Von Anfang bis Ende
Industrie 4.0 ist eines der aktuellen Schlagworte für Unternehmen. Moderne Industrieprozesse sind ohne digitale Infrastrukturen nicht mehr denkbar. Doch verschiedene Beispiele zeigen, dass Datensicherheit und Schutz vor Manipulationen immer wieder neu durchdacht werden müssen, damit die Industrie ausreichend gewappnet ist.
Bis 2025 werden einer Studie des VDE zufolge weite Teile der Industrie digital vernetzt sein. Flexibilität und eine neue Dynamik bei der Produktion sollen die Folge sein. Kooperations- netzwerke zwischen Unternehmen entstehen, die Aufträge kooperativ optimal abarbeiten, anstatt sie allein durch heimische Produktionsweisen zu bedienen. Partner werden sich hierzu horizontal und vertikal vernetzen, Prozesse weitestgehend automatisiert erfolgen. Allerdings besteht laut Studie das größte Hindernis für diese Vision in der noch streckenweise mangelnden IT-Sicherheit der Produktionsprozesse. Auch wenn medienwirksame Cyberattacken die Gefahr immer wieder in den Blickpunkt der Öffentlichkeit und der Wirtschaft bringen, so sind gerade bei kleinen und mittelständischen Unternehmen (KMU) die Vorkehrungen noch ausbaufähig.
Aber auch große Unternehmen sind vor Angriffen nicht gefeit. So wurde der Industriekonzern Thyssenkrupp im Frühjahr vergangenen Jahres Opfer eines massiven Cyberangriffs. Ziel waren Know-how und Forschungsergebnisse eines Tochterunternehmens. Die Angriffe seien professionell durchgeführt worden, möglicherweise mit staatlicher Unterstützung.
Staatliche Vorgaben
Am 12. Juni 2015 hat der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Während das Gesetz im Kern darauf abzielt, besonders die Betreiber kritischer Infrastrukturen in die Pflicht zu nehmen, hat es durchaus Relevanz für alle anderen Unternehmen, die Webseiten unterhalten. Hier gelten durch eine Änderung des § 13 Telemediengesetz erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.Zwar ist eine interne Kommunikation bei Unternehmen nicht erfasst, womit die Reichweite in Bezug auf Industrie-4.0-Unternehmen begrenzt ist, dennoch müssen diese Unternehmen Sorge tragen, dass Angriffe von außen nicht in die innere Prozess-Struktur eindringen können. So sind etwa entsprechende Authentifizierungsverfahren umzusetzen und durch entsprechende Sicherungen wie regelmäßige Patches und Updates das Risiko von Drive-by-Downloads – also das unbeabsichtigte Herunterladen von Software – zu minimieren.
Die Sicherungs- maßnahmen sollen dem Stand der Technik entsprechen, was nicht näher ausgeführt ist. Die Vorkehrungen müssen laut Gesetzes- begründungen angemessen sein, womit sie von wirtschaftlichen Erwägungen abhängig sind.
Risiken für die Industrie
Für Unternehmen sind Cybeattacken nicht nur in einer 4.0-Umgebung mit zahlreichen potenziellen Gefahren verbunden.Neben dem Ausspionieren von Produktions anlagen (Output, Funktionsweise), kann dies die Manipulation der Funktionsweise einzelner oder mehrerer verketteter Anlagen bedeuten. Hieraus können neben Stillständen auch Mängel an Produkten entstehen, mit weiteren Folgeschäden für ein Unternehmen. Auch die Manipulation von Arbeitszeitmodellen bei verketteten Anlagen kann gravierende Folgen wie Ausfälle und Stillstände in der Produktion haben, sobald ein Modell nicht in den vernetzten Produktionsprozess passt.
Schließlich besteht auch in der Spionage, also dem Auslesen von Informationen über Rohdaten, Stückzahlen, Störungen und anderen Daten ein erhebliches Risiko. Dass diese Bedrohungen nicht aus der Luft gegriffen sind, verdeutlicht folgendes Beispiel: In der Automobilindustrie soll im Rahmen einer vollständigen Automatisierung ein neues Leitsystem implementiert werden.
Einzuhaltende Termine für die Inbetriebnahme sowie Probleme bei der technischen Umsetzung der Leitsystemsoftware verkürzen die verfügbare Zeit für das Testen des Systems. Insbesondere die Firewall, die das das übergeordnete Produktionsleitsystem vom eigentlichen Produktionsnetz abschirmt, muss so konfiguriert werden, dass ein effizienter und zugleich sicherer Betrieb des Gesamtsystems erfolgen kann.
Die Konfiguration der Firewall macht aber Probleme, und so beschließt das Unternehmen, die Sicherheitseinstellungen der Firewall vorübergehend auszustellen, damit die Produktion wie geplant anlaufen kann. Hierdurch ergibt sich eine unmittelbare Schwachstelle, da potenzielle Angreifer nun über das Unternehmensnetzwerk etwa über den Web-Auftritt, auch Zugriff auf das Produktionsnetz erhalten können.
Bei zusammengeschalteten oder verketten Produktionsnetzen bleiben die Auswirkungen nicht lokal begrenzt, sondern können sich auf andere Standorte übertragen, was den Schaden potenziert. Gerade für KMU bedeutet Industrie 4.0 neue Herausforderungen und Aufgaben, vor allem was IT-Sicherheit und dazugehörige Kompetenzen angeht. Um diesen Unternehmen den Umstieg zu erleichtern, sind verschiedene Lösungsansätze denkbar.
Hier sind gerade Vorreiter in Sachen Industrie 4.0 von Interesse, die ihre Prozesse bereits erfolgreich adaptiert oder neu aufgebaut haben. Im Sinne von Best-Practice-Beispielen können diese Unternehmen Handlungsleitfäden erstellen, um sie Interessierten zur Verfügung zu stellen. Dazu sollten neben positiven Erfahrungsberichten auch die einzelnen Praktiken dokumentiert und veröffentlicht werden, da sich hieraus gerade im Hinblick auf die zahlreichen Regeln, Normen, Methoden und Werkzeuge wertvolle Hilfestellungen ergeben.
Solche Sammlungen sind nicht nur für Betreiber von Produktionsanlagen relevant, sondern auch für Dienstleister, die Unternehmen im Rahmen von Industrie 4.0 beraten. Ein weiterer zentraler Punkt ist die Standardisierung von Technologien und Schnittstellen. Internationale Standards sind Voraussetzung für eine globale orientierte Wertschöpfungskette, mit ihren funktionalen, datenorientierten und nichtfunktionalen Komponenten unter besonderer Einbeziehung von IT-Sicherheitsaspekten.
Verbände und Fachausschüsse der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) haben etwa das Referenzarchitekturmodell Industrie 4.0 (RAMI4.0) erarbeitet, bei dem IT-Sicherheit eine wichtige Rolle spielt.
Abwehr von Bedrohungen
Um der ständigen Gefahr durch Cyberangriffe auf industrielle und andere Anlagen zu begegnen, sind Unternehmen gefordert, geeignete Maßnahmen zu ergreifen – entweder durch eigene Leistungen oder in Kombination mit externen Lösungsanbietern.So hat Siemens zwei Cyber Security Operation Center (CSOC) eröffnet, mit Standorten in Lissabon/München und Milford (USA). Als Teil der Plant Security Services von Siemens dient das Center der kontinuierlichen Überwachung von Anlagen mit den Managed Security Services. „Sobald Unternehmen das Thema Cybersicherheit bei sich implementiert haben, müssen sie die Sicherheitsarchitektur auch auf dem aktuellen Stand halten“, erläutert Stefan Woronka von der Siemens AG.
Im Rahmen der Plant Security Services wird zunächst der Ist-Zustand der Sicherheitsstatus eines Unternehmens ermittelt. Dazu gehören Bedrohungs-, Schwachstellen- und Gap-Analyse, die Identifizierung, Klassifizierung und Bewertung von Risiken und eine Bewertung der Kritikalität, was etwa ein Kontrollverlust bedeuten würde. Anschließend erfolgt eine Risikoreduzierung durch die Implementierung von Sicherheitsmaßnahmen.
Solche Maßnahmen zum reaktiven Schutz werden geplant und realisiert und sicherheitsrelevante Prozeduren und Richtlinien in der Anlage eingerichtet. Gleichzeitig werden die Mitarbeiter entsprechend geschult. Ziel ist ein durchgängiger, proaktiver Schutz. Netzwerke werden ständig überwacht, Bedrohungen identifiziert und die Sicherheitsumgebung gegebenenfalls kontinuierlich angepasst.
Sobald die Mitarbeiter des CSOC ein erhöhtes Risiko feststellen, warnen sie die Kunden und koordinieren gegebenenfalls Gegenmaßnahmen, um Schaden abzuwenden. Mögliche Maßnahmen beinhalten das Anpassen von Firewall-Regeln oder die Bereitstellung von Updates, um Sicherheitslücken zu schließen. Bei erfolgten Attacken liefern die Mitarbeiter auch forensische Analysen, was den Unternehmen hilft, Berichte gemäß den Vorgaben durch das IT-Sicherheitsgesetz zu erstellen.
„Man darf nicht vergessen, dass viele Systeme, die vor mehreren Jahren in der Industrie eingeführt worden sind, zum Zeitpunkt der Errichtung nicht darauf ausgelegt waren, heutigen virtuellen Bedrohungen zu begegnen“, so Woronka. Industrie 4.0 bietet für Unternehmen aller Größen zahlreiche Möglichkeiten, Produktionsprozesse neu zu gestalten und Produkte über die gesamte Wertschöpfungskette hinweg zu „begleiten“.
Gleichzeitig eröffnet diese digital vernetzte Form der Produktion neben Chancen auch neue Risiken, denn virtuelle Angriffe können sich nicht auf eine Anlage beschränken, sondern sich durch die Vernetzung womöglich kaskadierend fortsetzen – mit schwer abzuschätzenden Folgen. Viele Unternehmen sind gefordert, ihre IT-Netze auf einen entsprechenden Stand der Sicherheit zu bringen, wollen sie sich der Industriewelt 4.0 anschließen. Der Staat ist seinerseits gefordert, durch entsprechende klare Gesetze Verantwortlichkeiten zu benennen und behördliche Hilfestellung zu leisten, da das reibungslose Funktionieren der Wirtschaft – nicht nur der kritischen Infrastrukturen – im Interesse aller liegt.
Hendrick Lehmann
Passend zu diesem Artikel
Anwender, die sich auf ein reibungslos funktionierendes Kommunikationssystem verlassen müssen, benötigen Mobilfunk-Lösungen mit ausreichendem Cyberschutz.
Ein Hotelbrand kann Menschenleben kosten, Existenzen und nicht zuletzt Sachvermögen vernichten, wenn kein ausreichender Brandschutz existiert.
Zum 1. Februar hat Dussmann Technical Solutions alle Anteile des Industrieservice-Unternehmens Regelmatic übernommen.