Industrie 4.0 und IoT: Die Sicherheit kommt noch zu kurz

Ausgeprägtes Sicherheitsbewusstsein und Gesamtstrategie zur Einbeziehung aller Akteure fehlen bisher

Dietmar Schnabel, Digitalisierung, Industrie 4.0, Internet, SCADA, Sicherheit: “Aktuell mangelt es nach Ansicht von Experten im Kontext der Digitalisierung sämtlicher Bereiche der Wirtschaft und Gesellschaft noch an eine Gesamtstrategie, die alle relevanten Akteure miteinbezieht.”

 

[CI4, 15.01.2017] Im Zuge der Digitalisierung sämtlicher Bereiche der Wirtschaft und Gesellschaft wird nahezu jedes Unternehmen mit der Notwendigkeit konfrontiert, sich dem Thema Industrie 4.0 auseinanderzusetzen. Aktuell mangelt es nach Ansicht von Experten aber noch an eine Gesamtstrategie, die alle Akteure miteinbezieht – und die Anzahl der Beteiligten ist hoch.

Schnelligkeit des Wandels mit großem Risiko
Industrie 4.0 beschreibt die Vernetzung über die Grenzen von Unternehmen und Individuen hinaus. Dabei greifen automatische Kommunikationsprozesse von Maschinen ineinander, ohne dass ein menschliches Eingreifen nötig ist,“ erläutert CI4-Clustersprecher Michael Taube.
Produktivität, Komfort und Qualität von Dienstleistungen und Produktion sind durch den technologischen Fortschritt enorm ausbaubar – der Prozess der industriellen Evolution schreitet indes derart schnell voran , dass dieser Wandel gleichzeitig zu großen Herausforderungen an die Sicherheit führt.

Standard-Firewalls und Antivirus-Lösungen nur noch sehr eingeschränkt wirksam
Alte Produktionsumgebungen wurden in der Regel als Offline-Insellösung geplant und gebaut und werden jetzt vermodernisiert: Dabei werden sie im Eiltempo auf digitale Kommunikation getrimmt, das Thema Sicherheit wird aber nicht ausreichend betrachtet, obwohl zumeist die Grundlagen der Security fehlen,“ betont Prof. Thomas Brandstetter vom SANS Institute. Dass bestehende Sicherheits-Tools wie Standard-Firewalls oder Antivirus nur noch sehr eingeschränkt wirksam seien, mache ein Aufrüsten noch schwieriger.
Grund hierfür seien nicht nur die Vorteile durch die Digitale Integration, sondern zum großen Teil die Sorge um Wettbewerbsfähigkeit und bestehende Investitionen in Produktionsanlagen – wer nicht mitzieht, könne nicht mithalten und werde vom Markt gedrängt.

Security und Safety oftmals noch immer als getrennte Welten betrachtet
Diese Veränderung sei auch der Grund, warum operational smarte Geräte nicht immer als Teil der IT gesehen würden – häufig erfolge deren Absicherung noch als „Operation Technology“ (OT) über andere Abteilungen.
Nach Erfahrungen Karl Schrades von PHOENIX CONTACT Cyber Security lässt sich ein solcher Konflikt zwischen den verschiedenen Teams noch regelmäßig im Betriebsalltag erfahren: „Security und Safety werden oftmals immer noch als voneinander getrennte Welten gesehen, was zu entsprechenden Konfliktsituationen führt. Während für Safety klare Richtlinien gelten und aufwändige Assessments gemäß internationalen Standards durchgeführt werden, wird das Thema Security stark vernachlässigt.“
Security müsse nun aber einen weitaus höheren Stellenwert in den Entwicklungs- bzw. Engineering-Prozessen von IACS-Komponenten und -Systemen erhalten und durch entsprechende Assessments regelmäßig evaluiert werden.

Digitale Agenda erfordert Nachhaltigkeit über Wahlperioden hinaus!
Das IT-Sicherheitsgesetz, die „Cybersicherheitsstrategie“ des Bundesinnenministeriums und der Ausbau der Behördenlandschaft sind aktuelle Beispiele für staatliche Aktivitäten im Bereich Cyber-Sicherheit. Die Bundesregierung versucht damit, auf die Entwicklung entsprechend zu reagieren. Momentan fehlt es aber an einem grundlegenden Rahmen, um klare Grenzen und praktisch umsetzbare Ansätze aufzuzeigen.
Die Überarbeitung von Zertifizierungsmaßnahmen sind aktueller Kernaspekt auf der Agenda der Behörden – allerdings stehen die Ergebnisse noch aus. Grundsätzlich sollten unsichere Produkte und Dienstleistungen vom Markt verbannt und wichtige Maßnahmen durch steuerliche Anreize subventioniert werden.
Wirtschaft, Wissenschaft und Politik stehen vor einer Mammutaufgabe, die große Anstrengungen über viele Jahre, ja über mehrere Legislaturperioden hinweg, benötigt.

Sicherheitsproblematik nicht allein technologisch zu lösen
Carsten Pinnow, Herausgeber von „datensicherheit.de“ und Lehrbeauftragter an der HTW Berlin betont, dass sich die Sicherheitsproblematik nicht rein technologisch lösen lässt: „Der Staat steht meistens nur an dritter Stelle. Weite Teile der Kritischen Infrastruktur werden von privaten Anbietern angeboten. Unternehmen und Konsumenten müssen daher ebenfalls miteinbezogen werden.“
Dieser Appell sei für eine erfolgreiche Digitalisierung maßgebend – weshalb die Bürger in jeglicher Position für das Thema IT-Sicherheit sensibilisiert werden müssten. In Bildungseinrichtungen und Unternehmen, aber auch in Vereinen und öffentlichen Institutionen müsse IT-Sicherheit eine Grundlage der Agenda sein.

Einheitliches Gütesiegel für sichere IT gefordert
Ein konkrete Ableitung ist die Forderung, dass in Lehrplänen für Schulen wie auch in Fortbildungen bei Firmen das Thema Cyber-Sicherheit elementarer Bestandteil werden sollte. Zudem sollten alle Produkte mit Bezug zu IT mit einem einheitlichen Gütesiegel durch eine öffentliche Einrichtung signiert werden, dass ihnen eine grundsätzliche Betriebssicherheit bescheinigt.

Solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist noch einiges zu tun,“ unterstreicht Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point Software Technologies.
Die Diskussion um Vernetzung werde momentan in vielen Bereichen geführt. Während größere Organisationen entsprechende Ansätze bereits entwickelt hätten, blieben kleine und mittelständische Unternehmen (KMU) bei der Thematik häufig außen vor. Es mangele an der richtigen Ansprache und praxistauglichen Konzepten für diese Zielgruppe. Aber genau solche Firmen bildeten das Rückgrat der deutschen Wirtschaft und müssten unterstützt werden.

Staat, Bevölkerung und Wirtschaft zur Kooperation aufgerufen!
Erforderlich sind Anlaufstellen für unterschiedliche Branchen, denn die Installation von Smart-Home-Systemen durch Kleinstbetriebe und Smart-Home-Elektriker müssen genauso fit für die Digitalisierung gemacht werden wie Autohersteller mit weltweit mehreren Tausend Angestellten – sie alle sind von den Herausforderungen der Industrie 4.0 betroffen.
Durch die Aktivierung der unterschiedlichen Gruppen kann das Schutzniveau nachhaltig erhöht werden, um Sabotageangriffe, Wirtschaftsspionage oder sogar Terrorangriffe dauerhaft zu unterbinden. Kein digitales System ist heutzutage absolut sicher, zumal nicht solche Maschinen und Steuerungen, deren Kommunikation mit Systemen außerhalb von Produktionsumgebungen noch nicht vorgesehen war. Trotzdem halten Experten einen adäquaten Schutz mit vertretbarem Aufwand für möglich, wenn Staat, Bevölkerung und Wirtschaft zusammenarbeiten.

Digitalisierung: Risiken bedenken und Chancen nutzen!
Grundsätzlich sollte der Digitalisierung optimistisch begegnet werden, aber gleichzeitig immer das Risiko in den eigenen Aktionen bedacht werden.
So ist es immer noch aus Sicht von IT-Sicherheitsexperten zu beobachten, dass die Mehrheit der Finder einen fremden USB-Stick ungeprüft mit ihrem privaten oder dienstlichen PC im Unternehmensnetzwerk verbindet – solange das Bewusstsein für IT-Sicherheit in Organisationen und bei Individuen fehlt und es keine entsprechenden Richtlinien seitens des Staates gibt, ist also noch einiges zu tun.

Weitere Informationen zum Thema:

SearchNetworking.de
Industrie 4.0, IoT und IT-Sicherheit: Was muss geschehen?“ von Dietmar Schnabel
http://www.searchnetworking.de/meinung/Industrie-40-IoT-und-IT-Sicherheit-Was-muss-geschehen

CI4 (1. Art.) – ALLGEMEIN/VERANSTALTUNGSSPIEGEL
[Beitrag v. Dietmar Schnabel]
Beleglink an Ferdinand Kunz <fkunz [at] kafka-kommunikation [dot] de>

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>