Security in der Industrie
Ein Überblick zum Thema Industrial Security unter Berücksichtigung der speziellen Anforderungen in der Produktion.
Siemens
Digitale Technologien halten schon seit mehreren Jahren Einzug in die Produktions- und Automatisierungswelt. Früher prägten – zum Teil proprietäre – Feldbusse die Automatisierung. Typische Anwendungen waren meist Insellösungen, deren Möglichkeiten zur Kommunikation beschränkt waren. Transparenz über die Gesamtsituation in der Produktion zu erlangen war mühsam und mit erheblichem, teils manuellem Aufwand, verbunden.
Heute werden standardisierte Netzwerktechnologien und Kommunikationsstandards, wie Ethernet, Profinet und OPC-UA in der Industrie eingesetzt, womit es zu einer immer stärkeren Integration mit den IT-Systemen der Unternehmen kommt. Beispielsweise werden Daten aus den Produktionssystemen in Planungs- oder Kundensysteme zurückgespielt, oder umgekehrt Aufträge digital an die Produktionssysteme durchgereicht. Auch die Anbindung an Dateiserver, Datenbanken, E-Mail- und Messaging-Dienste, Domain Controller, Zeitsynchronisationssysteme und weitere digitale Dienste, die wir aus der IT kennen, werden in der Produktion immer mehr zur Selbstverständlichkeit
Konvergenz IT-Technologien und Produktionstechnologien
Es findet also eine Konvergenz der IT-Technologien mit den Produktionstechnologien statt, was viele Vorteile bringt: etwa mehr geteiltes Know-how, bessere Durchgängigkeit und Integration der Technologien, höherer Grad an Vernetzung, höhere Flexibilität und weniger Abhängigkeiten von Herstellern. Sie bildet also die Basis für die Digitalisierung im Unternehmen. Der damit einhergehende Komfort und ein Mehr an Funktionalität und Möglichkeiten birgt aber auch das Risiko von Cyberangriffen in sich. Mögliche Auswirkungen reichen vom Ausfall der Produktion, dem Verlust von Produktions- oder Engineering Daten, von Unternehmensgeheimnissen (wie Verfahrensdaten) bis hin zum Vertrauensverlust bei den Kunden. Eine mögliche Erpressung – Verlust der Kundendaten – kann das Image des Unternehmens nachhaltig beschädigen.
Es ist daher sinnvoll und notwendig, sich dem Thema Security unter Berücksichtigung der speziellen Anforderungen der Produktion strukturiert zu widmen, um die Risiken zu minimieren. Dieser Artikel soll Ihnen einen Einblick in die Welt der Cyber- Security in der Produktion geben und einen ersten Ansatz bieten, wie Sie sich dem Thema nähern können.
Absolute Sicherheit gibt es nicht
Weder als Hersteller noch als Kunde oder Anwender darf man sich der Illusion einer absoluten Sicherheit hingeben. Bei Cyber-Security geht es vor allem darum, den richtigen Kompromiss zwischen Aufwand und Nutzen zu finden. Fragen, die hier beantwortet werden müssen, sind z. B.: Welches Risiko bin ich bereit zu tragen, welches auf keinen Fall? Was sind die wichtigsten Assets, die ich schützen möchte? Der Schutz von Kundendaten und Betriebsgeheimnissen sowie das Aufrechterhalten der Produktionsfähigkeit stehen hier meist an oberster Stelle.
Aber auch Themen wie Usability spielen in der Umsetzung von Sicherheitsmaßnahmen eine wichtige Rolle, denn eine erfolgreiche Umsetzung wird stark von der Akzeptanz in der Belegschaft beeinflusst. Maßnahmen, die die Mitarbeiter an der Ausführung ihrer täglichen Arbeit behindern, werden von diesen auch nicht mitgetragen und können sich in weiterer Folge als nutzlos, wenn nicht sogar als kontraproduktiv erweisen.
Es ist nicht nur wichtig Maßnahmen zur Verhinderung von Cyberangriffen zu treffen, sondern auch, einen Angriff zu erkennen und eine Vorgehensweise zu definieren, wie man darauf entsprechend reagiert. D. h. für den unangenehmen Fall, dass ein Angreifer es geschafft hat ein System zu kompromittieren, sollten unbedingt Prozesse und Vorgehensweisen definiert sein, um effizient handeln zu können und sich möglichst schadlos zu halten.
