Industrial Ethernet und Security Unendliche Geschichte

Redakteur: Reinhard Kluger

Bei mit Industrial Ethernet eng vernetzten Fertigungsanlagen steigt das Sicherheitsrisiko und damit die Gefahr, dass sie ausfallen. Vielfach stehen diese problematischen Begleiterscheinungen für die...

Anbieter zum Thema

Bei mit Industrial Ethernet eng vernetzten Fertigungsanlagen steigt das Sicherheitsrisiko und damit die Gefahr, dass sie ausfallen. Vielfach stehen diese problematischen Begleiterscheinungen für die IT-Sicherheit in der Produktion nicht immer im Fokus der Unternehmens-Organisation. Security ist ein kontinuierlicher Prozess, der niemals endet – und ist mehr als nur das Installieren einer Firewall.Er wächst jährlich um über 50 Prozent, in Deutschland sollen es sogar 59 Prozent sein: Der Markt für Industrial Ethernet brummt, so die Marktprognose „Industrial Ethernet Market Outlook Study“ der ARC Advisory Group. Die Automobilbauer nutzen die höhere Effizienz in der Fertigung durch Industrial Ethernet und haben die Technik bereits in der Produktion eingeführt. Andere Branchen folgen. Die Vorteile einer offenen und durchgängigen Netzwerkarchitektur liegen auf der Hand: Die Kommunikation ist standardisiert und die Infrastruktur einheitlich. Die Prozess- und Fertigungsdaten sind jetzt durchgängig verfügbar, um z.B. das Umrüsten der Produktionsanlagen flexibler zu gestalten oder für die permanente Anbindung an SAP.Und das ist die Kehrseite: Mit der Vernetzung der Produktionsanlagen steigen auch die Risiken. Störungen und Ausfälle belegen, dass sich viele Verantwortliche des hohen Risikos nicht bewusst sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem letzten „Lagebericht IT-Sicherheit“ festgestellt, dass die Bedrohung durch Computerviren, Computerwürmer und Spam in Deutschland erheblich gestiegen ist und noch zunimmt. Es gibt einen Trend hin zur Professionalisierung und Kommerzialisierung der Internetkriminalität. Gleichzeitig hat nach Erkenntnissen des BSI nur rund die Hälfte der IT-Verantwortlichen in Unternehmen eine schriftlich fixierte Strategie zum Schutz der Informationstechnik.Fehlerquelle IT:Mangel an OrganisationDie Folge: Die Verfügbarkeit der Anlagen sinkt, weil die IT schlecht organisiert ist und weil es an der IT-Sicherheit mangelt. Laut einer Studie von Mummert Consulting fällt in jedem fünften Unternehmen einmal pro Jahr das gesamte Netz aus. Rund 61 Prozent der Betriebe bleiben bis zu 24 Stunden vom Netz getrennt und bei 4 Prozent fällt es mehr als drei Tage lang aus.Die kritischen Anforderungen an IT-Sicherheit in der Produktion: die organisatorischen Schwachstellen erkennen und beheben, die Sicherheitsrisiken aufgrund unsicherer Technik beseitigen, den wachsenden Kundenanforderungen an IT-Sicherheit gerecht werden, die neuen internationalen IT-Sicherheitsstandards erfüllen. Innerhalb der Produktion übernehmen Leitrechner die Steuerung durch Austausch von Telegrammen. Erreichen diese Telegramme nicht oder nicht korrekt ihr Ziel, so gerät der Produktionsfluss ins Stoppen. Nun ist ein schneller Wiederanlauf der Systeme dringlich. Doch gerade hier bestehen häufig viele Probleme - aus vielfältigen Gründen: Der Wiederanlaufplan ist nicht mehr aktuell, die Verfahren wurden nicht ausreichend erprobt, die Datenrücksicherung ist fehlerhaft, das Change Management hat nicht korrekt gearbeitet und vieles mehr. Hier können technische Maßnahmen nicht oder nur begrenzt wirken. Das Management der Informationssicherheit ist nun extrem wichtig.Eine weitere Fehlerquelle ist die fehlende technische Sicherheit. Dass Mitarbeiter oder Lieferanten versehentlich Viren einschleusen, ist ein häufiges Problem. Die Servicetechniker vieler Anlagenhersteller greifen von oft unsicheren PCs direkt auf die Anlagen in der Produktion zu, nachdem sie vorher auf der Maschine bei einem anderen Kunden eingewählt waren. Viren werden so schnell weitergetragen. Vernetzte Anlagen in der automatisierten Fertigung sind besonders anfällig für Angriffe. Sensible Daten sind in zentralen Datenbanken abgelegt und das Servicepersonal hat evtl. Zugriff auf alle relevanten Daten der Gesamtanlage. Mit einer Firewall allein ist das Problem nicht behoben. Es gibt bereits zu viele lokale Sicherheitslösungen mit widersprüchlichen Sicherheitsregeln, die die Sicherheitslücken nicht schließen und gekoppelte Geschäftsprozesse behindern.IT-Sicherheitsstandards: Leitfaden fürs KonzeptInformationssicherheit macht sich bezahlt. Security ist ein fortlaufender Prozess und endet nicht mit der Installation von Firewalls und Intrusion Detection Systemen. An dieser Stelle können nur organisatorische und technische Maßnahmen greifen. Eine IT-Risikoanalyse identifiziert in einem ersten Schritt die Schwachstellen in der Fertigung und definiert geeignete Maßnahmen zur Beseitigung - zu vertretbaren Kosten. Definiert wird der Schutzbedarf der vorhandenen IT-Anwendungen, IT-Systeme und Produktionsanlagen bezüglich Verfügbarkeit, Integrität und Vertraulichkeit der Daten. Schrittweise wird ein individuell auf den jeweiligen Schutzbedarf der Systeme abgestimmtes Sicherheitskonzept für den kontinuierlichen Betrieb der Produktion erstellt. Der Wunsch nach einem offiziellen Sicherheitsnachweis nach IT-Grundschutz der neuen internationalen Norm ISO 27001 nimmt zu. Die Vorgehensweise auf Basis dieser Standards ermöglicht eine gezielte Einführung der Informationssicherheit auch in Produktionsumgebungen. Die Anzahl von über 2000 Zertifizierungen weltweit (Stand: Januar 2006), die Empfehlung des VDA zur Umsetzung dieses Standards und die Integration in die ITIL-Vorgehensweise zeugen von der zunehmenden Verbreitung. Der Nutzen für die Produktion nach erfolgreicher Einführung eines Informations-Sicherheits-Management-Systems (ISMS) ist dann auch belegbar: Weniger Ausfälle aufgrund von Sicherheitsvorfällen und kürzere Wiederanlaufzyklen. Wie bei anderen Qualitätsmanagementsystemen wird auch bei dem Standard ISO 27001 das Plan-Do-Check-Act (PDCA) Modell verwendet: „Plan“, ein IT-Sicherheits-Management konzipieren; „Do“, es implementieren; „Check“, überwachen und prüfen; „Act“, das Management warten und verbessern.

(ID:168703)