Industrie 4.0, IoT und IT-Sicherheit: Was muss geschehen?

Die Sicherheit kommt bei Industrie 4.0 und IoT zu kurz. Es fehlen das Sicherheitsbewusstsein und eine Gesamtstrategie, die alle Akteure einbezieht.

Die Digitalisierung erfasst sämtliche Bereiche von Wirtschaft und Gesellschaft und daher hat sich nahezu jedes Unternehmen mit dem Thema Industrie 4.0 in irgendeiner Form auseinandergesetzt. Schlagworte wie Industrial Internet of Things (IIoT) oder Industrial Control System (ICS) und SCADA-Systeme sind nur ein paar Begriffe, die Teilbereiche der vernetzten Produktion betreffen.

Aktuell mangelt es aber an eine Gesamtstrategie, die alle Akteure miteinbezieht. Die Anzahl der Beteiligten ist riesig. Michael Taube, Sprecher des Clusters Industrie 4.0 fasst den Begriff zusammen: “Industrie 4.0 beschreibt die Vernetzung über die Grenzen von Unternehmen und Individuen hinaus. Dabei greifen automatische Kommunikationsprozesse von Maschinen ineinander, ohne dass ein menschliches Eingreifen nötig ist.“

Produktivität, Komfort und Qualität von Dienstleistungen und Produktion sind durch den technologischen Fortschritt enorm ausbaubar und müssen den Vergleich mit der nächsten Stufe in der industriellen Evolution nicht scheuen. Der Prozess ist aber derart schnell vorangeschritten, dass dieser Wandel gleichzeitig zu großen Sicherheitsproblemen führen kann.

Prof. Thomas Brandstetter vom SANS Institute erklärt das grundlegende Problem: „Alte Produktionsumgebungen wurden in der Regel als Offline-Insellösung geplant und gebaut und werden jetzt vermodernisiert: Dabei werden sie im Eiltempo auf digitale Kommunikation getrimmt, das Thema Sicherheit wird aber nicht ausreichend betrachtet, obwohl zumeist die Grundlagen der Security fehlen. Dass bestehende Sicherheits-Tools wie Standard-Firewalls oder Antivirus nur noch sehr eingeschränkt wirksam sind, macht ein Aufrüsten noch schwieriger.“

Grund hierfür sind nicht nur die Vorteile durch die digitale Integration, sondern zum großen Teil die Sorge um Wettbewerbsfähigkeit und bestehende Investitionen in Produktionsanlagen. Wer nicht mitzieht, kann nicht mithalten und wird vom Markt gedrängt.

Diese Veränderung ist auch der Grund, warum operational smarte Geräte nicht immer als Teil der IT gesehen werden. Häufig werden sie noch als Operation Technology (OT) von anderen Abteilungen abgesichert. Karl Schrade von PHOENIX CONTACT Cyber Security erlebt den Konflikt zwischen den verschiedenen Teams regelmäßig: „Security und Safety werden oftmals immer noch als voneinander getrennte Welten gesehen, was zu entsprechenden Konfliktsituationen führt. Während für Safety klare Richtlinien gelten und aufwändige Assessments gemäß internationalen Standards durchgeführt werden, wird das Thema Security stark vernachlässigt. Security muss einen weitaus höheren Stellenwert in den Entwicklungs- bzeziehungsweise Engineering-Prozessen von IACS-Komponenten und -Systemen erhalten, und durch entsprechende Assessments regelmäßig evaluiert werden.

Nachhaltige digitale Agenda über Wahlperioden hinaus

Die Bundesregierung versucht auf die Entwicklung entsprechend zu reagieren. Das IT-Sicherheitsgesetz, die Cybersicherheitsstrategie des Bundesinnenministeriums und der Ausbau der Behördenlandschaft sind aktuelle Beispiele für staatliche Aktivitäten im Bereich Cybersicherheit. Allerdings fehlt es momentan an einem grundlegenden Rahmen, der klare Grenzen und praktisch umsetzbare Ansätze aufzeigt.

Aktueller Kernaspekt auf der Agenda der Behörden ist die Überarbeitung von Zertifizierungsmaßnahmen, allerdings stehen die Ergebnisse noch aus. Dies sollte so weit gehen, dass unsichere Produkte und Dienstleistungen vom Markt verbannt und wichtige Maßnahmen durch steuerliche Anreize subventioniert werden. Allerdings steht man vor einer Mammutaufgabe, die große Anstrengung über viele Jahre über einzelne Legislaturperioden hinaus benötigt.

Der IT-Berater und Dozent an der HTW Berlin, Carsten Pinnow, betont, dass sich die Sicherheitsproblematik nicht rein technologisch lösen lässt: “Der Staat steht meistens nur an dritter Stelle. Weite Teile der kritischen Infrastruktur werden von privaten Anbietern angeboten. Unternehmen und Konsumenten müssen daher ebenfalls miteinbezogen werden.“

Dieser Appell ist für eine erfolgreiche Digitalisierung maßgebend. Daher müssen Bürgerinnen und Bürger in jeglicher Position für das Thema IT-Sicherheit sensibilisiert werden. In Bildungseinrichtungen und Unternehmen, aber auch in Vereinen und öffentlichen Institutionen muss IT-Sicherheit eine Grundlage der Agenda sein.

Unternehmen und Bevölkerung brauchen ein TüV-Siegel für IT

Konkret bedeutet dies, dass Lehrpläne an Schulen, aber auch Fortbildungen zur Cybersicherheitsthematik in Firmen zum Alltag werden müssen. Weiter sollten alle Produkte mit Bezug zu IT mit einem einheitlichen Gütesiegel durch eine öffentliche Einrichtung signiert werden, dass ihnen eine grundsätzliche Betriebssicherheit bescheinigt.

„Solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist noch einiges zu tun.“

Dietmar Schnabel, Check Point

Die Diskussion um Vernetzung wird momentan in vielen Bereichen geführt. Während größere Organisationen entsprechende Ansätze bereits entwickelt haben, bleiben kleine und mittelständische Unternehmen (KMU) bei der Thematik häufig außen vor. Es mangelt an der richtigen Ansprache und praxistauglichen Konzepten für KMUs. Dabei bilden genau solche Firmen das Rückgrat der deutschen Wirtschaft und müssen unterstützt werden.

Es braucht Anlaufstellen für unterschiedliche Branchen, denn die Installation von Smart-Home-Systemen durch Kleinstbetriebe und Smart-Home-Elektriker müssen genauso fit für die Digitalisierung gemacht werden, wie Autohersteller mit mehreren Tausend Angestellten weltweit – sie alle sind von der Thematik Industrie 4.0 betroffen.

Durch die Aktivierung der unterschiedlichen Gruppen kann das Schutzniveau nachhaltig erhöht werden, um Sabotageangriffe, Wirtschaftsspionage oder sogar Terrorangriffe dauerhaft zu unterbinden. Kein digitales System ist heute noch absolut sicher, besonders nicht Maschinen und Steuerungen, deren Kommunikation mit Systemen außerhalb von Produktionsumgebungen nicht vorgesehen war. Trotzdem ist ein adäquater Schutz mit vertretbarem Aufwand möglich, wenn Staat, Bevölkerung und Wirtschaft zusammenarbeiten.

Grundsätzlich sollte daher jeder optimistisch der Digitalisierung entgegensehen, aber gleichzeitig immer das Risiko in seinen Aktionen bedenken. Jede Person ist sich bewusst, dass man bei Fremden nicht ins Auto steigt. Die Mehrheit der Bevölkerung steckt einen gefundenen USB-Stick jedoch ohne Prüfung oder Quellangabe in ihren privaten PC oder sogar in einen PC im Unternehmensnetzwerk – solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist noch einiges zu tun.

Über den Autor:
Dietmar Schnabel ist Regional Director Central Europe bei Check Point Software Technologies.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiken von IoT und Industrie 4.0 verstehen.

Fünf Maßnahmen für mehr IoT-Sicherheit im Unternehmen.

Leitfaden zu rechtlichen Aspekten der Industrie 4.0 in Sachen IT-Sicherheit.

Zu früh für Industrie 4.0? BSI-Veröffentlichung wirft düsteres Licht auf ICS-Sicherheit.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Kraut und Rüben ...

Der Autor des Artikels hat sich redlich Mühe gegeben sein Hauptziel (nämlich mehr Umsatz mit den Produkten seiner Firma zu machen) nicht all zu sehr in den Vordergrund zu stellen - dafür sei ihm herzlich gedankt.

Im Besonderen ist ihm dafür zu danken dass er den vielfach beschworenen angeblichen Nutzen der gängigen Produkte wie Antivirensoftware und Firewalls relativiert - selbiger ist nämlich mittlerweile tatsächlich sehr eingeschränkt, und er gibt dies in dem Artikel auch offen zu. 

Darüber hinaus hat er aber keine solide Analyse vorgenommen sondern "Kraut und Rüben" serviert und vor allem die Belange der industriellen Automatisierungstechnik nicht von dem populären aber nebulösen IoT - Hype rund um "Smart Home" und "Lifestyle" abgegrenzt.

Letzterer ist ein recht absonderliches Phänomen, es ist beispielsweise kaum nachvollziehbar warum sich Menschen freiwillig eine abgewandelte elektronische Fußfessel an den Arm schnallen und die Überwachungsergebnisse in irgendeine Cloud stellen und sie sogar anderen zuschicken, nur um zu dokumentieren wie sportlich sie sind. Andere wiederum tragen ihre elektronische Fußfessel mit ihrem Smartphone herum, weil sie die GPS-Funktion ständig angeschaltet lassen. In diesem Lifestyle - Segment ist in der Tat noch sehr viel Bewusstseinsbildung nötig, besonders was alle die Geräte die mittlerweile am heimischen WLAN hängen so alles anzurichten vermögen. Zunächst mal ist der heimische Router selbst ein Sicherheitsrisiko, wie zahlreiche Telekom-Kunden vor kurzem wohl mitbekommen haben. Millionen neuerer Fernseher brüsten sich mit dem Prädikat "Smart TV" und sind demzufolge prädestiniert als Teil eines Botnets missbraucht zu werden, auf entsprechende Berichte werden wir vermutlich nicht mehr allzu lange warten müssen. Überwachungskameras sind diesbezüglich schon hinreichend aktenkundig geworden ...

Hier wären in der Tat eine bessere Aufklärung in der breiten Bevölkerung von Nutzen, und dies könnte durchaus auch (aber nicht nur) in der Schule erfolgen.

Ziemlich abstrus ist aber die Forderung nach neuen Normen, Zertifikaten und allgemein gültigen TÜV - Siegeln für IT-Sicherheit - eine schöne aber leider nicht realisierbare Wunschvorstellung. Was soll denn konkret damit bewirkt werden ?

All diese netten Dinge sind zunächst mal Papier, man kann sie als Persilschein wunderbar an die Wand neben dem Schreibtisch hängen und darauf verweisen wenn die Hacker wieder mal zugeschlagen haben. Einen gezielten Angriff können sie jedoch nicht verhindern.

Im industriellen Bereich besteht schon seit Stuxnet ein beträchtliches Maß an Problembewusstsein, es fehlt weniger an Aufklärungslehrgängen sondern vielmehr an sicherer IT-Infrastruktur. Und die ist leider gar nicht so einfach einzuführen, da müsste man beispielsweise hinter die Betriebssysteme Windows und Linux ein ganz großes Fragezeichen machen. Tun wir aber nicht, statt dessen schieben wir möglichst viel in die Cloud ...  

Abbrechen

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close