Foto: Kaspersky Lab
Das interne Firmennetz wurde früher an die Außenwelt angeschlossen und für Unternehmen entstanden neue Möglichkeiten, aber auch neue Probleme und Fragen. In den letzten 20 Jahren wurden für viele Bereiche praktikable Lösungen entwickelt, wie etwa ein System für Identity und Access Management (IAM) oder für Security Monitoring. Nun muss die Produktion nachziehen - für sie gilt es, Office-IT und Produktion so miteinander zu verbinden, dass Bewährtes übertragen wird und Synergien entstehen.
Um den Traum der Industrie 4.0 wahr werden zu lassen, müssen die physischen und digitalen Grenzen von Entwicklungsabteilung und Produktion verschmelzen. Je weniger Zwischenschritte, desto höher ist am Ende die Marge für Unternehmen.
Neue Sicherheitsanforderungen
Unter Arbeitssicherheit in der Produktion verstand man bisher, einen Helm zu tragen und die Finger von Getrieben fernzuhalten. Mit der Entstehung der "Fabrik der Zukunft" wächst jedoch zusätzlich die Gefahr von außen: Unternehmen müssen nicht mehr nur die interne Sicherheit ihrer Mitarbeiter gewährleisten, sondern außerdem gegen externe Angriffe gewappnet sein.
Denn Industrie 4.0 verspricht zwar standardmäßig Maschinen mit Internetverbindung, begünstigt dadurch aber gleichzeitig Cyberkriminelle, die größtenteils auf Industriespionage aus sind. Der Schaden, der der deutschen Wirtschaft dadurch bereits entsteht, geht in die dreistellige Milliardenhöhe. Doch selbst, wenn es der Hacker "nur" auf Sabotage abgesehen hat, kann gewaltiger Schaden angerichtet werden - etwa, wenn Rückrufaktionen wegen Materialfehler nötig sind.
Eingriff von außen
Einem externen Zugriff auf die Produktion zuzustimmen, kann viele gute Gründe haben. Der Hersteller etwa kann um einiges effizienter unterstützen, indem er Probleme durch einfaches Einloggen löst, statt erst eine längere Anreise in Kauf zu nehmen. Auch Anlagenbetreiber können Interesse an Fernwartung haben, etwa wenn es keine andere praktikable Lösung gibt. Muss bei Offshore-Windanlagen die Software überprüft werden, kann schlecht jedes Mal ein Team mit dem Boot aufs Meer hinaus fahren.
Die Außenwelt wächst hier in die Produktion hinein, und die bisher getrennten Kreise der Office-IT, die auch die Entwicklung beherbergt, und der Produktions-IT wachsen langfristig zusammen. Damit wird deutlich, dass ein erheblicher Teil der Industrie 4.0 in der Kommunikation besteht - von Maschinen untereinander (M2M), aber auch von Mensch und Maschine. Vor allem, wenn diese Kommunikation nicht über ein Display läuft, sondern über das Internet.
Mit den neuen Entwicklungen in der Industrie erhält auch der Produktionssicherheitsbeauftragte neue Aufgaben. Problematisch wird es dann, wenn ihm nun Aufgaben zugewiesen werden, die bisher dem IT-Leiter zufielen - Themen wie Zugriffskontrolle, Security Monitoring, Firewalls, Malware, etc. finden ihren Weg in die Produktionshalle. Die Produktionsabteilung wird vor bisher unbekannte Herausforderungen gestellt. Es gilt also, die Synergie zwischen Produktions-Sicherheit und Office-Sicherheit zu erkennen und zu nutzen, wofür die nötigen Kompetenzen der IT-Manager genutzt werden sollen, die sich auch in der Produktion einsetzen lassen.
Meldung über Missbrauch
Der Entwurf des IT-Sicherheitsgesetz sorgte im letzten Jahr für Aufsehen: Unternehmen, die Opfer von Cyberangriffen geworden sind, sollen registriert werden. Das Gesetzesvorhaben betrifft zwar explizit sogenannte kritische Infrastrukturen, also etwa Krankenhäuser, Verkehrsbetreiber und Energieversorger, jedoch wird dies auch in Produktionsunternehmen im Hinblick auf Werksspionage und Sabotage mehr und mehr sinnvoll.
Eine mögliche Lösung bietet das ebenfalls aus der Office-IT bekannte Security Monitoring: Jede Maschine besitzt dabei seine eigene, eingebaute Sicherheits-Kontrollfunktion, die verdächtige Anwendungen meldet. Nur an wen eigentlich? Wer prüft Meldungen von tausenden Maschinen, die mehr Protokolle als Produkte erzeugen? Hier lohnt sich ein weiteres, nachgelagerten Security Monitoring, das alle Meldungen mit intelligenten und lernfähigen Algorithmen überprüft. Dies ist unterm Strich also nichts anderes als die bekannten Lösungen zum Security Information and Event Management (SIEM), wie sie in der Office-IT seit Jahren erfolgreich eingesetzt werden.
Eine weitere Lösung, die aus der Office-IT übernommen wird, bietet die Verwaltung von Zugriffsrechten und Identitäten (IAM). Im Produktionsumfeld geht es dabei allerdings weniger um die Handhabung von einer Großzahl an verschiedener Identitäten, sondern vielmehr um Berechtigungsvergabe. Da die Anzahl der Befugten meist überschaubar ist, spielen Fragen der Kontrolle die größere Rolle. Nutzer mit besonderen und kritischen Zugriffsrechten stellen immer ein Risiko dar, daher muss die Rechtevergabe hier besonders eingehend geprüft und mit klaren Richtlinien versehen werden.
Fazit
Es lassen sich also einige Lektionen aus der Office-IT lernen, um sie in der Industrial Security anzuwenden. Deutsche Maschinenbauer haben nicht den Ruf, besonders sprunghaft zu sein und gehen daher das Internet der Dinge langsam an - das ist auch gut so, denn so bietet sich die Möglichkeit, aus bestehendem Wissen zu lernen und nicht zweimal die gleiche Lernkurve in Sachen IT-Sicherheit durchlaufen zu müssen.