Leitfaden der Plattform Industrie 4.0

Darauf müssen Sie in Sachen Security bei Industrie 4.0 achten

01.05.2017
Von 
Leiter AG „Sicherheit vernetzter Systeme“ bei der Plattform Industrie 4.0 und Director Projekt Industrie 4.0@Bosch.
In den unternehmensübergreifenden Wertschöpfungsnetzwerken der Industrie 4.0 stellt sich die Frage der IT-Sicherheit neu. Welche Daten stellt man Lieferanten oder Kunden zur Verfügung und wie sicher sind die eigenen Daten? Die Experten der Plattform Industrie 4.0 geben einige zentrale Tipps.
Mit Industrie 4.0 entsteht eine vernetzte Wertschöpfungskette, die neue Security-Fragen aufwirft.
Mit Industrie 4.0 entsteht eine vernetzte Wertschöpfungskette, die neue Security-Fragen aufwirft.
Foto: Bosch

Wie schützt man die vernetzten Maschinen vor Zugriffen Dritter? Welche Daten müssen unbedingt im Unternehmen bleiben? Welche Daten teilt man mit Geschäftspartnern? Welche Daten werden womöglich komplett veröffentlicht? Mit der Industrie 4.0 wird die IT-Sicherheit zu einer der Voraussetzungen für den Erfolg. Denn nur wer Vertrauen in Sicherheitsfragen genießt, kann Kooperationspartner für die unternehmensübergreifenden Wertschöpfungsketten gewinnen.

Die Experten der Plattform Industrie 4.0 haben hierzu einen Leitfaden für Betreiber erarbeitet. Die Plattform Industrie 4.0 ist das zentrale Netzwerk in Deutschland, um die digitale Transformation zur Industrie 4.0 voranzubringen. Im Schulterschluss zwischen Politik, Wirtschaft, Wissenschaft, Verbänden und Gewerkschaften entwickelt und koordiniert sie Informations- und Vernetzungsservices, die Industrie 4.0-Lösungen bei Unternehmen bekannt machen und in die Fläche tragen. Die Plattform wird von Bundeswirtschaftsministerium und Bundesforschungsministerium gesteuert und geleitet. In dem Leitfaden "IT-Security in der Industrie 4.0" geben Experten der Plattform praktische Handlungsanleitungen für eine sichere digitalisierte Produktion. Einige der zentralen Empfehlungen des Leitfadens stellen wir ihnen im Folgenden vor.

Informationssicherheits-Management-Systems (ISMS)

Qualitäts-Management-Systeme nach ISO 9000 sind in Unternehmen zur Sicherstellung der geforderten Qualitätsanforderungen und -merkmale heute gängige Praxis. Dabei ist ein Informationssicherheits-Management-System (ISMS) eine Unterstützung für das Management, um die Ziele der Informationssicherheit erreichen zu können, das Unternehmensrisiko zu minimieren und regulatorische Anforderungen zu erfüllen. Soll im Zusammenhang mit Industrie 4.0 ein ISMS etabliert werden, ist ein ganzheitlicher Ansatz erforderlich, der die Office-IT, die Produktentwicklung und die Produktions-IT mit beinhaltet. Bereits vorhandene ISMS müssen dahingehend erweitert und ergänzt werden.

Ein Informations-Sicherheits-Management-System sollte sich aus vier Komponenten zusammensetzen.
Ein Informations-Sicherheits-Management-System sollte sich aus vier Komponenten zusammensetzen.
Foto: Plattform Industrie 4.0

Ein ISMS, wie es der BSI-Standard 100-1 beschreibt, setzt sich aus den vier Komponenten Sicherheitsprozess, Ressourcen, Mitarbeiter und Management-Prinzipien zusammen. Dabei ist der Sicherheitsprozess ein zentrales Element des Management-Systems. Er ist als zyklischer Prozess nach dem PDCA-Modell (Plan, Do, Check, Act) zu verstehen.

Der ganzheitliche Ansatz von Industrie 4.0 erfordert zudem die Einbeziehung aller Unternehmensteile in den Sicherheitsprozess. Diesen Prozess zu initiieren ist Aufgabe der Unternehmensleitung. Ebenso verbleibt die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung (und damit für die Informationssicherheit) bei der Leitungsebene - ungeachtet, ob sie an nachgelagerte Führungsebenen delegiert wird.

Die Umsetzung eines ISMS erfordert die klare Festlegung von Rollen und Zuständigkeiten. Empfohlen wird die Einsetzung eines "Chief (Information) Security Officer (C(I)SO)". Er ist Zuständigkeit für alle Fragen rund um die Informationssicherheit und Governance-Funktion für alle Unternehmensbereiche, um das bisherige - oft vorhandene - Silodenken zu überwinden. Unterstützung erhält der CISO von einem mit den notwendigen Ressourcen ausgestatteten interdisziplinären IT-Sicherheitsteams. Neu im Zusammenhang mit Industrie 4.0 ist der Industrial Security Officer. Er steht parallel zu einem IT-Security-Verantwortlichen für die Office-IT und einem Produkt Security Officer. Gemäß seinem definierten Anforderungsprofil ist er ein "Kümmerer", der die Security in der Produktion verantwortet, gestaltet und standortweit steuert. Diese Funktion muss entsprechend organisatorisch eingebunden und mit den notwendigen Kompetenzen ausgestattet werden.

Bei der Durchsetzung eines Industrie-4.0-Sicherheitskonzepts bedarf es einer klaren Rollenverteilung.
Bei der Durchsetzung eines Industrie-4.0-Sicherheitskonzepts bedarf es einer klaren Rollenverteilung.
Foto: Plattform Industrie 4.0

Last but not least spielt der Mensch bei der ganzheitlichen Durchsetzung von IT-Sicherheit eine elementare Rolle. Er ist Teil der Organisation und Ausführender von Prozessen. Entsprechend der Rolle und der Aufgabe müssen Grundlagen von Informationstechnologie und Informationssicherheit unternehmensweit geschult werden. Ziel ist dabei, die Fähigkeiten der unterschiedlichen Organisationsteile auf ein einheitliches Befähigungsniveau zu heben und den Befähigungsgrad der Organisation kontinuierlich zu verbessern.

Risiko-Management

Die Kenntnis und Dokumentation der kritischen und schützenswerten Assets ist auch in der Produktion (wie etwa Anlagen und Maschinen, Produktionsprozess-Informationen, Daten über Fertigungsparameter, Rezepturen, Prozess Know-how) für ein nachhaltiges Risiko-Management notwendig. Nach der dokumentierten Bestandsaufnahme sind die Verantwortlichkeiten zu benennen. In regelmäßigen Abständen ist die Bestandsaufnahme zu aktualisieren. Tabellarisch können für ein Asset beispielhaft die möglichen Bedrohungen und deren Zusammenhänge aufgezeigt werden. Für die Eintrittswahrscheinlichkeit, das erwartete Schadensausmaß und den Risiko-Level kann etwa jeweils eine dreistufige Skala genutzt werden.

Grundlegende Informationen zur Verwaltung von Assets.
Grundlegende Informationen zur Verwaltung von Assets.
Foto: Plattform Industrie 4.0

Daten - häufig auch als das "Öl des 21. Jahrhunderts" bezeichnet - sind insbesondere bezüglich ihres Wertes beziehungsweise der Sensibilität und der daraus resultierenden Schutzwürdigkeit zu klassifizieren. Im Kontext von Industrie 4.0 wird hier die Forderung nach einer unternehmensübergreifenden und standardisierten Klassifizierung von Daten gestellt, um bezüglich der Klassifizierung interoperabel zu sein und Missverständnissen vorzubeugen. Aus Sicht der Plattform Industrie 4.0 könnte ein einheitliches und einfaches Klassifikationsschema, wie folgt aussehen:

Öffentlich

• Keine Geheimhaltung erforderlich, keine Schutzmaßnahmen,

• Informationen und Dienste sind nicht schützenswert beziehungsweise gewollt öffentlich verfügbar,

• etwa Maschinen-Bewegungsdaten oder Sensordaten, wenn diese unkritisch bei einer Veröffentlichung sind

Vertraulich, Geschäftspartner (neuartig bei Industrie 4.0-Szenarien)

• Mittlere Schutzwürdigkeit;

• Unternehmensübergreifender Informationsaustausch für Industrie 4.0 zwingend erforderlich,

• Sachgemäßer Umgang mit Geschäftsinformationen und Dokumentation der korrekten Behandlung ist grundlegend,

• Gilt beispielsweise für den automatischen Austausch von Produktionsinformationen.

Vertraulich intern

• Höchste Schutzwürdigkeit,

• Daten oder Dienste dürfen Unternehmensgrenzen nicht überschreiten,

• zum Beispiel vertrauliche Produktdaten, Technologiedaten oder noch nicht veröffentlichte Patente.