Gastbeitrag ComCode: CyberSecurity in der Smart Factory

Gastbeitrag von Markus Geier, CEO & Senior CyberSecurity Consultant, sowie Benjamin Schwabe, CyberSecurity Consultant, beide bei der ComCode GmbH. 

Logo_Comcode_kleinIndustrie 4.0 – ein Begriff, der immer mehr seine Kreise in den Medien zieht und erstmals 2011 publik wurde. Nach der Einführung mechanischer Produktionsanlagen mit Dampf und Wasser gegen Ende des 18. Jahrhunderts, der anschließenden Umstellung auf das Fließband bis hin zur Automatisierung durch den Einsatz der IT, wie wir sie heute kennen, ist die vollständige Vernetzung der Produktionsanlagen und der damit verbundenen Prozesse der nächste Schritt.

Teil dieses Themenkomplexes ist die sogenannte „Smart Factory“, eine Produktionsanlage, die autark, also ohne menschliches Zutun, agiert.

Fünf Jahre, nachdem die „Initiative Industrie 4.0“ vorgestellt wurde, füllen sich ganze Hallen auf namhaften Industriemessen zu diesem Thema und Unternehmen stellen Produkte, Lösungen und Einsatzmöglichkeiten vor und zeigen, wie eine derartige Vernetzung funktioniert.

Doch da, wo IT als Grundlage aller Abläufe zum Einsatz kommt, ist die Frage nach Sicherheit latent.

Nach längst bekannten Angriffen auf Produktionsanlagen wie Stuxnet und Co. stellt sich die berechtigte Frage, wie Sicherheit bei einer kompletten Vernetzung mit Industrie 4.0 zu gewährleisten ist. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht „Die Lage der IT-Sicherheit in Deutschland 2015“ zeigt, dass vernetzte Produktionsanlagen großen Bedrohungen und Risiken ausgesetzt sind. Eine Problematik, an der zurzeit verschiedene Behörden, Verbände und Institute arbeiten.

Die zunehmende Verschmelzung der Office- und Produktions-IT aufgrund der Vernetzung entlang der Wertschöpfungskette hin zur vierten industriellen Revolution stellt im Kontext Smart Factory eher eine Evolution dar. Doch abgesehen von der (r)evolutionären Entwicklung der facettenreichen Industrie 4.0 im Allgemeinen, stellt die Informationssicherheit (bzw. CyberSecurity) im Speziellen eine tragende Rolle zur Gestaltung und Umsetzung der Industrie 4.0 dar und wird daher als eine Erfolgssäule eingestuft.

Für eine ganzheitliche Informationssicherheitsbetrachtung bedarf es einer Referenzarchitektur, die sowohl interne Aspekte als auch äußere Einflüsse mit einbezieht und neben den Anforderungen aus der Office-IT auch die der industriellen Produktion sicherstellt. Für eine Modellierung müssen sowohl bestehende Bedrohungen und Risiken als auch zukünftige Annahmen in diese Richtung identifiziert werden. Weiterhin lässt sich durch die Umsetzung von Informationssicherheitsstandards und Normen wie dem BSI IT-Grundschutz oder der ISO27000-Reihe allein derartige Umgebungen nicht absichern. Grund hierfür sind die nicht vorhandenen Spezifika für Anlagen der Steuerungs- und Leittechnik sowie der Automatisierungstechnik. In Kombination mit weiterführenden Standards wie der IEC62443 und der VDI/VDE2182 lassen sich jedoch erste Sicherheitsmaßnahmen speziell für dieses Umfeld ableiten und umsetzen.

Sicherheitsstandards allein sind für die Smart Factory nicht ausreichend.

Für eine sichere Smart Factory sind konkrete und machbare Sicherheitsmaßnahmen hinsichtlich der Verfügbarkeit, Vertraulichkeit, Integrität sowie der Authentizität zu etablieren.

Die notwendigen Konzepte und Umsetzungen sollten technologische, organisatorische und prozessuale Maßnahmen umfassen. Basis dafür sind identifizierte Bedrohungen und konkret existierende Risiken die eng zwischen der Office-IT und Produktions-IT evaluiert und bewertet werden. Es geht dabei nicht nur um das „WAS“, sondern auch und insbesondere um das „WIE“ in einer Umgebung, die für Unternehmen massiv verfügbarkeitskritisch ist. D. h. die Konzepte benötigen auch konkrete Migrations- und Koexistenz-Szenarien, welche machbare Schritte, aber auch die Aufwände klar benennen.

Für eine bessere Kommunikation zwischen den beiden Bereichen müssen Verantwortlichkeiten neu etabliert werden. Eine Strukturierung der Verantwortlichkeiten stellt eine Maßnahme für eine zu entwickelnde Referenzarchitektur der Industrie 4.0 dar, da bei steigender Standardisierung weiterhin beide Welten für die jeweiligen Systeme zuständig bleiben. Für ein engeres Commitment hinsichtlich der CyberSecurity sollten eigene Informationssicherheits-Repräsentanten in den jeweiligen Bereichen etabliert werden, welche an den ISO berichten.

Grafik_ArtikelNeben der reinen Cyber-Absicherung der genannten Schutzziele muss auch der Aspekt der „Safety“ mit einfließen, da aufgrund der Vernetzung organisatorische und technische Abhängigkeiten zwischen diesen beiden Bereichen entstehen.

In der industriellen Steuerungs- und Leittechnik sowie der Automatisierungstechnik ist Sicherheit eine wesentliche Voraussetzung. Bei Fehlfunktionen und abweichenden Betriebszuständen, welche durch mangelnde Informationssicherheit hervorgerufen werden können, darf von Maschinen und Anlagen keine Gefahr für Mensch und Umwelt ausgehen.

Einen möglichen Lösungsansatz stellt hierbei Security by Design dar, welche einen Sicherheitsansatz von Anfang an verfolgt und einen integralen Bestandteil der umzusetzenden Sicherheitsstrategie Smart Factory darstellt. Durch eine Planung und Umsetzung von Sicherheitsmaßnahmen in sehr frühen Phasen von Projekten (sowohl auf Seiten der Hersteller als auch auf Seiten der Anwender) wird Sicherheit machbar und Schritt für Schritt zum selbstverständlichen Bestandteil.

Aktuelle priore Maßnahmen im Bereich der CyberSecurity in der Smart Factory sind:

  • Im Bereich Organisation und Prozesse: Definieren von Richtlinien und Standards und deren Etablierung, z. B. für externe Zugänge, Lieferanten, Security Operating
  • Im Bereich Technik: Zonierung von Netzwerken, Security Monitoring zur Erkennung von Schwachstellen und Angriffen, Schaffung sicherer Wartungszugänge, Einsatz von Cloud Diensten im Bereich IoT und deren Sicherheit

Letztendlich muss Informationssicherheit aufgrund der sich ständig weiterentwickelnden Anforderungen der Industrie 4.0 als eine Art „Evolving Target“ verstanden werden. Hierbei muss die Sicherheitsstrategie dynamisch auf neue Anwendungsfälle und Bedrohungen reagieren können, um eine adäquate Cyber-/ Informationssicherheit zu gewährleisten. Das Thema bekommt daher signifikanten Fokus bei den IoT/Industrie 4.0 Aktivitäten der Unternehmen.

Markus Geier ComCode
Markus Geier, ComCode

Markus Geier

In seinem Vortrag “Cyber Security as the enabler of the Smart Factory” am Donnerstag, 23. Juni 2016, 16:00 Uhr (#IT2I16 Tag 3), geht Markus Geier, Geschäftsführer, ComCode GmbH, der Frage nach, warum Cyber Security ein Schlüsselfaktor und feste Komponente für die Smart Factory ist (Vortrag in englischer Sprache). Dabei zeichnet er einen realistischen Ansatz und zeigt, wie dabei vorgegangen werden kann. Besonders beleuchtet wird der Aspekt “Security by design”, wie also das Thema IT-Sicherheit von Anfang an eine tragende Rolle bei der Gestaltung der Produktionsabläufe spielt.

ComCode auf der IT2Industry@AUTOMATICA, 21. bis 24. Juni 2016, Messe München, Halle B4, Stand 210 (Gemeinschaftsstand Partnering UG)

http://www.comcode.de

 

 

 

 

,,,,,,,,,,

Leave a comment

Your email address will not be published. Required fields are marked *

Accept and Proceed

Cookies help us to improve our services. By using our website, you agree to our use of cookies. Learn more