Security 4.0 Industrie 4.0 braucht Sicherheit

Abgeschottete Systeme werden durch umfassende Vernetzung plötzlich angreifbar.
Abgeschottete Systeme werden durch umfassende Vernetzung plötzlich angreifbar.

Wer sich das hektische Stopfen von Sicherheitslöchern ersparen will, sollte mit Industrie 4.0 auch gleich die notwendigen Sicherheitskonzepte einführen – eben „Security 4.0“.

Der Übergang von handwerklicher Einzelanfertigung zur industriellen Massenfertigung ist in mehreren Schritten erfolgt, die jeweils die Stückkosten des einzelnen Produkts gesenkt und die Qualität erhöht haben. Dies ist jedoch häufig nur zu Lasten der Flexibilität möglich gewesen, da der Aufwand zur Fertigungsvorbereitung sich nur bei höheren Stückzahlen amortisiert. Industrie 4.0 zielt auf die weitere Steigerung der Effizienz und Flexibilität durch vollständige IT-Durchdringung aller Schritte entlang der Wertschöpfungskette ab und berücksichtigt dabei auch den Lebenszyklus der Produkte. Dieser beginnt beim Design und geht über Auftragsbearbeitung und Produktion bis zum Service (Bild 1).

Andere Branchen zeigen bereits auf, in welche Richtung sich die industrielle Fertigung entwickeln könnte. Carsharing ersetzt den klassischen Besitz eines Pkw. In der IT sind ähnliche Trends sichtbar. Dort werden Hardware-Lösungen vermehrt durch Software ersetzt, etwa anstelle dedizierter Server virtuelle Server eingesetzt. Die darunter liegende Hardware-Umgebung verliert an Bedeutung. In der Unternehmens-IT findet dasselbe bei den hausinternen Servern (Private Cloud) statt und zusätzlich werden diese durch externe Dienste im Sinne des Cloud Computing ergänzt oder ersetzt. Allen diesen Beispielen gemein ist die Verschiebung hin zu Inhalten und Diensten zulasten des klassischen Besitzes von physischen Objekten.

Industrie 4.0: Ziele und Konzepte

Kauft man zukünftig noch Stanzmaschinen und Werkzeuge oder gestanzte Löcher? Bietet dies der Maschinenbauer selbst oder ein spezialisierter Dienstleister an? Sinkt der Preis, wenn man dem Anbieter Condition Monitoring zur Optimierung erlaubt? Welche Daten werden dabei gesammelt, wo werden diese gelagert und wem gehören sie?

Im Sinne eines Industrie-4.0-Netzes sind die dabei Beteiligten häufig gleichzeitig sowohl Zulieferer als auch selbst Kunden oder Betreiber. Informationen über Eigenschaften von Produkten, Konstruktionsdaten, Software, Preise, Zustandsdaten werden daher zukünftig in horizontaler Richtung über Unternehmensgrenzen hinaus ausgetauscht werden müssen.

Um Produkte auch in kleiner Stückzahl effizient fertigen zu können, muss die Fertigungsvorbereitung pro Variante minimiert werden. Hierzu müssen sich die Fertigungssysteme im Wesentlichen selbst konfigurieren und an das Produkt anpassen. Das Produkt muss hierzu vollständig digital vorliegen. Dies erfordert die Digitalisierung des gesamten Lebenszyklus von der Produktidee bis zu Service und Außerbetriebnahme (Bild 2).

Digitalisierung und Informationssicherheit

Die Bedeutung von Wissen, Konzepten und Daten, des „Intellectual Property“, das die Produkte und Prozesse ausmacht, wird entsprechend der Digitalisierung zunehmen. Das vollständig digitale Produkt ist sowohl effektiv als auch effizient, es wird aber auch genauso einfach kopierbar. Was einmal aus dem 3D-Drucker kommt, könnte schließlich auch mehrfach gedruckt werden. Lieferketten, bei denen ­Zulieferungen automatisch bestellt werden, können bei Missbrauch einen hohen Schaden hervorrufen. Die Effizienzsteigerungen von Industrie 4.0 beruhen teilweise darauf, dass bisher zentrale ERP-Systeme durch autonome verteilte Systeme ersetzt werden, die dann aber das gleiche Schutzniveau brauchen. Umgekehrt lässt sich aus gesammelten Daten über bestellte oder gelieferte Komponenten oder durch Auswertung von Betriebsdaten, die beim Condition Monitoring anfallen, sehr viel Information über die laufende Fertigung bis hin zu möglichen Rückschlüssen auf die wirtschaftliche Lage eines Kunden oder Lieferanten ziehen.

IT-Sicherheit ist unzureichend

Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA, zeigen eine sehr unbefriedigende Lage. Nur in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus sind die einschlägigen Standards bekannt, in lediglich einem Drittel der Unternehmen sind Maßnahmen umgesetzt. Gleichzeitig geben 29 % der Unternehmen an, selbst schon Produktionsausfälle durch Security-Vorfälle erlitten zu haben. Die Vernetzung industrieller Anlagen unter dem Begriff Industrial Ethernet ist eine rapide Entwicklung der letzten Jahre. Das Thema IT Security hat dabei eine untergeordnete Rolle gespielt, da in vielen Fällen davon ausgegangen wurde, dass die Fertigungsnetze gar nicht oder nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis zeigt sich, dass viele Fabriknetze bereits heute mit dem Internet gekoppelt sind. Hier spielt zum Beispiel die Fernwartung eine Rolle. Teils ­geschieht dies geplant und kontrolliert, in vielen Fällen aber ist den Verantwortlichen die Vernetzung nicht bewusst. Auch die Annahme, dass aufgrund der proprietären Systeme und Protokolle die Hürde für Angreifer hoch liegen würde, ist spätestens seit Stuxnet ­widerlegt. Populäre Security Scanner wie Metasploit verfügen über spezielle Module für SCADA-Systeme, Netzwerk-Scanner wie Shodan suchen gezielt nach industriellen Steuerungssystemen. Entsprechend diesen Entwicklungen sind heute vielfältige Initiativen vorhanden, die Situation zu verbessern. Neben der Anwendung technischer Lösungen muss dabei jederzeit das Thema Aware­ness im Zentrum stehen, wie die Analyse­ergebnisse zeigen.