Industrie 4.0: Datensicherheit bekommt Schlüsselrolle

NürnbergMesse stellt Impuls-Beiträge im Vorfeld der „it-sa 2018“ online

[datensicherheit.de, 19.07.2018] IT- bzw. OT-Sicherheit ist eine Grundvoraussetzung für die sogenannte Industrie 4.0. Diese Erkenntnis ist nach Angaben der NürnbergMesse zwar schon in Teilen der Politik angekommen. Jedoch beklagen Fachleute, dass dieses Thema aber immer noch nicht im Management als selbstverständlich gilt. Während in der Office-Welt „IT Security“ fester Bestandteil der IT-Planung ist, gilt dies längst noch nicht für die „OT Security“ in der Fertigung – ein fataler Umstand.

Malware attackiert selbst nicht vernetzte Industrieanlagen

In der im Internet der Dinge und Dienste (engl: Internet of Things / IoT) vernetzten Industrie werden zunehmend IoT-Sensoren eingesetzt, selbst in Geräten, bei denen man es gar nicht erwartet. Doch mit den neuen Möglichkeiten entstehen neue Gefahren. Oftmals geraten mit der Vernetzung Maschinen sogar ungewollt ins Internet – sei es, weil ein Fernwartungszugang für den Hersteller vorhanden ist oder weil dieser Nutzungsstatistiken sammelt. Spätestens dann sind die Geräte angreifbar und es existieren jede Menge Tools, um im Internet danach zu suchen.
Wie zum Beispiel „Stuxnet“ 2010 zeigte, können jedoch selbst bei nicht vernetzten Maschinen Angriffe erfolgen: Etwa über USB-Sticks, die zum Installieren von Updates verwendet werden oder über Laptops, die für Wartungsmaßnahmen angeschlossen werden. „Stuxnet“ drang offenbar über USB-Sticks in iranische Nuklearzentrifugen ein und richtete dort schwere Schäden an.

Organisatorische Trennung zwischen IT und OT schafft Unsicherheit

IT- bzw. OT-Sicherheit ist eine Grundvoraussetzung für die sogenannte Industrie 4.0. Ulrich Nussbaum, Staatssekretär im Bundeswirtschaftsministerium, hat dies nach Angaben der NürnbergMesse kürzlich bei einer Veranstaltung zur Industrie 4.0 hervorgehoben. Doch zugleich beklagen Fachleute, dass das Thema immer noch nicht im Management angekommen ist.
Während in der Office-Welt „IT Security“ fester Bestandteil der IT-Planung ist, gilt dies längst noch nicht für die „OT Security“ in der Fertigung. Das liegt unter anderem daran, dass dort andere Prioritäten und andere Zuständigkeiten gelten. So ist der IT-Sicherheitsbeauftragte eben oftmals nur für Büro-PCs, Internet-Dienste oder das Rechenzentrum zuständig, jedoch nicht für die Produktionsanlagen.
Zudem gibt es praktische Probleme: Während für die Büro-IT Systeme redundant gehalten werden, um Ausfallsicherheit zu gewährleisten, kann in der Produktion nicht einfach eine zweite Fertigungsstraße auf Vorrat installiert werden.

Datensicherheit muss Management-Thema werden!

Permanente Verfügbarkeit steht also im Zentrum der Produktion, weshalb Betriebsstörungen um jeden Preis vermieden werden müssen. Wer sich also um Sicherheitsfragen jedoch keine Gedanken macht, kann schnell in eine unkontrolliert eskalierende Situation geraten.
Gerade für die Industrie 4.0 muss Datensicherheit deshalb zum Management-Thema werden und sollte direkt unterhalb der Geschäftsführung verantwortet werden. Denn es steht viel auf dem Spiel, wenn Angreifer aus der Ferne Produktionsanlagen steuern können.
Sicherheitsvorkehrungen erfordern indes Investitionen und machen Anpassungen der Abläufe notwendig, die nur auf der Ebene des oberen Managements beschlossen werden können: Dazu zählen insbesondere Notfallplanungen sowie -übungen und die Etablierung von Alarmketten. Letztere muss immer wieder aktualisiert werden, denn Telefonnummern ändern sich. Fällt erst bei einer Störung auf, dass jemand nicht erreicht werden kann, kann es ganz schnell zum Notfall kommen.

Weitere Informationen zum Thema:

it-sa Newsroom, 18.07.2018
IT-Sicherheit muss in der Industrie 4.0 Schlüsselrolle spielen

it-sa Newsroom, 18.07.2018
Sicherheitsdefizite in der Industrie 4.0

datensicherheit.de, 11.06.2018
Plattform-Ansatz erforderlich: Sicherheit für die Industrie 4.0

datensicherheit.de, 13.12.20168
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären