Wichtig ist es die Analysearchitektur des Unternehmens zu verstehen, um darauf ein Sicherheitskonzept aufbauen zu können. (Bild: ssc)
"Eine absolute Sicherheit wird es nicht geben." Ein guter erster Satz für einen Vortrag zum Thema Security im Internet der Dinge. Die Furcht in den kleinen und mittelständischen Unternehmen sich mit der Vernetzung der Maschinen und Anlagen auch ungebetene Gäste in die Produktionshallen zu holen könne er gut verstehen, so sagte Werner Schwarz von Cancom auf der Tagung zur Industrie 4.0 im Allgäu. Geladen waren Maschinen- und Anlagenbauer aus der Region. Und das Thema traf offensichtlich einen Nerv, denn in den Gesprächen der Teilnehmer und auch in der abschließenden Diskussion wurde deutlich, wie sehr mittelständische Maschinen- und Anlagenbauer mit IT-Sicherheit und Security beschäftigen.
Und das zu Recht, denn laut Schwarz seien aktuell mehr als 1500 ICS-Schwachstellen bekannt, 95 Prozent der Schwachstellen seien erst nach 2011 bekannt geworden. Ob das an einer besseren Erfassung oder einer größeren Zahl von Anwendungen liegt, ließ er dabei offen. Die Zahlen beruhen auf dem Report des Industrial Security System Cyber Emergency Response Team, kurz ICS-CERT der Homeland Security der Vereinigten Staaten von Amerika.
Sicherheitskonzept von Anfang an einbeziehen
Und die Folgen mangelnder Sicherheitsvorrichtungen könnten weitreichender sein, als von Vielen zunächst vermutet. Datendiebstahl wird oft als Hauptgrund zur Sorge angeführt, muss jedoch als nur eines von vielen möglichen Risiken gelten. So kann es neben kostenintensiven Produktionsausfällen und der Zerstörung von Maschinen bei einer fehlenden Sicherheitsstruktur ebenfalls zu Verletzungen und gesundheitlichen Folgen für die Mitarbeiter kommen. Deshalb gelte es von Beginn an ein Sicherheitskonzept in die Überlegungen zur Vernetzung mit einzubeziehen.
Und hier darf nicht nur die Technik in den Mittelpunkt der Überlegungen rücken. Viel mehr ist der Fokus auf Maschine und Mensch legen, weil beide — durch fehlende oder fehlerhafte Sicherheitsarchitektur und durch Fehlverhalten — Angriffe begünstigen können und zugleich in hohem Maße unter den Folgen eines entsprechend ausgeführten Angriffs zu leiden haben.
Kein Grund für Pessimismus
Ein Spielverderber wollte Schwarz aber dennoch nicht sein, denn wenn das Thema in den Unternehmen als Teil der eigenen DNA verstanden würde, sei der wichtigste Schritt hin zu einem relativ sicheren Stand schon gemacht. Jedoch, und hier reiht er sich ein in den Chor der Sicherheitsbeauftragten und der Experten zum Thema Security, sei das Sicherheit nicht ein einfach zu implementierender Prozess. Vielmehr müsse man das Thema als "riskiogetriebenen Prozess-Kreislauf" verstehen. Es bedarf also der kontinuierlichen Analyse der aktuellen Risikolage und folglich entsprechender Nachjustierungen.
Kein Grund also bisherige Sicherheitskonzepte sofort über Bord zu werfen. Vielmehr solle dieses Teil der neuen Security werden. Damit stimmt Schwarz auch mit den Aussagen der Wissenschaftler vom Fraunhofer Institut für Sichere Informationstechnologie überein. Diese halten am Grundsatz fest, dass auch in der Industrie 4.0 beim Thema Sicherheit der Schutz von Leib und Leben als wichtigstes Ziel stehen müsse. Dementsprechend solle die Funktionalität von Sicherheitsmaßnahmen und Notfallszenarien gewährleistet sein. Folglich gelte es das IT-Sicherheitsbewusstsein und die Kompetenz des Personals zu erhöhen und gleichzeitig Schnittstellen möglichst benutzerfreundlich zu gestalten.
Auch auf die Konstruktion und die Aufgaben der Ingenieure in den Betrieben hat das massive Auswirkungen. Denn neben einer sicheren IT-Infrastruktur muss dazu schon in der Produktentwicklung der Ansatz des Security by Design verinnerlicht werden. Das funktioniert nur, wenn schon der Konstrukteur Sicherheitsmaßnahmen am Arbeitsplatz ergreift und zugleich entsprechend der Sicherheitsstrategie des Unternehmens sichere Komponenten für die Produkte vorsieht.
Industrie 4.0 steht in den Startlöchern und mit ihr eine Schar an neuen Bedrohungen: Hacker, Viren und Trojaner, Spionage und Sabotage per Internet. Doch sich grundlegend zu schützen ist nicht schwer. Video: ke NEXT TV
Hinzu kommt die Analyse der Risiken, wie auch die der Infrastruktur und eine Reaktion auf fehlende oder mangelhafte Ist-Zustände. Dazu bedarf es in vielen Fällen sicherlich des Aufbaus neuer Rollen und der Definierung von neuen und sicherheitsrelevanten Prozessen. Auch der Aufbau von Hardware- und Software zum Schutz des Unternehmens sind wesentliche Bausteine eines wehrfähigen Gesamtsystems.
Viel zu oft werde allerdings nur an eben diese technischen Maßnahmen gedacht. Wichtig sei es deshalb offensiv und proaktiv an die Herausforderungen der Industrie 4.0 und die damit verbundenen Sicherheitfragen heranzugehen. Und das heißt Menschen und Maschinen gemeinsam einzubinden. Deshalb müssten die Unternehmen laut Schwarz zeitnah mit der Umsetzung von Security-Maßnahmen beginnen. Ein Appell den die Maschinenbauer gehört haben, wie das Interesse an der Veranstaltung beweist.
