Leitfaden der Plattform Industrie 4.0

Darauf müssen Sie in Sachen Security bei Industrie 4.0 achten

01.05.2017
Von 
Leiter AG „Sicherheit vernetzter Systeme“ bei der Plattform Industrie 4.0 und Director Projekt Industrie 4.0@Bosch.

Notfall-Management und Wiederherstellung

Unabhängig von dem Ereignis, wie beispielsweise defekte Hardwarekomponenten einer Maschine/Anlage, veränderte Daten aufgrund von externen oder internen Einflüssen oder "nur" ein Stromausfall, für die Wiederherstellung ist ein Notfallkonzept erforderlich. Das schließt ein regelmäßiges Backup der relevanten Daten und Programme auch und gerade für die produktionsrelevanten Teile mit ein. Da diese Daten gleichsam das Kern-Know-how einer Firma darstellen, sollten entsprechende Datenträger nur unter höchsten physischen Sicherheitsvorkehrungen erstellt und transportiert werden.

Geräte, Anlagen und Netze segmentieren

Die Segmentierung in Office-IT und Produktions-IT beschreibt eine vertikale Trennung. Anlagen-Subnetze lassen sich dagegen auch horizontal trennen. Zonen ähnlichen Schutzbedarfes müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Um weiterhin zwischen den Zonen zu kommunizieren, sind eventuell vorhandene Übergänge klar zu definieren und entsprechend abzusichern. Eine sorgfältige Erstellung der Zonen mit zugehöriger Identifikation und Absicherung der Informationsflüsse kann Kaskadeneffekten entgegenwirken und ein hohes Sicherheitsniveau auch in der hochvernetzten Systemlandschaft der Industrie 4.0 gewährleisten.

Sicheres Identitäts-Management

Ein essentieller Bestandteil von Industrie 4.0 sind sichere Wertschöpfungsnetzwerke. Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder an dem Wertschöpfungsnetzwerk beteiligter Kommunikationspartner (oft auch als Entität bezeichnet) benötigt eine für seinen Verwendungszweck geeignete (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls eine Authentifizierung (Echtheitsprüfung) erlaubt.

Klassische Security-Lösungen aus der Office-IT eignen sich meist nicht für die Produktion.
Klassische Security-Lösungen aus der Office-IT eignen sich meist nicht für die Produktion.
Foto: Bosch

In der Office-IT ist Identitäts-Management heute bereits gängige Praxis. Menschliche Nutzer, Geräte und Software-Prozesse erhalten eine ihrer Aufgabe und der Rolle entsprechende Berechtigung innerhalb ihrer Organisation. Eingesetzt werden vielfach zertifikatsbasierte Systeme auf Basis einer Public Key Infrastruktur (PKI). Dieses Identitäts-Management muss auf die Produktion ausgeweitet werden. Jeder Kommunikationsteilnehmer benötigt eine seiner Aufgabe und Rolle entsprechende Berechtigung. Die Produktentwicklung für die Automationskomponenten muss die Voraussetzung zur Verwendung von (sicheren) Identitäten schaffen.

Sicherheit von Software in der Produktion

Hardware- und Softwarekomponenten in der Produktion sollten wie andere IT-Komponenten inventarisiert und dokumentiert werden. Auf dieser Basis können dann Regeln zur Einbringung von Softwareupdates und neuer Software- und Hardwarekomponenten aufgestellt werden. Um die Systeme zu härten, sollten zudem alle nicht genutzten Dienste und Funktionen von Hard- und Softwarekomponenten deaktiviert werden. Lieferanten sollten aufgefordert werden, eine entsprechende Dokumentation für die gelieferten Komponenten zur Verfügung zu stellen.

Die in der Office-IT eingesetzten, gängigen Virenscanner eignen sich nur bedingt für den Einsatz in der Produktion. Stattdessen empfiehlt sich der Einsatz von Application-Whitelisting. Im einfachsten Falle bedeutet Whitelisting die Erstellung einer Liste von erlaubten Programmen. Wird eigene Software entwickelt, sollte dies nach den Grundsätzen einer sicheren Softwareentwicklung erfolgen.

IT-Sicherheit beim Kauf von Maschinen und Anlagen

Durch die Erstellung oder Erweiterung von Einkaufsrichtlinien können Vorgaben an die IT-Sicherheit von Maschinen und Anlagen eingeführt und gegenüber dem Lieferanten eingefordert. Dabei ist bei der Anschaffung von neuen Maschinen oder Anlagen schon im Vorfeld darauf zu achten, dass gemeinsam mit dem Lieferanten eine abgestimmte und langfristige Lösung für den sicheren Betrieb der Anlage über den kompletten Lebenszyklus ausgearbeitet und vereinbart wird. Industrieverbände wie ZVEI und VDMA weisen ihre Mitglieder in eigenen Publikationen auf diesen Bedarf hin, und erstellen ihrerseits Forderungen zu mehr IT-Sicherheitskriterien bei der Beschaffung von Modulen oder Bauteilen.

Fazit

Vertrauen ist die Grundlage für Zusammenarbeit über Unternehmensgrenzen hinweg. Um dieses Vertrauen zu erlangen, ist es notwendig, dass die beteiligten Partner ihr Unternehmen im Hinblick auf den Schutz gegen unbekannte Bedrohungen weiterentwickeln. Der vorliegende Artikel zeigt, dass dabei ausgehend von der Analyse der Unternehmenswerte sowohl technische, organisatorische und Prozessaspekte betrachtet werden müssen. Die Einführung von IT-Sicherheit für Industrie 4.0 erfordert eine umfassende Betrachtung und eine ineinandergreifende Entwicklung die einhergeht mit einer entsprechenden Qualifizierung der Organisation. Eine sprunghafte Änderung ist nicht möglich, vielmehr handelt es sich um einen unternehmensspezifischen Prozess, der allerdings jetzt von den Unternehmensverantwortlichen definiert und gestartet werden muss, um zukünftig an den Wertschöpfungsnetzwerken der Industrie 4.0 partizipieren zu können.