Industrie 4.0 – Risiken und IT-Sicherheit20 | 04 | 16

Industrie 4.0

Andreas Altena und Sabine Roeb-Vollmer veröffentlichten im Herbst 2015 gemeinsam ein Whitepaper mit dem Titel „Sichere IT-Systeme und sichere Kommunikation: zwei neuralgische Herausforderungen für Industrie 4.0“. Im DGQ Blog nehmen wir das Thema genauer unter die Lupe. Es geht es um Begrifflichkeiten, Ziele und Herausforderungen im Kontext von Industrie 4.0, aber vor allem sollen zentrale Aspekte zur Qualitätssicherung, Standardisierung und Informationssicherheit vorgestellt werden.

Im Blogbeitrag der vergangenen Woche wurde die Standardisierung von Industrie 4.0 thematisiert.
Diese Woche geht es um die möglichen Risiken und IT-Sicherheit im Zusammenhang mit Industrie 4.0.

Sicherheit gegen IT-Angriffe

In der Industrie 4.0 müssen IT-Sicherheitsaspekte an Bedeutung gewinnen. Anlagen und Produkte, aber auch Daten und Know-how müssen verlässlich vor unbefugtem Zugriff und Missbrauch geschützt werden. Unternehmen gegen IT-Angriffe sichern! Das wird eine der zentralen Herausforderungen sein, deren akzeptable Lösung mit über den Erfolg von Industrie 4.0 entscheidet.

Bedrohungsszenarien

Die häufig im Einsatz befindlichen SCADA-Systeme (Supervisory control and data acquisition) sind die Schnittstelle zwischen den Host-Systemen und den ICS-Netzwerken. Sie überwachen und kontrollieren die ICS-Komponenten. Bis dato waren diese SCADA-Systeme auf proprietären Plattformen angesiedelt, mit einer eigenen Kommunikationsinfra­struktur und ohne Internetanschluss. In Hinblick auf Industrie 4.0 streben IT-Spezialisten nun für solche Systeme eine übergreifende (Internet-) Vernetzung an, damit werden sie zukünftig aber auch den klassischen Gefahren der IT-Sicherheit ausgesetzt. Die einstigen Entwickler konnten dies jedoch nicht vorhersehen und so sind diese Systeme nie dafür ausgelegt und die oben dargestellten Bedrohungsszenarien nie betrachtet worden.

Hinzu kommt, dass bei der Steuerung von kompletten Fertigungsanlagen die Werte von Sensoren in Echtzeit vorliegen müssen; denn bei Störungen (z. B. Virenbefall) kann die Anlage meist nicht einfach so vom Netz genommen werden, ohne die Betriebssicherheit zu gefährden (z. B. Chemieindustrie, Kraftwerke). Wie ein solcher Störfall aussehen könnte, zeigte bereits vor einigen Jahren das Beispiel des erfolgreich in iranische Atomanlagen eingeschleusten Virus „Stuxnet“: Die Uranzentrifugen kamen sehr schnell in den roten Drehzahlbereich. Genutzt hatte Stuxnet übrigens Sicherheitslücken in den Steuerungssystemen von Siemens (Simatic S7).

Auslösung der Insellösungen

Doch trotz der potenziellen Bedrohungen oder solcher beispielhaft genannten Vorfälle sind die Automatisierungs-, Prozesssteuerungs- und Prozessleitsysteme derzeit immer noch nicht im Fokus der IT-Sicherheit. Das muss sich für Industrie 4.0 grundlegend ändern!

Durch die Auflösung der „Insellösungen“ und der starken Vernetzung mit einer Vielzahl von anderen Systemen, einschließlich der Office-Umgebung, ergeben sich auch neue Anforderungen an die Netzwerkumgebung. Nicht nur die Verfügbarkeit des Netzwerkes, sondern ebenso die Netzwerksegmentierung als Schutzmaßnahme müssen Unternehmen in Betracht ziehen. Zugriffsberechtigungskonzepte, Authentifizierungsverfahren, Verwendung von sicheren Netzprotokollen, um nur einige Beispiele zu nennen, sind zu definieren und umzusetzen.

Nächsten Mittwoch im DGQ Blog

Im Blogpost der kommenden Woche widmen sich die Autoren vertiefend Konzepten und Ansätzen, um den gestiegenen Sicherheitsanforderungen zu begegnen. Wir freuen uns wenn Sie wieder vorbei schauen!

Haben Sie einen Post zur Serie Industrie 4.0 verpasst? Alle bereits veröffentlichten Artikel zum Thema finden Sie hier:

Über den Autor: Sabine Roeb-Vollmer und Andreas Altena

Sabine Roeb-Vollmer, Partnerin der Altena-TCS GmbH, selbstständig seit 1991, ist als Beraterin und DQS-Senior-Auditleiterin spezialisiert auf die Implementierung und Weiterentwicklung von Managementsystemen für Qualität, Informationssicherheit und Service Management. Sie war bereits in zahlreichen multinationalen Konzernen erfolgreich tätig, unterstützt aber auch gerne kleine und mittelständische Unternehmen bei deren Zertifizierungsvorbereitungen. Als systemischer Business- und Management-Coach für Führungskräfte, Projektmanager und Nachwuchsführungskräfte begleitet sie Menschen in Einzelcoachings. Als Coach ist sie Sparringspartnerin ihrer Klienten und unterstützt die persönliche Weiterentwicklung im Sinne von verbesserter Selbstreflexion und Leistungssteigerung und hilft bei der Lösung von Konflikten im beruflichen und privaten Kontext.

Andreas Altena, IT-Kaufmann und Betriebswirt, ist Geschäftsführer der Altena-TCS GmbH. Seine Kernkompetenzen sind Qualitäts-, Informationssicherheit-, Datenschutz- und (IT-)Service-Managementsysteme sowie Service Excellence. Über seine geschäftsführende Tätigkeit hinaus begutachtet er seit 2007 als DQS-Senior-Auditleiter Managementsysteme in den genannten Bereichen. Seit 2012 arbeitet er als Trainer und Experte für die DGQ-Weiterbildung in den Bereichen Qualitätsmanagement, Informationssicherheit und Auditorenausbildung. Er ist Autor und Mitautor von verschiedenen Veröffentlichungen rund um die Themen Managementsysteme, Risikomanagement und Informationssicherheit. Zu Themen des Datenschutzes und der Datensicherheit ist er ein gern gefragter Experte des regionalen Fernsehens.