Industrie 4.0, IoT und IT-Sicherheit: Was muss geschehen?

Die Sicherheit kommt bei Industrie 4.0 und IoT zu kurz. Es fehlen das Sicherheitsbewusstsein und eine Gesamtstrategie, die alle Akteure einbezieht.

Die Digitalisierung erfasst sämtliche Bereiche von Wirtschaft und Gesellschaft und daher hat sich nahezu jedes Unternehmen mit dem Thema Industrie 4.0 in irgendeiner Form auseinandergesetzt. Schlagworte wie Industrial Internet of Things (IIoT) oder Industrial Control System (ICS) und SCADA-Systeme sind nur ein paar Begriffe, die Teilbereiche der vernetzten Produktion betreffen.

Aktuell mangelt es aber an eine Gesamtstrategie, die alle Akteure miteinbezieht. Die Anzahl der Beteiligten ist riesig. Michael Taube, Sprecher des Clusters Industrie 4.0 fasst den Begriff zusammen: “Industrie 4.0 beschreibt die Vernetzung über die Grenzen von Unternehmen und Individuen hinaus. Dabei greifen automatische Kommunikationsprozesse von Maschinen ineinander, ohne dass ein menschliches Eingreifen nötig ist.“

Produktivität, Komfort und Qualität von Dienstleistungen und Produktion sind durch den technologischen Fortschritt enorm ausbaubar und müssen den Vergleich mit der nächsten Stufe in der industriellen Evolution nicht scheuen. Der Prozess ist aber derart schnell vorangeschritten, dass dieser Wandel gleichzeitig zu großen Sicherheitsproblemen führen kann.

Prof. Thomas Brandstetter vom SANS Institute erklärt das grundlegende Problem: „Alte Produktionsumgebungen wurden in der Regel als Offline-Insellösung geplant und gebaut und werden jetzt vermodernisiert: Dabei werden sie im Eiltempo auf digitale Kommunikation getrimmt, das Thema Sicherheit wird aber nicht ausreichend betrachtet, obwohl zumeist die Grundlagen der Security fehlen. Dass bestehende Sicherheits-Tools wie Standard-Firewalls oder Antivirus nur noch sehr eingeschränkt wirksam sind, macht ein Aufrüsten noch schwieriger.“

Grund hierfür sind nicht nur die Vorteile durch die digitale Integration, sondern zum großen Teil die Sorge um Wettbewerbsfähigkeit und bestehende Investitionen in Produktionsanlagen. Wer nicht mitzieht, kann nicht mithalten und wird vom Markt gedrängt.

Diese Veränderung ist auch der Grund, warum operational smarte Geräte nicht immer als Teil der IT gesehen werden. Häufig werden sie noch als Operation Technology (OT) von anderen Abteilungen abgesichert. Karl Schrade von PHOENIX CONTACT Cyber Security erlebt den Konflikt zwischen den verschiedenen Teams regelmäßig: „Security und Safety werden oftmals immer noch als voneinander getrennte Welten gesehen, was zu entsprechenden Konfliktsituationen führt. Während für Safety klare Richtlinien gelten und aufwändige Assessments gemäß internationalen Standards durchgeführt werden, wird das Thema Security stark vernachlässigt. Security muss einen weitaus höheren Stellenwert in den Entwicklungs- bzeziehungsweise Engineering-Prozessen von IACS-Komponenten und -Systemen erhalten, und durch entsprechende Assessments regelmäßig evaluiert werden.

Nachhaltige digitale Agenda über Wahlperioden hinaus

Die Bundesregierung versucht auf die Entwicklung entsprechend zu reagieren. Das IT-Sicherheitsgesetz, die Cybersicherheitsstrategie des Bundesinnenministeriums und der Ausbau der Behördenlandschaft sind aktuelle Beispiele für staatliche Aktivitäten im Bereich Cybersicherheit. Allerdings fehlt es momentan an einem grundlegenden Rahmen, der klare Grenzen und praktisch umsetzbare Ansätze aufzeigt.

Aktueller Kernaspekt auf der Agenda der Behörden ist die Überarbeitung von Zertifizierungsmaßnahmen, allerdings stehen die Ergebnisse noch aus. Dies sollte so weit gehen, dass unsichere Produkte und Dienstleistungen vom Markt verbannt und wichtige Maßnahmen durch steuerliche Anreize subventioniert werden. Allerdings steht man vor einer Mammutaufgabe, die große Anstrengung über viele Jahre über einzelne Legislaturperioden hinaus benötigt.

Der IT-Berater und Dozent an der HTW Berlin, Carsten Pinnow, betont, dass sich die Sicherheitsproblematik nicht rein technologisch lösen lässt: “Der Staat steht meistens nur an dritter Stelle. Weite Teile der kritischen Infrastruktur werden von privaten Anbietern angeboten. Unternehmen und Konsumenten müssen daher ebenfalls miteinbezogen werden.“

Dieser Appell ist für eine erfolgreiche Digitalisierung maßgebend. Daher müssen Bürgerinnen und Bürger in jeglicher Position für das Thema IT-Sicherheit sensibilisiert werden. In Bildungseinrichtungen und Unternehmen, aber auch in Vereinen und öffentlichen Institutionen muss IT-Sicherheit eine Grundlage der Agenda sein.

Unternehmen und Bevölkerung brauchen ein TüV-Siegel für IT

Konkret bedeutet dies, dass Lehrpläne an Schulen, aber auch Fortbildungen zur Cybersicherheitsthematik in Firmen zum Alltag werden müssen. Weiter sollten alle Produkte mit Bezug zu IT mit einem einheitlichen Gütesiegel durch eine öffentliche Einrichtung signiert werden, dass ihnen eine grundsätzliche Betriebssicherheit bescheinigt.

„Solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist noch einiges zu tun.“

Dietmar Schnabel, Check Point

Die Diskussion um Vernetzung wird momentan in vielen Bereichen geführt. Während größere Organisationen entsprechende Ansätze bereits entwickelt haben, bleiben kleine und mittelständische Unternehmen (KMU) bei der Thematik häufig außen vor. Es mangelt an der richtigen Ansprache und praxistauglichen Konzepten für KMUs. Dabei bilden genau solche Firmen das Rückgrat der deutschen Wirtschaft und müssen unterstützt werden.

Es braucht Anlaufstellen für unterschiedliche Branchen, denn die Installation von Smart-Home-Systemen durch Kleinstbetriebe und Smart-Home-Elektriker müssen genauso fit für die Digitalisierung gemacht werden, wie Autohersteller mit mehreren Tausend Angestellten weltweit – sie alle sind von der Thematik Industrie 4.0 betroffen.

Durch die Aktivierung der unterschiedlichen Gruppen kann das Schutzniveau nachhaltig erhöht werden, um Sabotageangriffe, Wirtschaftsspionage oder sogar Terrorangriffe dauerhaft zu unterbinden. Kein digitales System ist heute noch absolut sicher, besonders nicht Maschinen und Steuerungen, deren Kommunikation mit Systemen außerhalb von Produktionsumgebungen nicht vorgesehen war. Trotzdem ist ein adäquater Schutz mit vertretbarem Aufwand möglich, wenn Staat, Bevölkerung und Wirtschaft zusammenarbeiten.

Grundsätzlich sollte daher jeder optimistisch der Digitalisierung entgegensehen, aber gleichzeitig immer das Risiko in seinen Aktionen bedenken. Jede Person ist sich bewusst, dass man bei Fremden nicht ins Auto steigt. Die Mehrheit der Bevölkerung steckt einen gefundenen USB-Stick jedoch ohne Prüfung oder Quellangabe in ihren privaten PC oder sogar in einen PC im Unternehmensnetzwerk – solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist noch einiges zu tun.

Über den Autor:
Dietmar Schnabel ist Regional Director Central Europe bei Check Point Software Technologies.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiken von IoT und Industrie 4.0 verstehen.

Fünf Maßnahmen für mehr IoT-Sicherheit im Unternehmen.

Leitfaden zu rechtlichen Aspekten der Industrie 4.0 in Sachen IT-Sicherheit.

Zu früh für Industrie 4.0? BSI-Veröffentlichung wirft düsteres Licht auf ICS-Sicherheit.

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close