Nachgefragt: 8 Experten zum Thema Industrie 4.0 und Security

Industrial Security - so stark wie ihr schwächstes Glied

| Autor / Redakteur: Ines Näther / Ines Stotz

Welche Maßnahmen führen Ihrer Meinung nach zu einer sicheren, vernetzten Produktion? Wie wichtig ist dabei etwa „Security by Design“ – also das Thema von Anfang an mitzudenken?

Sven Goldstein: Es gilt, wie bei der Safety, dass es die 100prozentige Sicherheit nicht gibt. Wenn jedoch nicht nur die Design-Phase, sondern jede Phase des Lebenszyklus in die Security-Maßnahmen einbezogen wird, und jede angreifbare Komponente ertüchtigt wird, kann das Schadensausmaß stark reduziert werden. Es gibt in einzelnen Bereichen schon sehr gute Ansätze bzw. Maßnahmen, welche zu einer erhöhten Security im Produktionsumfeld führen können. Von Secure-Boot über Hardening-Mechanismen des Betriebssystems bis hin in den Kommunikationsbereich, wo der IEC-Standard OPC-UA bereits im Protokoll verankerte Security-Maßnahmen unterstützt und damit einen standardisierten Datenaustausch auf vertikaler und horizontaler Ebene, vom Sensor bis in die IT-Enterprise-Welt ermöglicht.

David Heinze: Die Absicherung der Produktion im Sinne der Industrial Security ist heute schon - und wird immer mehr - zu einem entscheidenden Wettbewerbsfaktor. Geschützt werden muss nicht nur die laufende Produktion sondern auch das Know-how über Fertigungsprozesse, über Produkte und Verfahren. Siemens bietet umfangreiche Konzepte zur Absicherung der Produktion an und entwickelt diese mit jedem Kunden individuell – eine One fits all-Lösung kann es in Sachen Industrial Security nicht geben.

Rainer Schmidt: Hundertprozentige Sicherheit gibt es nicht. Aber sie lässt sich, zumindest für besonders kritische Bereiche, anstreben. Und, ob es der Produktion nun gefällt oder nicht, pure Abschottung wird nicht die Lösung sein. Produktionsprozesse werden zwangsläufig immer mehr Teil von Netzwerken und müssen sich der Herausforderung des Datenschutzes stellen. Der Begriff Datenschutz ist hier bewusst gewählt und soll beide Aspekte der Datensicherheit abdecken: dem Entwenden von Daten etwa durch Kopieren und dem Zuführen oder Manipulieren von Daten, ob jetzt ungewollte updates oder auch Viren oder Spy-Software. Dazu gibt es in jeder größeren Firma bereits Richtlinien, die zum Beispiel den Gebrauch von USB-Sticks regeln. Die Vergabe von Administratorrechten an einen eingegrenzten Personenkreis oder das Protokollieren relevanter Ereignisse sind weitere Maßnahmen, die die Netzwerksicherheit erhöhen. Diese Richtlinien sollten konsequent weiterentwickelt werden. Sicherheitspakete, die zum Beispiel Automatisierungsprofile mitbringen, können je nach Sicherheitsbedarf implementiert werden. Je mehr Erfahrungen ein Anwender/eine Firma hier mitbringt, desto effizienter werden Schutzmaßnahmen greifen. Eine umfassende Betrachtung des Themas Sicherheit ist dabei unabdingbar. Je eher damit begonnen wurde – Produktauswahl, Schnittstellendefinitionen, Aufstellen eines Regelwerks für Netzwerksicherheit, stetige Kontrolle und Weiterentwicklung dieser Maßnahmen usw.- desto besser.

Horst Kalla: Mit Industrial Ethernet ist eine durchgängige Kommunikation von der obersten Unternehmensebene bis hin zum installierten Feldgerät schon heute technisch möglich. Dieses offene System bedarf entsprechender Sicherheitsstrategien und Konzepte. Industrielle Netzwerke müssen für die moderne Produktion nicht nur physisch vorhanden, sondern auch rund um die Uhr verfügbar sein. Deshalb gilt es bereits bei der Planung schon entsprechende „Tore zwischen den Ethernetwelten“ zu berücksichtigen und zu realisieren. Aufgrund einer hohen Anzahl an Netzwerkteilnehmern bestehen gesteigerte Sicherheitsanforderungen an die Kommunikation, was die Verwendung IPv6-fähiger Industrial-Ethernet-Geräte unabdingbar macht. Mit Switchen und Routern aus dem praxis¬gerechten Industrial-Ethernet-Portfolio ermöglicht Weidmüller eine zuverlässige und sichere Kommunikation in der vierten industriellen Revolution. Mit Managed Gigabit Switches lassen sich unter anderem redundante Kommunikationsstrukturen von in sich verschachtelten Ringen aufbauen und somit die Kommunikations- und Betriebssicherheit zu gewährleisten. Die Managed Gigabit Switches integrieren hochperformanten Redundanzmechanismen wie Turbo-Ring und Turbo-Chain. Die Turbo-Ring-Technologie steht für größtmögliche Verfügbarkeit von industriellen Netzwerkapplikationen. In unter 20 ms stellt sie im Fehlerfall die Netzwerkverbindung wieder her, und das bei bis zu 250 Switchen in einem Ring. Die drei Topologieoptionen Ring-Coupling, Dual-Ring und Dual-Homing decken dabei unterschiedlichste Applikationsanforderungen ab. Wenn es darum geht, dass Anwender auf ihre Maschinen und Anlagen sicher, zuverlässig sowie standortunabhängig zugreifen wollen, ist der Router als VPN-Zugangspunkt für den Zugriff auf das Zielnetzwerk ideal geeignet. Router eröffnen nur legitimierten Daten den Zugang zu Industrienetzwerken. Der Weidmüller Gigabit Industrial Security Router verlagert die Vorteile der Ethernet-Kommunikation hinein in die industrielle Automatisierungstechnik. Das heißt, die vertikale Daten- und Informationsvernetzung, wie sie in der Ethernet-Kommunikation im Büroumfeld bereits existiert, soll in ihrer Standardisierung und Einfachheit auch der industriellen Automatisierungstechnik nutzbar gemacht werden. Anwender profitieren so von einer vertikalen Datenintegration - von der Produktionsebene über das Büronetzwerk bis ins Internet. Allerdings ist die Automatisierungswelt ein höchst sensibler Bereich, den es gilt, zusätzlich und eigens abzusichern. Hierzu eignen sich industrielle Router mit integrierten Firewall- und Security-Funktionen ideal.

Armin Glaser: Für die aktuellen Herausforderungen auf dem Weg zur Industrie 4.0 sind Systeme, wie das Echtzeit-Ethernet Safetynet p und die Automatisierungslösung PSS 4000 im Vorteil. Dieses System berücksichtigt von Anfang an besondere Eigenschaften und Anforderungen einer rückwirkungsfreien und hochleistungsfähigen Sicherheitstechnik. Insgesamt erfordert Industrie 4.0 ein sehr viel proaktiveres Vorgehen in punkto Sicherheit als bisher – denn oft werden Sicherheitsfragen erst reaktiv gestellt, wenn der Entwicklungsprozess bereits abgeschlossen ist und nachdem es konkrete Sicherheitsvorfälle gab. Die aktuellen Arbeiten für die sichere Funktion im Sinne von Security bestehen in der Verbesserung und Erweiterung der Codierungen und des Know-how-Schutzes. Für alle industriell nutzbaren Funktionen sind besonders die einfache Handhabbarkeit in der Errichtungsphase, die dauerhafte Sicherheit im Betrieb und eine langfristige Einsatzmöglichkeit wichtig.

Jörg Neumann: Die vernetzte Produktion lässt sich zum Beispiel durch die Orientierung an der IEC 62443 und deren Umsetzung sicherer gestalten, aber niemals völlig absichern. Wir haben es hier mit dem klassischen Wechselspiel zwischen Angriff und Verteidigung zu tun. Letztendlich ist der Angreifer immer im Vorteil – er kann in aller Ruhe nach den Schwachstellen suchen. Das gilt auch für die Cyberwelt und wird sich auch durch ‚Security by Design‘, spezielle Sicherheitsstandards, IT-Sicherheitsgesetze der Bundesregierung usw. nicht ändern. Besonders problematisch ist die hohe Dynamik der möglichen Cybergefahren – siehe zum Beispiel den ‚Heartbleed‘ Bug vor einigen Monaten. Die Umsetzung einer relativ statischen Richtliniensammlung mit gelegentlichen Audits wird nicht ausreichen, um die Sicherheit an den jeweils neuesten Stand der Gefahren anzupassen. Automatisierung, Maschinen- und Anlagenbau sollten sich überlegen, ob sie nicht zusammen eine Cyber-Monitoring-Task-Force schaffen, die die aktuelle Bedrohungslage ermittelt und an die Gefahren angepasste Verhaltensmaßnahmen erarbeitet. Eine Idee dazu findet sich ja bereits in den Handlungsempfehlungen der M2M Initiative Deutschland des Nationalen IT-Gipfels.

Mike Hannah: Es gibt kein einzelnes Produkt und keine einzelne Technologie oder Methode zum Schutz von industriellen Anwendungen. Rockwell Automation verfolgt eine ganzheitliche, auf offenen Systemen basierende industrielle Sicherheitsstrategie. Hierzu liefern wir umfassende, werksweite, anwenderfreundliche Steuerungssysteme, die sich über Prozessanwendungen und diskrete Anwendungen erstrecken und Endgeräte mit dem Unternehmen im weiteren Sinne verknüpfen. Ein Konzept für sicheres Netzwerkdesign, das auf einer gemeinsamen, standardisierten Netzwerkplattform basiert und Stabilität in der Infrastruktur mit sicherheitsfähigen Endgeräten vereint. Diese Lösungen umfassen nicht nur Produkte und Technologie, sondern auch Empfehlungen zu unternehmensweiten Best Practices für Sicherheitsdesigns, -richtlinien und -verfahren. Mit diesem Ansatz sind Unternehmen in der Lage, eine nachhaltige Sicherheitskultur aufzubauen, gesamtheitliche Sicherheitsbewertungen durchzuführen und eine robuste Sicherheitsinfrastruktur einzurichten, die sowohl Automatisierung als auch industrielle IT-Ressourcen einbezieht.

Wir empfehlen zehn Schritte zur Integration von Sicherheit in Maschinen: Erstens: Steuerung des Netzwerkzugriffs mithilfe von Tools wie Zugriffssteuerungslisten und Blockierfunktionen/-geräten für Ports. Zweitens: Sicherstellen eines robusten und zuverlässigen Betriebes durch Einsatz von Firewalls und Systemen zur Angriffserkennung und -abwehr. Drittens: Virenschutz und Positivlisten anwenden. Viertens: Richtlinie zur Anwendung von System-Patches einrichten, um Software auf dem neuesten Stand zu halten. Fünftens: Verfahren für Mitarbeitersicherheit entwickeln, zum Beispiel: Passwörter verwalten und schützen, Wechseldatenträger und Benutzung von persönlichen Geräten verwalten. Sechstens: Änderungen an der Steuerung durch Einschalten des Run-Modus physisch verhindern. Siebtens: Mit Factory-Talk-Security-Architektur steuern, welche Anwender welche Vorgänge von welcher Stelle in der Anwendung ausführen dürfen. Achtens: Mit Controller-Change-Detection-Funktion und Factory-Talk-Asset-Centre-System die Vorgänge im System überwachen. Neuntens: Geistiges Eigentum mit Logix Source Protection schützen. Zehntens: Alle Ethernet-Geräte über standardmäßiges Internet Protokol verbinden

Oliver Puls: Eine zu 100 Prozent abgesicherte Produktion ist sicher nicht möglich, wäre wirtschaftlich auch nicht vertretbar und erweist sich in der Regel als nicht erforderlich. Hier stellt sich die entscheidende Frage, wie der industrielle Anwender eine angemessene und wirtschaftlich vertretbare Lösung auswählen kann und dabei einen optimalen Schutz erhält. Diesen Punkt greift die Richtlinie VDI 2182 auf. Das dort beschriebene Vorgehensmodell basiert auf klassischen Gefährdungsanalysen und bietet dem industriellen Anwender eine praxisgerechte Methode. Diese wurde gemeinsam mit Herstellern, Systemintegratoren und Betreibern erarbeitet.

Mit dem Vorgehensmodell wurde erstmalig auch der Aspekt ‚Security by Design‘ adressiert. Dieser Gesichtspunkt, der insbesondere im Umfeld von Industrie 4.0 an Bedeutung gewinnen wird, gehört zu den anspruchsvollsten Aufgaben für die Hersteller von Automatisierungskomponenten. Hier gilt es das Bewusstsein der Entwickler zu schärfen und eine gute Balance zwischen den Security-Anforderungen einerseits und dem dazu notwendigen Ressourcen-Bedarf zu finden. Gerade vor dem Hintergrund der aktuellen Nachrichten häufen sich derzeit die Fragen nach dem Entwicklungsstandort der Security. ‚Security made in Germany‘ ist sicher eine gute Chance für deutsche Anbieter und stellt für viele Länder ein wichtiges Qualitätsmerkmal dar.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42859677 / Marktforschung & Marktentwicklung)