Industrie 4.0 – Ansätze für Informationssicherheit27 | 04 | 16
Andreas Altena und Sabine Roeb-Vollmer veröffentlichten im Herbst 2015 gemeinsam ein Whitepaper mit dem Titel „Sichere IT-Systeme und sichere Kommunikation: zwei neuralgische Herausforderungen für Industrie 4.0“. Im DGQ Blog nehmen wir das Thema genauer unter die Lupe. Es geht es um Begrifflichkeiten, Ziele und Herausforderungen im Kontext von Industrie 4.0, aber vor allem sollen zentrale Aspekte zur Qualitätssicherung, Standardisierung und Informationssicherheit vorgestellt werden.
Im Blogpost der vergangenen Woche wurden bereits Risiken im Kontext von Industrie 4.0 und das Thema IT-Sicherheit aufgegriffen. Heute widmet sich der Blogpost verstärkt Ansätzen und Voraussetzungen, um eine Informatationssicherheit gewährleisten zu können.
Gestiegene Sicherheitsanforderungen
Mit der zunehmenden Vernetzung und dem Austausch großer Datenmengen in der Industrie 4.0 müssen die Sicherheitsanforderungen in jedem Unternehmen also steigen. Maßnahmen zur Steigerung der Angriffssicherheit werden aber bislang nur langsam und oft lediglich als Lösung von Teilaspekten realisiert, obwohl die Weiterentwicklung zur Industrie 4.0 Ansätze erfordert, die einen umfassenden Schutz der hochgradig vernetzten Systemstrukturen sowie des Daten- und Informationsaustausches sicherstellen. Betriebsbedingt stellt schon das regelmäßige und zeitnahe Patchen eine Herausforderung dar. Dabei erschweren die oft unzureichende Herstellerunterstützung und die Kritikalität der Anlagen (Verfügbarkeit) zusätzlich ein geregeltes Patch-Management. Ein profundes Risikomanagement, schon bei der Planung und Implementierung der IT-Systeme, ist hier Voraussetzung für ein erfolgreiches Security-Management.
Proaktives Vorgehen für Informationssicherheit in der Industrie 4.0
Um Informationssicherheit in der Industrie 4.0 zu gewährleisten, ist ein proaktives Vorgehen entscheidend, wie es heute schon die Norm ISO/IEC 27001 vorsieht, die einen ganzheitlichen Ansatz hat. Als Managementsystem konzentriert sie sich nicht nur auf die Implementierung von Sicherheitsmaßnahmen, sondern fordert ebenso Management Attention und ständige Anpassung zur Verbesserung des Systems. Zu diesem generischen Forderungskatalog stellt die ISO/IEC TR (Information security management guidelines based on ISO/IEC 27019 for process control systems specific to the energy utility) eine sinnvolle Ergänzung dar, die zu den Anforderungen eine Hilfestellung bei der Implementierung von technischen und organisatorischen Maßnahmen gibt.
Verlässliche Konzepte, Architekturen und Standards
Es genügt nicht, nachträglich Security-Funktionen in einem Managementsystem zu ergänzen, wenn es schon Sicherheitsvorfälle gab. Das Thema muss von Anfang an mitgedacht werden – zugeschnitten auf die Prozessabläufe im Unternehmen. Zudem ist mit der zunehmenden Vernetzung und Zusammenarbeit verschiedener Partner ein starkes Vertrauen in den jeweils anderen erforderlich. Verlässliche Konzepte, Architekturen und Standards im Bereich der IT-Sicherheit sollten diese Vertrauensbasis unterstützen, denn Hersteller und Betreiber benötigen die Sicherheit, dass ihr Know-how, ihr geistiges Eigentum und ihre Daten geschützt sind. Die Herausforderung für die Unternehmen besteht deshalb darin, bestehende Managementsysteme für die neuen Anforderungen von Industrie 4.0 auszurüsten und gleichzeitig Lösungen für neue Anlagen zu entwickeln.
Technische und digitale Souveränität ist derzeit nicht gegeben
Die Vorsorge auf Unternehmensebene ist umso wichtiger, als festzuhalten bleibt: Eine technische oder digitale Souveränität ist derzeit im Bereich IT-Sicherheit weder auf deutscher noch auf europäischer Ebene gegeben. Deshalb will die Bundesregierung zumindest auf nationaler Ebene das Vertrauen in IT-Sicherheit stärken. Diesem Ziel und explizit in Hinblick auf Industrie 4.0 dient ein Referenzprojekt des BMBF zum Schutz der Produktion vor Cyberangriffen und Spionage. Im Zusammenwirken von deutscher Industrie und sieben Forschungseinrichtungen und Universitäten gilt es, verlässliche Lösungen zu entwickeln, die auch für kleine und mittlere Unternehmen funktionieren und entlang der gesamten Wertschöpfungskette genutzt werden können. Dieser Ansatz findet die volle Unterstützung des Verbands Deutscher Maschinen- und Anlagenbauer (VDMA), denn der jährliche Schaden durch Industriespionage in Deutschland beläuft sich laut einer Studie von Corporate Trust aus dem letzten Jahr auf 11,8 Milliarden Euro! Die im Projekt entwickelten IT-Sicherheitslösungen sollen standardisiert werden, um den Wettbewerb nicht zu behindern und kostengünstige Lösungen für kleine und mittlere Unternehmen zu schaffen.
Eine Balance zwischen Standards und Innovationen finden
Ziel aller Standardisierungen und aller technischen und organisatorischen Maßnahmen zur Informationssicherheit muss es sein, eine Balance zu finden, die Deutschlands hohe und bisweilen hart erkämpften Standards schützt, gleichzeitig aber genügend Raum für innovative Ideen und Konzepte lässt. Offenheit und Vertrauen sowie eine digitale Medienkompetenz der Nutzer müssen dabei vorausgesetzt werden. Das BMWi hat darüber hinaus gemeinsam mit dem IT-Branchenverband BITKOM im Juli 2015 die Plattform „Innovative Digitalisierung der Wirtschaft “ ins Leben gerufen, die die Arbeit der Plattform „Industrie 4.0“ ergänzt. Die Ergebnisse, die dort gewonnen werden, sollen in einer „Digitalen Charta 2025“ zusammengefasst werden.
Nächsten Mittwoch im DGQ Blog
Im Blogpost der kommenden Woche fassen die Autoren ihre Erkenntnisse zum Thema Industrie 4.0 in einem Fazit zusammen. Zusätzlich stellen wir Ihnen das gesamte Whitepaper „Sichere IT-Systeme und sichere Kommunikation zwei neuralgische Herausforderungen für Industrie 4.0“ als Download zur Verfügung.
Haben Sie einen Post zur Serie Industrie 4.0 verpasst? Alle bereits veröffentlichten Artikel zum Thema finden Sie hier:
- Industrie 4.0 – ein Überblick
- Definition und Schlüsseltechnologien
- Zielsetzungen
- Herausforderungen für Unternehmen
- Herausforderungen für Produktionsprozesse
- Industrie 4.0 – ein revolutionäres Potenzial
- Industrie 4.0 – Digitale Geschäftsmodelle
- Industrie 4.0 – Standardisierung
- Industrie 4.0 – Risiken und IT-Sicherheit
Über den Autor: Sabine Roeb-Vollmer und Andreas Altena
Sabine Roeb-Vollmer, Partnerin der Altena-TCS GmbH, selbstständig seit 1991, ist als Beraterin und DQS-Senior-Auditleiterin spezialisiert auf die Implementierung und Weiterentwicklung von Managementsystemen für Qualität, Informationssicherheit und Service Management. Sie war bereits in zahlreichen multinationalen Konzernen erfolgreich tätig, unterstützt aber auch gerne kleine und mittelständische Unternehmen bei deren Zertifizierungsvorbereitungen. Als systemischer Business- und Management-Coach für Führungskräfte, Projektmanager und Nachwuchsführungskräfte begleitet sie Menschen in Einzelcoachings. Als Coach ist sie Sparringspartnerin ihrer Klienten und unterstützt die persönliche Weiterentwicklung im Sinne von verbesserter Selbstreflexion und Leistungssteigerung und hilft bei der Lösung von Konflikten im beruflichen und privaten Kontext.
Andreas Altena, IT-Kaufmann und Betriebswirt, ist Geschäftsführer der Altena-TCS GmbH. Seine Kernkompetenzen sind Qualitäts-, Informationssicherheit-, Datenschutz- und (IT-)Service-Managementsysteme sowie Service Excellence. Über seine geschäftsführende Tätigkeit hinaus begutachtet er seit 2007 als DQS-Senior-Auditleiter Managementsysteme in den genannten Bereichen. Seit 2012 arbeitet er als Trainer und Experte für die DGQ-Weiterbildung in den Bereichen Qualitätsmanagement, Informationssicherheit und Auditorenausbildung. Er ist Autor und Mitautor von verschiedenen Veröffentlichungen rund um die Themen Managementsysteme, Risikomanagement und Informationssicherheit. Zu Themen des Datenschutzes und der Datensicherheit ist er ein gern gefragter Experte des regionalen Fernsehens.