundlage der Industrie 4.0 - und des digitalen Business - bildet.
6. Experimentieren Sie mit Smart Machines! Virtuelle Assistenten für die Entscheidungsunterstützung, neuronale Netze, cyber-physikalische Systeme, Roboter und 3D-Druck mögen aus der heutigen Perspektive noch als Spielerei erscheinen. Aber es lohnt sich, ihre Möglichkeiten auszuloten.
8. Scheuen Sie sich nicht, den Maschinen ein paar Entscheidungen anzuvertrauen! Der Fachbegriff dafür ist Advance Automated Decision Making. Es gibt schon einige Bereiche, wo Maschinen statt des Menschen entscheiden, beispielsweise bei der Einparkhilfe für Kraftfahrzeuge.
9. Denken Sie wirklich alles neu! Jedes Produkt, jeder Service, jeder Prozess und jedes Device wird früher oder später digital sein. Denken Sie sich einfach mal Sensoren und Connectivity zu allem hinzu.
10. Führen Sie bimodale IT ein! Die Koexistenz zweier kohärenter IT-Modi (einer auf Zuverlässigkeit, einer auf Agilität getrimmt) gehört zu den Lieblingsideen der Gartner-Analysten. Stabilität und Schnelligkeit lassen sich so in der jeweils angemessenen "Geschwindigkeit" vorantreiben.
11. Kollaborieren Sie! Werden Sie ein Anwalt für Industrie 4.0. Schließen Sie sich Peer Groups, Konsortien und Standardisierungsgremien an. Denn die besten Ideen müssen nicht zwangsläufig aus dem eigenen Unternehmen kommen.
12. Halten Sie die Augen offen! Die Dinge verändern sich - ständig. Erfolgreiche Unternehmen wie Google und Amazon wissen das. Sie sind immer auf der Suche nach neuen Entwicklungen und Möglichkeiten.
7. Werden Sie ein Digital Business Leader! Der CIO sollte sich für das digitale Business engagieren. Dazu muss er aber seinen Elfenbeinturm verlassen. Denken Sie von innen nach außen, rief Prentice die IT-Chefs auf, und verbringen Sie etwa 30 Prozent Ihrer Arbeitszeit mit Menschen von außerhalb Ihrer Organisation.