Industrie 4.0

Brauchen Fertigungsunternehmen einen Sicherheitschef?

06.06.2016
Von 


Markus Härtner ist Vice President DACH (Deutschland, Österreich und Schweiz) bei Symantec. Er verfügt über langjährige Erfahrung im Bereich Anwendungssicherheit, Unternehmensnetzwerke und Telekommunikation. Bevor Härtner zu Symantec kam, war er bei namhaften Unternehmen, unter anderem bein NCR, F5 Networks, Avaya, Cisco und Rohde & Schwarz, tätig.
Industrie 4.0 ist der Schlüssel zu neuen Geschäftsmodellen, die Erfolg und Wettbewerbsfähigkeit der deutschen Wirtschaft nachhaltig gewährleisten sollen. Doch trotz aller Mehrwerte gibt es einige wichtige Dinge zu beachten. Eine der Top-Prioritäten ist dabei, wie Unternehmen mit der neuen Bedrohungslage umgehen werden, die durch umfassende Vernetzung entsteht.
Aufgabe eines CSO ist es, die Aktivitäten zu koordinieren, mögliche Lücken in der Sicherheitskonzeption zu erkennen und mit Hilfe von internen und externen Experten zu beheben.
Aufgabe eines CSO ist es, die Aktivitäten zu koordinieren, mögliche Lücken in der Sicherheitskonzeption zu erkennen und mit Hilfe von internen und externen Experten zu beheben.
Foto: Shutterstock.com - genkur

Die mittelständische Fertigungsindustrie spielt für die deutsche Wirtschaft bekanntermaßen durch Spitzenqualität, Zuverlässigkeit und hohe Effizienz eine herausragende Rolle. Im Zuge der umfassenden Vernetzung durch das Internet der Dinge (Internet of Things, IoT) eröffnen sich neue Möglichkeiten, um neue Geschäftsfelder und Märkte zu adressieren. Mehr Effizienz, hohe Geschwindigkeit und Flexibilität zur Erfüllung individueller Anforderungen sind heute gefragt. Entsprechend müssen sich deutsche Mittelständler umstellen, dann können sie das hohe Wertschöpfungspotenzial von IoT nutzen, das laut einer Studie von Cisco etwa 700 Milliarden Euro in Deutschland beträgt.

Datenaustausch und Kommunikation zwischen Maschinen ist nichts Neues, auch die Computer-basierte Steuerung von Maschinen hat vor langer Zeit in die Produktionsstraße Einzug gehalten. In der Regel waren und sind diese Produktionsbereiche getrennt von Office-IT und Internet. Mit Industrie 4.0 und der Vernetzung von Office-IT und Manufacturing Floor entstehen neue, optimierte Geschäftsprozesse, die es erlauben, mit Kunden, Partnern und Zulieferfirmen eng zu kooperieren. Die Automatisierung von Prozessen über den eigentlichen Produktionsbereich hinaus wird helfen, neue Geschäftsmodelle entstehen zu lassen, die Innovationen und neue Produkte schneller in den Markt bringen als dies bis dato möglich war.

Mit der Vernetzung drohen neue Gefahren

Neben vielen Vorteilen der Vernetzung von Office-IT, Internet, Produktionsbereichen, Fahrzeugen und dem Manufacturing Floor birgt Industrie 4.0/IoT aber auch Gefahren. Cyberattacken bedrohen nun Bereiche, die bislang isoliert betrieben wurden, in der Internet-Welt jedoch an der Tagesordnung sind. Zum Beispiel können DDOS-Angriffe für wenig Geld selbst von Laien ausgeführt werden und mit geringem Aufwand große Auswirkungen haben, etwa ganze Produktionsstraßen - also automatisierte Prozessablaufe über Firmen hinweg - lahm legen. Die Folgekosten gehen dann schnell in die Millionen.

Doch nicht nur die Fertigung ist im Zuge des Internets der Dinge von solchen Gefahren betroffen. Vernetzte Baukräne lassen eventuell die Ladung fallen, Ampelschaltungen funktionieren nicht mehr oder Notfallzentren sind nicht mehr erreichbar und so weiter. Die Auswirkungen halten somit Einzug in unser tägliches Leben.

Entsprechend müssen Unternehmen ihre vernetzten Infrastrukturen in vollem Umfang absichern. Vor allem in den Produktionsumgebungen ist dies oft vernachlässigt worden. So sieht man veraltete Betriebssysteme auf den Steuerungscomputern, die zwar funktionieren, um die Anwendungen zu betreiben, aber seit langem keine Sicherheits-Updates mehr erhalten haben. Ganz zu schweigen von fehlenden Sicherheitslösungen, welche die Anwendungen und Netze vor Attacken schützen sollten.

Zeit für einen Chief Security Officer

Unternehmen müssen daher die Sicherheit ihrer Infrastrukturen mit einem ganzheitlichen Ansatz prüfen. Dazu reicht nicht nur eine enge Zusammenarbeit der bestehenden Abteilungen. Denn Unklarheiten über die Kompetenzen, mangelnde Strukturierung oder fehlendes Know-how zu den Sicherheitssystemen behindern häufig eine effiziente und umfassende Lösung. Entsprechend muss eine zentrale Stelle die Aktivitäten koordinieren, mögliche Lücken in der Sicherheitskonzeption erkennen und mit Hilfe von internen und externen Experten beheben. Dafür bietet sich ein CSO (Chief Security Officer) an, der den umfassenden Überblick über die Gefahren und Sicherheitsansätze für die genutzten Systeme behält.

Ein solcher CSO steht jedoch häufig gleich zu Beginn vor erheblichen Problemen. Denn die anfängliche Statusanalyse zeigt häufig, dass die installierten Sicherheitsarchitekturen zu einem Sammelsurium von Maschinen und Technologien verschiedener Hersteller im Unternehmen geführt haben. Dies erschwert es, eine transparente, kontrollierbare Sicherheits-Policy zu entwickeln und zu implementieren. Zudem ist in vielen Firmen eine Schatten-IT entstanden, in der Benutzer und sogar ganze Abteilungen Cloud-Lösungen, mobile Anwendungen und eigene Endgeräte nutzen. Ein Sicherheitskonzept weit über die Unternehmensgrenzen hinweg zu erstellen, kombiniert mit IoT und der Integration von Kunden und Partnern, stellt eine riesige Herausforderung für den CSO dar.

Moderne Sicherheitskonzepte, die Netze, Anwendungen, Daten, Nutzer und Endgeräte schützen, müssen in der Lage sein, Identitäten zu überprüfen, Verhaltensprofile zu analysieren und dynamische Regeln anzuwenden. Zudem sind Applikationen zu schützen, egal wo diese physikalisch beheimatet sind, Analysen des gesamten Datenverkehrs zur Verfügung zu stellen und so weiter. Durch die zunehmende Ende-zu-Ende-Verschlüsselung des Datenverkehrs sollten die neuen Sicherheitslösungen auch in der Lage sein, diese Kommunikation zu überwachen. Um diese neuen Konzepte zu entwickeln und umzusetzen, müssen alle Beteiligten an einem Strang ziehen. Daher ist Sicherheit Chef-Sache.

Fazit: Die Sicherheit nicht außer Acht lassen

Das Internet der Dinge bringt viele Chancen und Vorteile für Länder, Firmen und Menschen, aber wie so oft bei revolutionären Ideen und Innovationen dürfen fundamentale Dinge, wie in diesem Fall die Sicherheit, nicht außer Acht gelassen werden. Eine umfassende Sicherheitsarchitektur hat neben rein technischen Lösungen wie Firewall oder Antivirus sowie automatische Updates auch ein strenges Identifizierungs- und Authentifizierungssystem sowie eine lückenlose Verschlüsselung sensibler Daten zu umfassen.

Die Identitäten sind nicht nur für Personen, sondern auch für Maschinen und Geräte einzuführen. Diese sollten nur auf Daten und Anwendungen zugreifen können, die sie wirklich benötigen, und auch nur bestimmte und zugewiesene Funktionen ausführen dürfen. Zudem muss die Verschlüsselung sensibler Daten sowohl auf dem Gerät als auch während des Transports gewährleistet sein.

Der CSO bekommt durch die fortschreitende Digitalisierung und umfassende Vernetzung von Systemen und Prozessen eine wichtige Rolle in der Unternehmensführung. Denn Risiko- und Compliance-Management sind unabdingbar, wenn Fertigungsunternehmen vom Versprechen profitieren möchten, das IoT und Industrie 4.0 mit sich bringen. (mb)