Leitfaden der Plattform Industrie 4.0

Darauf müssen Sie in Sachen Security bei Industrie 4.0 achten

01.05.2017

Leiter AG „Sicherheit vernetzter Systeme“ bei der Plattform Industrie 4.0 und Director Projekt Industrie 4.0@Bosch.

In den unternehmensübergreifenden Wertschöpfungsnetzwerken der Industrie 4.0 stellt sich die Frage der IT-Sicherheit neu. Welche Daten stellt man Lieferanten oder Kunden zur Verfügung und wie sicher sind die eigenen Daten? Die Experten der Plattform Industrie 4.0 geben einige zentrale Tipps.

Mit Industrie 4.0 entsteht eine vernetzte Wertschöpfungskette, die neue Security-Fragen aufwirft.
Foto: Bosch

Wie schützt man die vernetzten Maschinen vor Zugriffen Dritter? Welche Daten müssen unbedingt im Unternehmen bleiben? Welche Daten teilt man mit Geschäftspartnern? Welche Daten werden womöglich komplett veröffentlicht? Mit der Industrie 4.0 wird die IT-Sicherheit zu einer der Voraussetzungen für den Erfolg. Denn nur wer Vertrauen in Sicherheitsfragen genießt, kann Kooperationspartner für die unternehmensübergreifenden Wertschöpfungsketten gewinnen.

Die Experten der Plattform Industrie 4.0 haben hierzu einen Leitfaden für Betreiber erarbeitet. Die Plattform Industrie 4.0 ist das zentrale Netzwerk in Deutschland, um die digitale Transformation zur Industrie 4.0 voranzubringen. Im Schulterschluss zwischen Politik, Wirtschaft, Wissenschaft, Verbänden und Gewerkschaften entwickelt und koordiniert sie Informations- und Vernetzungsservices, die Industrie 4.0-Lösungen bei Unternehmen bekannt machen und in die Fläche tragen. Die Plattform wird von Bundeswirtschaftsministerium und Bundesforschungsministerium gesteuert und geleitet. In dem Leitfaden "IT-Security in der Industrie 4.0" geben Experten der Plattform praktische Handlungsanleitungen für eine sichere digitalisierte Produktion. Einige der zentralen Empfehlungen des Leitfadens stellen wir ihnen im Folgenden vor.

Informationssicherheits-Management-Systems (ISMS)

Qualitäts-Management-Systeme nach ISO 9000 sind in Unternehmen zur Sicherstellung der geforderten Qualitätsanforderungen und -merkmale heute gängige Praxis. Dabei ist ein Informationssicherheits-Management-System (ISMS) eine Unterstützung für das Management, um die Ziele der Informationssicherheit erreichen zu können, das Unternehmensrisiko zu minimieren und regulatorische Anforderungen zu erfüllen. Soll im Zusammenhang mit Industrie 4.0 ein ISMS etabliert werden, ist ein ganzheitlicher Ansatz erforderlich, der die Office-IT, die Produktentwicklung und die Produktions-IT mit beinhaltet. Bereits vorhandene ISMS müssen dahingehend erweitert und ergänzt werden.

Ein Informations-Sicherheits-Management-System sollte sich aus vier Komponenten zusammensetzen.
Foto: Plattform Industrie 4.0

Ein ISMS, wie es der BSI-Standard 100-1 beschreibt, setzt sich aus den vier Komponenten Sicherheitsprozess, Ressourcen, Mitarbeiter und Management-Prinzipien zusammen. Dabei ist der Sicherheitsprozess ein zentrales Element des Management-Systems. Er ist als zyklischer Prozess nach dem PDCA-Modell (Plan, Do, Check, Act) zu verstehen.

Der ganzheitliche Ansatz von Industrie 4.0 erfordert zudem die Einbeziehung aller Unternehmensteile in den Sicherheitsprozess. Diesen Prozess zu initiieren ist Aufgabe der Unternehmensleitung. Ebenso verbleibt die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung (und damit für die Informationssicherheit) bei der Leitungsebene - ungeachtet, ob sie an nachgelagerte Führungsebenen delegiert wird.

Die Umsetzung eines ISMS erfordert die klare Festlegung von Rollen und Zuständigkeiten. Empfohlen wird die Einsetzung eines "Chief (Information) Security Officer (C(I)SO)". Er ist Zuständigkeit für alle Fragen rund um die Informationssicherheit und Governance-Funktion für alle Unternehmensbereiche, um das bisherige - oft vorhandene - Silodenken zu überwinden. Unterstützung erhält der CISO von einem mit den notwendigen Ressourcen ausgestatteten interdisziplinären IT-Sicherheitsteams. Neu im Zusammenhang mit Industrie 4.0 ist der Industrial Security Officer. Er steht parallel zu einem IT-Security-Verantwortlichen für die Office-IT und einem Produkt Security Officer. Gemäß seinem definierten Anforderungsprofil ist er ein "Kümmerer", der die Security in der Produktion verantwortet, gestaltet und standortweit steuert. Diese Funktion muss entsprechend organisatorisch eingebunden und mit den notwendigen Kompetenzen ausgestattet werden.

Bei der Durchsetzung eines Industrie-4.0-Sicherheitskonzepts bedarf es einer klaren Rollenverteilung.
Foto: Plattform Industrie 4.0

Last but not least spielt der Mensch bei der ganzheitlichen Durchsetzung von IT-Sicherheit eine elementare Rolle. Er ist Teil der Organisation und Ausführender von Prozessen. Entsprechend der Rolle und der Aufgabe müssen Grundlagen von Informationstechnologie und Informationssicherheit unternehmensweit geschult werden. Ziel ist dabei, die Fähigkeiten der unterschiedlichen Organisationsteile auf ein einheitliches Befähigungsniveau zu heben und den Befähigungsgrad der Organisation kontinuierlich zu verbessern.

Risiko-Management

Die Kenntnis und Dokumentation der kritischen und schützenswerten Assets ist auch in der Produktion (wie etwa Anlagen und Maschinen, Produktionsprozess-Informationen, Daten über Fertigungsparameter, Rezepturen, Prozess Know-how) für ein nachhaltiges Risiko-Management notwendig. Nach der dokumentierten Bestandsaufnahme sind die Verantwortlichkeiten zu benennen. In regelmäßigen Abständen ist die Bestandsaufnahme zu aktualisieren. Tabellarisch können für ein Asset beispielhaft die möglichen Bedrohungen und deren Zusammenhänge aufgezeigt werden. Für die Eintrittswahrscheinlichkeit, das erwartete Schadensausmaß und den Risiko-Level kann etwa jeweils eine dreistufige Skala genutzt werden.

Grundlegende Informationen zur Verwaltung von Assets.
Foto: Plattform Industrie 4.0

Daten - häufig auch als das "Öl des 21. Jahrhunderts" bezeichnet - sind insbesondere bezüglich ihres Wertes beziehungsweise der Sensibilität und der daraus resultierenden Schutzwürdigkeit zu klassifizieren. Im Kontext von Industrie 4.0 wird hier die Forderung nach einer unternehmensübergreifenden und standardisierten Klassifizierung von Daten gestellt, um bezüglich der Klassifizierung interoperabel zu sein und Missverständnissen vorzubeugen. Aus Sicht der Plattform Industrie 4.0 könnte ein einheitliches und einfaches Klassifikationsschema, wie folgt aussehen:

Öffentlich

• Keine Geheimhaltung erforderlich, keine Schutzmaßnahmen,

• Informationen und Dienste sind nicht schützenswert beziehungsweise gewollt öffentlich verfügbar,

• etwa Maschinen-Bewegungsdaten oder Sensordaten, wenn diese unkritisch bei einer Veröffentlichung sind

Vertraulich, Geschäftspartner (neuartig bei Industrie 4.0-Szenarien)

• Mittlere Schutzwürdigkeit;

• Unternehmensübergreifender Informationsaustausch für Industrie 4.0 zwingend erforderlich,

• Sachgemäßer Umgang mit Geschäftsinformationen und Dokumentation der korrekten Behandlung ist grundlegend,

• Gilt beispielsweise für den automatischen Austausch von Produktionsinformationen.

Vertraulich intern

• Höchste Schutzwürdigkeit,

• Daten oder Dienste dürfen Unternehmensgrenzen nicht überschreiten,

• zum Beispiel vertrauliche Produktdaten, Technologiedaten oder noch nicht veröffentlichte Patente.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren