Industrie 4.0 sicher meistern

Schlagworte wie Industrial Internet of Things (IIoT), Industrial Control System (ICS) oder SCADA-Systeme sind nur ein paar Begriffe, die Teilbereiche der vernetzten Produktion respektive Industrie 4.0 betreffen. Experten schätzen, dass schon in wenigen Jahren acht von zehn Schweizer Unternehmen (I)IoT-Komponenten im Einsatz haben werden. Damit vernetzt die Konnektivität Business-Bereiche, welche bislang voneinander unabhängig waren. In der Vergangenheit wurden Produktionsumgebungen in der Regel als Offline-Insellösung geplant und realisiert. Viele dieser Insellösungen werden nun «modernisiert» und auf digitale Kommunikation getrimmt. Das Thema Sicherheit wird dabei in den seltensten Fällen ausreichend betrachtet. Grund dafür sind nicht nur die Vorteile der digitalen Integration, sondern auch die Sorge um Wettbewerbsfähigkeit und bestehende Investitionen in Produktionsanlagen. Leider ist bis heute kein digitales System absolut sicher – insbesondere nicht Maschinen und Steuerungen, die eigentlich nicht für eine Kommunikation mit Systemen ausserhalb gedacht und entwickelt wurden. Dadurch steigt aber auch die Gefahr, dass genau solche Systeme manipuliert werden¹. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Trotzdem finden grundlegende Sicherheitsprinzipien, die man schon seit Jahren als Best Practice in der traditionellen IT erachtet, oft den Weg nicht in den Entwicklungs- und Maintenance-Zyklus von IIoT-Systemen.

Vertrauen ist bei Industrie 4.0 entscheidend

Security und Safety werden oftmals immer noch als voneinander getrennte Welten betrachtet, was zu Ungleichgewichten führt. Während für die Safety klare Richtlinien gelten und aufwendige Assessments durchgeführt werden müssen, wird das Thema Security stark vernachlässigt. Mit IIoT entwickeln sich die Produktionsumgebungen jedoch in eine offene «OT-Welt» (Operational Technology), in der kritische Systeme nicht mehr isoliert sind. Und so ergeben sich auf einmal neue Fragen:

1. Wie schützt man die vernetzten Maschinen vor Zugriffen von Dritten?
2. Welche Daten will man unbedingt im Unternehmen behalten?
3. Welche Daten teilt man mit Geschäftspartnern?
4. Welche Daten werden womöglich komplett veröffentlicht?

Mit Industrie 4.0 wird der Erfolg von der Sicherheit abhängig. Denn nur wer das Vertrauen von Kunden und Partnern in Sicherheits- und auch Datenschutzfragen geniesst, kann erfolgreich agieren. Kunden sind diesbezüglich deutlich affiner als noch vor einigen Jahren.

Sicherheit mit System, Verantwortung und Kompetenz

Cyber-Security sollte deshalb oben auf jeder Agenda stehen – und das nicht erst, wenn etwas schiefgegangen ist. Wer sich mit IIoT und Industrie 4.0 beschäftigt, muss sich zwingend auch mit dem Thema Sicherheit auseinandersetzen. Internationale Standards (z.B. die ISO/IEC 270xx-Reihe oder das Cyber-Security-Framework des National Institute of Standards and Technology) bieten anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung auf Basis eines Informationssicherheits-Management-Systems (ISMS). Soll im Zusammenhang mit ­Industrie 4.0 ein ISMS etabliert werden, ist ein ganzheitlicher Ansatz erforderlich, der die traditionelle IT-Landschaft, die Entwicklung und die Produktions-IT umfasst. Nur so können die Ziele der Informationssicherheit erreicht, das Unternehmensrisiko minimiert und regulatorische Anforderungen erfüllt werden.

Die Umsetzung eines ISMS erfordert die Definition von Rollen und Zuständigkeiten. Ein CISO ist dabei für die Fragen rund um die Informationssicherheit zuständig. Ebenso übernimmt er die Governance-Funktion über Unternehmensbereiche hinweg. Er verantwortet, gestaltet und steuert die Security in der klassischen als auch in der Entwicklungs- und Produktions-IT. Diese Funktion muss entsprechend organisatorisch eingebunden und mit den notwendigen Kompetenzen ausgestattet werden. Last but not least spielt der Mensch bei der ganzheitlichen Etablierung von Sicherheit eine mitentscheidende Rolle. Entsprechend müssen alle Mitarbeitenden sensibilisiert und geschult werden.

Unternehmensübergreifendes Sicherheitsverständnis

Dies alleine reicht aber nicht aus. Für die Sicherheit und ein nachhaltiges Risikomanagement in der Industrie 4.0 ist es unabdingbar, dass ein Unternehmen die kritischen und schützenswerten Assets kennt. Dazu gehören beispielsweise Anlagen und Maschinen, Produktionsprozesse und -verfahren oder Daten über Fertigungs­parameter, Rezepturen und Prozess-Know-how. Diese sind entsprechend zu dokumentieren und in regelmässigen Abständen zu aktualisieren. Dabei gilt es, die möglichen Bedrohungen und Zusammenhänge für die einzelnen Assets aufzuzeigen. Anhand der Eintrittswahrscheinlichkeit und dem zu erwartenden Schadensausmass werden die Kritikalität und der Schutzbedarf sowie die Massnahmen abgeleitet. Im Kontext von Industrie 4.0 braucht es hierzu ein unternehmensübergreifendes Verständnis und eine einheitliche Klassifizierung der Daten. Nur so können über die Unternehmensgrenze hinweg die Sicherheit garantiert und Missverständnisse beseitigt werden.

Segmentieren, identifizieren und authentisieren

Technologisch liegt ein Schlüssel der Sicherheit in einer geeigneten Authentisierung, Architektur und der Zonierung bei Industrie 4.0-Netzwerken. Die Segmentierung in der IT und Produktions-IT beschreibt häufig eine vertikale Trennung. Anlagen-Subnetze lassen sich dagegen auch horizontal trennen. Zonen ähnlichen Schutzbedarfs müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Dabei gilt es, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und so die Daten und Anlagen dank der Segmentierung der Umgebungen, Datenströme und Betriebsprozesse zu schützen sowie gleichzeitig die Zonenübergänge zu überwachen.

Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder am Wertschöpfungsnetzwerk beteiligte Kommunika­tionspartner benötigt eine für seinen Verwendungszweck geeignete (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls eine Authentifizierung erlaubt. In der IT ist Identitätsmanagement heute bereits gängige Praxis. Dieses Identitätsmanagement muss auf die Produktion ausgeweitet und über die Unternehmensgrenzen hinaus gewährleistet werden. Denn nur so lässt sich die Sicherheit in der hochvernetzten Systemlandschaft der Industrie 4.0 gewährleisten. Sowohl bei der Segmentierung als auch beim Identitätsmanagement muss das Rad nicht neu erfunden werden. Es gilt auch hier, sich an den bewährten Best-Practice-Ansätzen zu orientieren und diese zu adaptieren.

Lieferanten und Partner in der Wertschöpfungskette

In der Industrie 4.0 und in der traditionellen IT-Landschaft müssen sämtliche Hardware- und Softwarekomponenten inventarisiert und dokumentiert werden. Auf dieser Basis können dann Regeln zur Einbringung von Softwareupdates oder neuer Software- und Hardwarekomponenten aufgestellt werden. Hierbei empfiehlt es sich, gegenüber den Lieferanten klare Sicherheitsvorgaben zu stellen und ein gezieltes Supplier Risk Management aufzubauen. Denn Sicherheitslücken in der Wertschöpfungskette können schnell zu einem Sicherheitsrisiko für alle beteiligten Parteien werden. Gleichzeitig sollten nicht genutzte Dienste und Funktionen von Hard- und Softwarekomponenten deaktiviert und so gehärtet werden. Lieferanten sollten deshalb eine entsprechende Dokumentation für die gelieferten Komponenten und der implementierten Sicherheitsmechanismen zur Verfügung zu stellen. Vor der Inbetriebnahme sollten ausserdem neue Systeme getestet und beispielsweise mit einem Penetration-Test überprüft werden.

IIoT-Sicherheit ist keine einmalige Angelegenheit, da sich die Risikosituation stetig ändert. Unternehmen müssen kontinuierlich die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv, unter Berücksichtigung von neuen Bedrohungen und Schwachstellen, optimieren und kontinuierlich verbessern. Wichtige Elemente einer Security Governance beinhalten deshalb Risk-Assessments, organisatorische Audits, System-Security-Testing, Penetration-Tests und Vulnerability-Scans. Gleichzeitig sollten Unternehmen jederzeit in der Lage sein, Sicherheitsvorkommnisse zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren.

Für die Wiederherstellung sind spezifische Notfallkonzepte erforderlich, wie beispielsweise Ausfall von Hardwarekomponenten, veränderte Daten aufgrund von externen Einflüssen, Cyberattacken oder «nur» ein Stromausfall. Dieses schliesst auch ein regelmässiges Backup der relevanten Daten und Programme für die produktionsrelevanten Teile mit ein. Sicherheit ist also kein Thema, dem man sich irgendwann hinterher widmet – womöglich erst, wenn ein Vorfall eingetreten ist. Wer sich mit Industrie 4.0 beschäftigt, muss sich zwingend auch mit Cyber-Security auseinandersetzen. Denn nur so kann das Vertrauen über die Unternehmensgrenzen hinweg bei allen beteiligten Parteien aufgebaut werden.

1 Bericht von Melani

Autor

Markus Limacher

Head of Security Consulting, InfoGuard AG