:quality(80)/p7i.vogel.de/wcms/96/44/9644ea6272d0a6db45faaa88df8181f0/0112106534.jpeg "„Wenn wir Sprachmodelle für Anwendungen in und aus Europa nutzen wollen, brauchen wir europäische Sprachmodelle, die die hiesigen Sprachen beherrschen, die Bedürfnisse unserer Unternehmen und ethischen Anforderungen unserer Gesellschaft berücksichtigen“, sagt Volker Tresp, Professor für Maschinelles Lernen an der Ludwig-Maximilians-Universität München und Leiter der Arbeitsgruppe Technologische Wegbereiter und Data Science der Plattform Lernende Systeme. (Bild: Plattform Lernende Systeme)")
:quality(80)/p7i.vogel.de/wcms/e4/eb/e4eb57a1c46d5239503ffe7d9de39a8d/0112008391.jpeg "Die „Automatisierungs-Potenzialanalyse“ (APA) ist für Montageprozesse und nun auch für Schweißprozesse verfügbar. (Bild: Fraunhofer IPA/Rainer Bez)")
:quality(80)/p7i.vogel.de/wcms/86/b8/86b86f5d74f5b7b5821e98c371f1f713/0111743832.jpeg "Industrieroboter sind in der Automobilindustrie nicht mehr wegzudenken. (Bild: Duerr)")
:quality(80)/p7i.vogel.de/wcms/e3/99/e399fc6f894da2114c9e28d9a7f27fc1/0112108319.jpeg "(Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/fd/c7/fdc7f74985c1b9715ec991638a9bf4e6/0112002813.jpeg "KI-gestützte visuelle Inspektion mit Vuforia Step Check von PTC. (Bild: PTC)")
:quality(80)/p7i.vogel.de/wcms/9c/b3/9cb373d583f480146e9e6ffdc1861871/0111790045.jpeg "Digitale Services als Applikationen analysieren Sensordaten, bewerten Energieverbräuche und optimieren die Parameter der Maschine selbstständig. Mit den Auswertungen sollen die Effizienz sowie die Ausfallzeiten der Maschinen verbessert werden. (Bild: Phoenix Contact)")
:quality(80)/p7i.vogel.de/wcms/e3/fd/e3fd46bc81b2f15f6c688c99027028bf/0112018940.jpeg "Branchenübergreifend setzt die überwiegende Mehrheit der deutschen Unternehmen bereits heute auf Wireless-Konnektivität per Mobilfunk. (Bild: Cradlepoint)")
:quality(80)/p7i.vogel.de/wcms/c4/c9/c4c9cc386720481bf03f466105812c99/0111960731.jpeg "Die Schraubtec Nord entwickelt sich: 360 Teilnehmer und 48 Aussteller sind eine deutliche Steigerung gegenüber der Erstveranstaltung in 2022. (Bild: D.Quitter - VCG)")
:quality(80)/p7i.vogel.de/wcms/eb/40/eb40c7db727fef57f327dfa24d34919b/0111557700.jpeg "Christian Fiebach, Geschäftsführer der ipf electronic GmbH (Bild: ipf electronic)")
:quality(80)/p7i.vogel.de/wcms/af/e3/afe3b42b8215d127ef662180c781a2a8/0111298077.jpeg "Dagmar Dübbelde ist bei Deprag Produktmanagerin für den Bereich Druckluftmotoren. (Bild: Deprag)")
:quality(80)/p7i.vogel.de/wcms/f2/33/f233dd288e8ad25ace06ce18c57becac/0111375640.jpeg "Das Roboloon-Team vor dem Luftschiff-Prototypen. Das Tüftler-Team wird unter anderem beraten und unterstützt von Prof. Dr. Walter Fichter (dritter von links) vom Institut für Flugmechanik und Flugregelung (IFR) der Universität Stuttgart. (Bild: Roboloon / DPS Software)")
:quality(80)/p7i.vogel.de/wcms/e2/cf/e2cf17c96ab404e24583a4123449b258/0109808022.jpeg "Als industrieller Cobot schließt Swifti CRB 1300 von ABB die Lücke zwischen kollaborativen und Industrierobotern. (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/bd/97/bd971bb04b858b27a557e47d8b00144d/95584822.jpeg "Die Expertenempfehlung VDI-EE 4020 ermöglicht den Einstieg in das Thema „funktionale Sicherheit“ auf der Grundlage der internationalen Sicherheitsnormenreihe IEC 61508. (Bild: Kuka Group)")
:quality(80)/p7i.vogel.de/wcms/02/e9/02e9504cadb3b89071280c788ffb44fb/0109482363.jpeg "Beim Sortieren von Produkten muss der Roboter nicht nur die Ware erkennen, sondern auch greifen können. (Bild: Ocado Group)")
:quality(80)/p7i.vogel.de/wcms/06/6c/066c502a9d35630376e9baab4fbe2c20/0109264317.jpeg "Der Ernteroboter Berry kann bis zu 20 Kilo Erdbeeren zwischenlagern, während er sich autonom durch das Gewächshaus bewegt. (Bild: Organifarms)")
:quality(80)/p7i.vogel.de/wcms/77/d2/77d2d739d013f065416bbedb035affa7/0111999281.jpeg "Im Labor "Industrielle Sicherheit" des Instituts für innovative Sicherheit (HSA_innos) können Studierende des Zertifikatsstudiengangs Safety und Security in verschiedenen realistischen Szenarien erproben und einüben. (Bild: HSA_innos)")
:quality(80)/p7i.vogel.de/wcms/ca/af/caaf4dd4f794f91062d2ff9edb7d461b/0111538660.jpeg "Weil eine digitale Transformation ein langwieriger Prozess ist, sollten Entscheider bei der Umsetzung flexibel bleiben. Eventuell müssen sie bereits festgelegte Schritte an Veränderungen, die sich während des Prozesses ergeben, anpassen. (Bild: © festfotodesign – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/0f/500fd0405dc40ae536d12126bc008284/0111565792.jpeg "Die Vizepräsidentin der Bremischen Bürgerschaft Antje Grotheer (links), die Senatorin für Kinder und Bildung der Freien Hansestadt Bremen und Vertreterin der Kultusministerkonferenz Sascha Karolin Aulepp, die Bundesministerin für Bildung und Forschung Bettina Stark-Watzinger, Bundessiegerin im Fachgebiet Physik Anne Marie Bobes (16) aus Sachsen-Anhalt, der Bürgermeister und Präsident des Senats der Freien Hansestadt Bremen Andreas Bovenschulte sowie der Präsident der Unternehmensverbände im Lande Bremen e. V. Lutz Oelsner. (Bild: Stiftung Jugend forscht e. V. / Max Lautenschläger)")
:quality(80)/p7i.vogel.de/wcms/1a/d4/1ad402996064c6ab4ab19ac7f8a77c09/0111465446.jpeg "Nur wenige Arbeitnehmer wollen auf das Homeoffice verzichten und wieder ins Büro zurückkehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1651700/1651739/original.jpg "Apps helfen nicht nur im Alltag – auch auf der Arbeit können sie vieles erleichtern. (©mast3r/stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1649900/1649964/original.jpg "Der Automation App Award geht jedes Jahr an die besten Apps für die Automatisierung. (K.Juschkat/elektrotechnik)")
:quality(80)/images.vogel.de/vogelonline/bdb/1633100/1633135/original.jpg "Für die Inbetriebnahme von Geräten auf einem hohen Tank muss der Mitarbeiter auf den Tank klettern. Mit der App kann er das Gerät vom Boden aus initialisieren. (Endress+Hauser)")
Sicherheit Warum IT-Security einen ganzheitlichen Ansatz erfordert
In bestimmten industriellen Branchen müssen die Betreiber Mindestanforderungen erfüllen, um ihre Anlagen vor unbefugten Zugriffen zu schützen. Insbesondere im Fertigungsumfeld setzen sich viele Unternehmen allerdings zu wenig mit diesem realen Gefährdungspotenzial auseinander. Hier ist ein ganzheitlicher Ansatz gefragt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/05/6205371fbd768/pflitsch-logo-rgb.png "pflitsch-logo-rgb (PFLITSCH)"){kind=logo}
Immer mehr Unternehmen beschäftigen sich mit der Realisierung von Konzepten der IT-Security. Umfragen, welche die großen Verbände VDMA (Verband Deutscher Maschinen- und Anlagenbau e.V.) (1) und ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie e.V.) (2) in verschiedenen Bereichen durchgeführt haben, zeigen jedoch auch, dass der Umsetzungsgrad gerade im produzierenden Gewerbe derzeit noch gering ist. Gemäß der ZVEI/BSI-Studie (2) haben lediglich 15 Prozent der befragten Unternehmen eine Risikoanalyse ihrer Produktions-IT vorgenommen.
In der Vergangenheit wurde zwar prominent über einige Vorfälle – beispielsweise den „Wannacry“-Angriff – berichtet, dennoch scheint die „gefühlte“ Bedrohungslage aktuell wenig Handlungsdruck auszuüben. Einigkeit besteht im Expertenumfeld darin, dass die zunehmende Digitalisierung im Rahmen von Industrie 4.0 sowie die gleichzeitige Professionalisierung von Cyber-Angriffen die Gefährdungslage stetig erhöht.
:quality(80)/images.vogel.de/vogelonline/bdb/1450500/1450501/original.jpg "Das real existierende Gefährdungspotenzial wird von vielen Unternehmen nach wie vor unterschätzt, obwohl es einen erheblichen Schaden nach sich ziehen kann. Phoenix Contact bietet mit seinen Dienstleistungen, Produkten und Lösungen einen ganzheitlichen Ansatz.")
:quality(80)/images.vogel.de/vogelonline/bdb/1450500/1450502/original.jpg "Informationssicherheits-Managementsystem (gemäß Bundesamt für Sicherheit in der Informationstechnik) als Zusammenspiel vieler Aspekte.")
:quality(80)/images.vogel.de/vogelonline/bdb/1450500/1450503/original.jpg "Vorgehensmodell zur IT-Security")
:quality(80)/images.vogel.de/vogelonline/bdb/1450500/1450504/original.jpg "Struktur der Norm IEC 62443")
Im Bereich der kritischen Infrastrukturen hat der Gesetzgeber mit dem deutschen IT-Sicherheitsgesetz und der europäischen NIS-Richtlinie (Netz- und Informationssicherheit) Mindestanforderungen festgelegt und die Betreiber verpflichtet, ein von externen Auditoren bestätigtes Security-Management aufzubauen. Zu den kritischen Infrastrukturen zählen die Branchen Energie, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.
Bedrohte Unternehmenswerte definieren
IT-Security befasst sich mit dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen im Hinblick auf unbeabsichtigte oder zufällige Gefährdungen – zum Beispiel durch Hochwasser oder Feuer, vor allem aber vor vorsätzlichen Angriffen. Entsprechend müssen die Gegenmaßnahmen so gestaltet werden, dass sie die kriminelle Energie der Angreifer ebenfalls berücksichtigen. Dies zu erreichen erfordert einen ganzheitlichen Ansatz.
Als Ausgangspunkt sind die bedrohten Unternehmenswerte zu definieren. Dabei kann es sich um Know-how und Prozessdaten ebenso handeln wie um die Verfügbarkeit bestimmter Systeme. Wesentliche Funktionen, deren Ausfall besonders relevante Folgen hat, müssen explizit hervorgehoben werden. Diese Aufgabe kann nur der Betreiber selbst – gegebenenfalls mit externer Unterstützung – lösen.
Ermittelte Schutzmaßnahmen fortlaufend weiterentwickeln und pflegen
Im nächsten Schritt sind die jeweiligen technischen und organisatorischen Schutzmaßnahmen – von der Firewall bis zu Schulungen – zu ermitteln und umzusetzen. Im Rahmen eines Informationssicherheits-Managementsystems [(3) oder (4)] ist die fortlaufende Weiterentwicklung und Pflege notwendig, um das Schutzniveau zu erhalten respektive zu verbessern. Zu diesem Zweck müssen alle an der Erstellung und dem Betrieb der Automatisierungslösung beteiligten Instanzen gemeinsam agieren, wie dies in der internationalen Norm IEC 62443 (4) beschrieben wird.
Die Komponentenhersteller haben für die Sicherheit der Produkte zu sorgen, deren sicheres Zusammenwirken von den Maschinen- und Anlagenbauern beachtet werden muss. Der Betreiber verantwortet schließlich die sicheren Betriebsabläufe. Sämtliche Security-Prozesse stimmen darin überein, dass sie mit einem systematischen Vorgehen versuchen, alle Einfallstore zu schließen. Für Angreifer kann es hingegen schon ausreichen, wenn sie eine einzige Schwachstelle finden.
Funktionale Anforderungen und Prozesse beachten
Die unverzichtbare Grundlage eines Security-Konzepts stellt die Verfügbarkeit von IT-sicheren Produkten und Lösungen dar. In diesem Zusammenhang sind jeweils die funktionalen Anforderungen und zugehörigen Prozesse wichtig:
--> Security durch Funktionen
Bei der Erarbeitung der Automatisierungslösung müssen die Security-Anforderungen des Betreibers, die sich aus den zu schützenden Werten ergeben, berücksichtigt werden. Dazu wird eine Bedrohungs- und Risikoanalyse für die Automatisierungslösung durchgeführt. Daraus lassen sich die Anforderungen an das System und die eingesetzten Komponenten ableiten. Die Auswahl der Security-Funktionen drückt sich dabei durch den Security-Level „SL“ in den Stufen 1 (Schutz gegen Fehlbedienung) bis 4 (Schutz gegen starke Angreifer) aus. Die Teile 3-3 und 4-2 der Norm IEC 62443 erläutern die Funktionen und ihr Zusammenspiel. Sie umfassen zudem die Themen Identifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeitsschutz, Datenflusskontrolle, Überwachung und Ressourcenverfügbarkeit.
--> Security als Qualität
Als mindestens ebenso wesentlich wie die Funktionen erweist sich die Widerstandsfähigkeit gegen Angriffe respektive die möglichst umfassende Vermeidung von Schwachstellen bei der Umsetzung. Diesen Aspekt bringt die IEC 62443 in Teil 4-1 mit den Anforderungen an einen sicheren Produktlebenszyklus zum Ausdruck – und zwar von der gerätespezifischen Bedrohungsanalyse über die sichere Realisierung bis zu Security-spezifischen Tests. Zur Erlangung eines sicheren Produktlebenszyklus müssen Prozesse etabliert und das Personal muss entsprechend geschult werden.
Die Verantwortung eines Herstellers von IT-sicheren Produkten endet jedoch nicht mit deren Auslieferung an den Kunden. Da es keine 100-prozentige Fehlerfreiheit gibt, muss der Hersteller über ein Product Security Incident Response Team (PSIRT) verfügen, das bei entdeckten Schwachstellen eine Lösung erarbeitet und die Information an die Kunden (Advisory) herausgibt.
Für den Bereich der Systemintegration sind die relevanten Qualitätsvorgaben im Teil 2-4 der Norm beschrieben. So soll sichergestellt werden, dass die Lösung möglichst frei von Sicherheitsproblemen ist. Außerdem muss der Lösungsanbieter respektive Integrator die erforderlichen Security-Kenntnisse und -Fähigkeiten in puncto Architektur, Umsetzung, Text und Pflege haben. Denn Sicherheitsmaßnahmen sind immer nur so gut wie ihre Verwendung. Eine Firewall verbaut zu haben ist besser, als keine Firewall zu besitzen. Allerdings bietet sie lediglich dann einen guten Schutz, wenn sie ein angepasstes und gepflegtes Regelwerk umfasst.
--> Sichere Anwendung
Schließlich muss auch der Betreiber einer Anlage die Security-Aspekte in seinen Prozessen sowie mit seinem Personal realisieren. Das erreichte Schutzniveau ergibt sich nicht nur aus den technischen Fähigkeiten der Anlage, sondern bedingt deren permanente Überwachung und Pflege. Dazu gehören eine genaue Kenntnis der Installation und ihrer Eigenschaften – also ein Netzwerkplan und ein Inventar sämtlicher Komponenten – ebenso wie eine Verwaltung der Benutzer und Rechte sowie der Zugangsdaten respektive elektronischen Schlüssel. Als „klassische“ Fehler seien hier zusätzliche Verbindungen oder Zugänge, die nicht zurückgebaut werden, sowie nicht geänderte Standard-Passwörter und aktive Benutzerkennungen von ausgeschiedenen Mitarbeitern genannt. Jeder Fehler kann einen Angriff ermöglichen oder erleichtern. In jedem Fall mindert er das durch technische Maßnahmen umsetzbare Schutzniveau der Anlage entsprechend.
Systematisches Vorgehen etablieren
Die Absicherung einer Automatisierungslösung vor Angreifern erfordert das systematische Vorgehen aller Beteiligten. Dem Angreifer reicht möglicherweise eine einzelne Schwachstelle, um einen erheblichen Schaden anzurichten. Deshalb müssen die Security-Maßnahmen gründlich gestaltet werden. Die Experten von Phoenix Contact beraten und unterstützen bei deren Realisierung.
:quality(80)/images.vogel.de/vogelonline/bdb/1319300/1319308/original.jpg "IT-Sicherheit ist notwendig, damit sich Unternehmen in allen Bereichen wirksam vor Angriffen schützen. (Phoenix Contact)")
Sicherheitstechnik
Keine Chance für Cyber-Kriminalität: So lassen sich Anlagen vor unbefugten Zugriffen absichern
:quality(80)/images.vogel.de/vogelonline/bdb/1368800/1368867/original.jpg "Cyber Security ist und bleibt der neuralgische Faktor für eine erfolgreiche digitale Transformation. (©bluebay2014 - stock.adobe.com)")
Cyber Security
Proaktive Sicherheit ist jetzt das Gebot der Stunde
:quality(80)/images.vogel.de/vogelonline/bdb/1339000/1339038/original.jpg "Airbus gibt drei Prognosen für den Security-Markt 2018 ab. (Airbus)")
Security
So könnte sich der Cybersecurity-Markt 2018 entwickeln
:quality(80)/images.vogel.de/vogelonline/bdb/1374700/1374753/original.jpg "Cyberkriminelle dringen eher selten mithilfe futuristischer Schadsoftware in bisher unangreifbare Netzwerke ein. Meist sind die Angriffsmethoden wesentlich unspektakulärer. (Pixabay)")
IT-Sicherheit
10 Schritte zum Schutz vor Hacker-Angriffen
Literaturverzeichnis
[1] VDMA Studie Industrial Security 2017. Frankfurt :VDMA, 2017
[2] Sicherheitslagebild. Frankfurt : ZVEI, 2018
[3] Information technology - Security Techniques - Information Security Management System. ISO/IEC 27000:2014
[4] Security for industrial automation and control systems. IEC 62443
* Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology & Value Chain, Phoenix Contact GmbH & Co. KG, Blomberg
(ID:45452647)
:quality(80)/images.vogel.de/vogelonline/bdb/1922900/1922901/original.jpg "Durch die Verknüpfung der beiden Lösungen Endian Secure Digital Platform und Atvise lassen sich ein sicherer Fernzugriff und Datenvisualisierung im Nu kombinieren. (Endian/Bachmann Visutec)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932200/1932237/original.jpg "Der VDW arbeiten an einem weiteren Leitfaden zur IT-Sicherheit an Werkzeugmaschinen, der sich diesmal an Produzierende von Werkzeugmaschinen und Fertigungsanlagen richten soll. (PARILOV EVGENIY)")