Industrie 4.0 ist in aller Munde und vernetzte Fabriken werden früher oder später Realität. Bis dahin ist aber noch einiges zu tun, denn eine dringende Frage, die sich hierbei stellt, ist die nach der IT-Sicherheit. Das Thema ist mittlerweile auch in der Politik angekommen, wie eine Aktion von Bündnis 90/Die Grünen zeigt. Sie hatten Anfang Juni 2013 die Bundesregierung in einer parlamentarischen Anfrage aufgefordert, die Gefährdungslage für vernetzte Industrieanlagen einzuschätzen - denn Hackerangriffe auf solche hat es bereits gegeben.
In der Antwort auf diese Anfrage, die zwar seit 17. Juni vorliegt, bisher in der Öffentlichkeit noch nicht thematisiert wurde, heißt es unter anderem, dass es sich hier ei um ein Problem mit einem bestimmten Produkt handelt: "Es handelt sich hierbei in keiner Weise um einen Einzelfall".
Aber kann die Politik überhaupt dabei helfen, vernetze Industrieanlagen wirksam vor Angriffen zu schützen? Nicht wirklich. Zwar wird das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) hier im Rahmen seiner Möglichkeiten einen aktiven Beitrag leisten, betroffenen Unternehmen konkret helfen kann es aber nicht. Wer ist in der Pflicht, hier Lösungen zu liefern? Die Politik? Die Unternehmen selbst? Oder sollten gar die Technologieanbieter haftbar gemacht werden? Dror-John Röcher, Consultant beim IT-Dienstleister Computacenter und Spezialist für IT-Security, meint: "Jedes Unternehmen muss sich selbst schützen. Mit den richtigen Maßnahmen ist das aber durchaus machbar."
- Industrie 4.0 - auch eine Frage des Rechts
Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten. - 1. Wer handelt im Internet der Dinge?
In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts. - 2. Vertragsabschluss durch Softwareagenten?
Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt. - 3. Unternehmensübergreifende M2M-Systeme brauchen Regeln
Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)? - 4. Offene Fragen zu Logistik, Mobilität und Smart Home
Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle? - 5. Wer haftet in vernetzten Wertschöpfungsketten?
Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen. - 6. Unternehmen müssen Datenschutz im Blick behalten
Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.
ChannelPartner hat bei dem Consultant von Computacenter nachgehakt, und er erklärt nun, wie Unternehmen sich selbst wirksam vor den Industrie 4.0-Gefahren schützen können und was sie hierbei strategisch, technologisch und organisatorisch beachten müssen.
Woher entstehen die Gefahren bei Industrie 4.0?
Bei Industrie 4.0 werden Steuergeräte von Produktionsmaschinen größtenteils über nur leicht angepasste IP-Standards mit der Office-IT vernetzt. So funktionieren die aus der IT bekannten Angriffs- und Spionagemethoden grundsätzlich auch in der Produktion, können aber gravierendere Schäden verursachen, beispielsweise Produktionsausfall oder die Gefährdung von Menschenleben durch manipulierte Maschinen oder Produkte.
Wie kann sich ein Unternehmen davor schützen?
Dazu sind Sicherheitsmaßnahmen an verschiedenen Stellen nötig: bei der Verbindung mit dem Internet, der Vernetzung von Office-IT und Produktionsnetz, auf der Visualisierungs- und Steuerungsebene sowie auf der Feldebene. Die Internetanbindung ist bereits geschützt, doch die Auswirkungen eines erfolgreichen Angriffs sind deutlich größer. So sollten Unternehmen ihre Sicherheitsarchitekturen prüfen und aktualisieren, um mögliche Lücken zu schließen. Im Bereich der Vernetzung von Office-IT und Produktion sind nicht nur alle Schnittstellen mit geeigneten Lösungen abzusichern, sondern auch umfassende Systeme für Identifikations- und Rechte-Management zu installieren.
Welche speziellen Sicherheitsprodukte für Industrie 4.0 gibt es?
Im eigentlichen Bereich von Industrie 4.0 gibt es noch keine standardisierten Sicherheitslösungen. Auf der Visualisierungs- und Steuerungsebene ist die Verwendung spezieller Security-Lösungen von der Freigabe des Herstellers der Produktionsmaschine abhängig. Aber selbst wenn diese vorliegt, werden Sicherheitslösungen nicht immer eingesetzt, denn durch eine hohe CPU- und RAM-Last reduzieren sie die Produktionsgeschwindigkeit. Für die Feldebene der Maschinen existieren noch gar keine ausgearbeiteten Verteidigungsstrategien.
Welche Vorsichtsmaßnahmen sollten ergriffen werden?
Die wohl wichtigste Maßnahme ist das Festlegen der Verantwortlichkeiten. Im Gegensatz zur Office-IT gibt es im Produktivbereich meist keinen Sicherheitsbeauftragten. Diese Position sollte in jedem Werk mit einem erfahrenen Mitarbeiter besetzt werden. Zudem hat ein zentraler Chief Security Officer (CSO) die Gesamtstrategie zu verantworten sowie die Richtlinien für Werke und Niederlassungen vorzugeben. Sind Partner oder Zulieferer an der Produktion beteiligt, müssen diese eingebunden werden. Erst dann sollten Unternehmen konkrete Sicherheitsarchitekturen und -lösungen auswählen sowie diese in einem Referenzprojekt installieren. (rw)