Industrie 4.0 Automation Security – was jetzt zu tun ist

Autor / Redakteur: Sabine Mühlenkamp / Dr. Jörg Kempf

Wie will man Industrie 4.0 verwirklichen, wenn noch nicht einmal einfachste Security-Konzepte funktionieren? Zwar hat die Namur-Empfehlung NE 153 nicht auf alle Fragen eine Antwort, setzt aber wichtige Fundamente für zukünftige Automatisierungssysteme.

Firmen zum Thema

(Bild: Sondem, Sylwia Nowik - fotolia, [M]GötzelHorn)

Das Thema Automation Security rückt immer weiter in den Fokus der Anwender der Prozessautomatisierung. Nicht zuletzt durch die Diskussionen rund um Industrie 4.0 wird das Thema Security als eine der wichtigsten Vorgaben für die erfolgreiche Umsetzung gesehen – und zwar sowohl von Anwendern, Anlagenbauern als auch aus Herstellersicht.

Die Zeit drängt, schließlich drängen erste Industrie 4.0-Konzepte bereits in die Praxis, wenn man etwa an Condition Monitoring und andere Instandhaltungskonzepte denkt. Der Markt bietet beispielsweise intelligente Stellventile, die durch elektronische Zusatzmodule nicht nur die Regelungsaufgabe erfüllen, sondern auch den Wartungs- oder möglichen Reparaturbedarf selbsttätig und vor Auftritt eines Schadens erkennen. Ein beidseitiger Datenaustausch zwischen den Komponenten, also von der Armatur zur Pumpe oder vom Kompressor zur Armatur, wird bald Standard sein.

Die automatisierungstechnische Wirklichkeit hängt dieser Entwicklung jedoch noch hinterher. Unbestreitbar ist, dass moderne Automatisierungslösungen im zunehmenden Maße offene und vernetzte Systemarchitekturen sowie Komponenten der Standard IT einsetzen, häufig mit direkter oder indirekter Verbindung zum Internet.

„Die Digitalisierung und Vernetzungen sind bereits in der Produktion angekommen. Insellösungen in Produktionsbetrieben sind ein Auslaufmodell“, machte Martin Schwibach, BASF, auf der vergangenen Namur-Hauptsitzung deutlich. „Hersteller setzen sowohl bei Hardware, als auch bei der Software und Kommunikationstechnik verstärkt auf diese Entwicklungen, die auch in der IT erfolgreich eingesetzt werden.“

So ist selbstverständlich, dass die Plattformen moderner Automatisierungssysteme auf modernen Standard-PCs aufsetzen und z.B. Windows-Technologien nutzen. Allerdings: Die Standard-IT hat zwar durchaus zur Effizienzsteigerung im Office-Bereich und in der Kommunikation beigetragen, aber auch zu den bekannten neuen Herausforderungen im Bereich der Cyber Security geführt.

Nachträgliches Flicken von Sicherheitslücken

Um dem zu begegnen, werden in der Regel IT-Security-Maßnahmen zusätzlich eingebaut, um die eigentlichen automatisierungstechnischen Anwendungen, Systeme, Geräte oder Komponenten zu schützen. Hintergrund ist, dass beim größten Teil der derzeitig verwendeten Automatisierungslösungen und -komponenten die IT-Sicherheit zum Zeitpunkt der Entwicklung keine Rolle gespielt hat.

Tipp: Die Ergebnisse einer Umfrage zum Thema „Security-Konzepte in Automatisierungs-Systemen“ haben wir hier noch einmal für Sie zusammengefasst:

Bildergalerie
Bildergalerie mit 10 Bildern

So fiel die Entscheidung welches Betriebssystem, welche Programmiersprachen, welche Kommunikationstechnologien verwendet werden, nicht unter Berücksichtigung von Anforderungen der Cyber Security. „Selbst in der Office-IT seit Langem vorhandene und eingesetzte Möglichkeiten – ich denke da ein systematisches Konzept zur Verwaltung von Benutzerrollen und Zugriffsrechten, gegebenenfalls über Systemgrenzen hinweg – wurden nicht oder nur stiefmütterlich genutzt“, ergänzt Schwibach.

Weitere Problematik: „Cybersicherheit ist leider kein Produkt, das kaufbar und einfach einschaltbar ist. Es ist das Applizieren der Technologie auf den Use Case, also eine Engineeringaufgabe“, so Gunther Koschnick, Geschäftsführer Fachverband Automation im ZVEI.

Anwender, Hersteller, Behörden und Hochschulen sind zur Zusammenarbeit aufgerufen. Lesen Sie weiter auf der nächsten Seite ...

Aufruf zum gemeinsamen Arbeiten

„Um bekannten oder offensichtlichen Bedrohungen durch Cyber-Attacken zu begegnen, erhöht sich derzeit die Komplexität von Automatisierungslösungen. Dies zu verstehen und zu beherrschen wird für den typischen Betreiber immer schwerer“, so Schwibach. Aus diesem Grund hatte Schwibach bereits auf der Namur-Hauptsitzung 2013 dazu aufgerufen, gemeinsam, also Anwender (Namur), Hersteller (ZVEI), Behörden (BSI) und Hochschulen (KIT), ein zukunftsweisendes Konzept zu erarbeiten, wie man den Herausforderungen und Gefahren zielführend und effizient begegnet.

Rund zwei Jahre später mündete dies nun in der Namur-Empfehlung NE 153 „Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme.“

Diese Namur-Empfehlung ist jedoch erst einmal keine einfache To-do-Liste für Hersteller, die abgearbeitet werden muss, um Probleme und Designfehler von heutigen Systemen und Anwendungen zu beheben. Vielmehr werden gemeinsame Anforderungen von Anwendern, Herstellern, Politik und Forschung an Automatisierungslösungen formuliert, die die Basis für eine Roadmap zukünftiger Cyber-Security-Konzepte und damit auch die erfolgreiche Weiterentwicklung in Richtung Industrie 4.0 sein können.

Mit der NE 153 ist ein erster Schritt getan, unsichere Systeme nicht mehr einfach als gegeben hinzunehmen. Ein Freibrief wird mit der NE153 übrigens nicht erteilt, wie Schwibach anmerkte: „Security kann man nicht kaufen, das muss man tun“.

Ohne IT-Security-Konzept kein Automatisierungssystem

Entscheidender Unterschied zu bisherigen Konzepten: IT-Security-Konzepte und -Funktionen werden zum integralen Bestandteil der Anforderungsprofile und gehören zum integralen Funktionsumfang automatisierungstechnischer Komponenten und Lösungen. „Security by Design ist ein Paradigmenwechsel und wird in der Entwicklung von zukünftigen Industrie 4.0-Komponenten im Pflichtenheft der Hersteller ganz vorne stehen“, macht Koschnick deutlich.

Vor allem geht es darum, wirtschaftlich vertretbare und sicher anwendbare Sicherheitskonzepte zu entwickeln. Um alle Teilnehmer ins Boot zu holen, wurden die Firmen des ZVEI zur Stellungnahme zur NE 153 aufgefordert. „Alle sind sich bewusst, dass Hersteller, die Integratoren und auch die Betreiber von Automatisierungslösungen hier erhebliche Anstrengungen unternehmen müssen, um diese Vorgaben der NE 153 zu erfüllen“, so Koschnick.

Daher wird der ZVEI den Firmen, die vielleicht heute noch nicht an vorderster Front im Innovationsgeschehen stehen, bei der Verknüpfung von Standard-IT mit den Komponenten und Lösungen in der Automation, Hilfestellung anbieten, um Sicherheitskonzepte auf die Anforderungen der Automation Security anzupassen.

Wie geht die Arbeit weiter? Das erfahren Sie auf der nächsten Seite.

Anforderungen in konkrete Maßnahmen umsetzen

Die Arbeit geht weiter: So ist es mit dem Aufstellen von Anforderungen allein nicht getan. Ende Januar hat sich daher eine Ad-hoc-Arbeitsgruppe innerhalb des VDI/VDE-GMA-Fachausschusses „Security“ gebildet, in dem auch Anwender und Betreiber mitarbeiten.

„Die Hersteller möchten natürlich am Liebsten einen konkreten Maßnahmenkatalog oder zumindest Empfehlungen, wie man vorgehen kann“, erklärt Heiko Adamczyk, Obmann des Fachausschusses 5.22 „Security“. Ganz so einfach ist es aber nicht, wie Adamczyk deutlich macht. „Es gibt Anforderungen, die sind relativ einfach umzusetzen, für andere aber fehlen noch die Konzepte.“

Als Beispiel nennt er den Punkt Dokumentation aus dem Abschnitt „Secure by Default“ der NE 153. „Hierbei geht es in erster Linie darum, welche Aspekte dokumentiert werden sollen und wie diese zugänglich gemacht werden sollen. Im Prinzip lässt sich dieser Punkt aber zeitnah umsetzen.“

Anders sieht es dagegen bei dem Aspekt der sicheren Programmiersprachen und Betriebssysteme aus. „Diese sind im Augenblick nicht vorhanden, sondern man bedient sich dessen, was vorhanden ist“, so Adamczyk. „Auch der Virenscanner, der im Office-Bereich als wichtiges Mittel zur Gefahrenabwehr eingesetzt wird, ist für Automatisierungskomponenten im industriellen Bereich nicht immer sinnvoll.

Zum einen reicht der Erkennungsgrad heutiger Virenscanner von nur etwa 70 % bis 90 %, je nach Anbieter und Produkt. Zum anderen detektiert ein Scanner Viren, die dann wiederum auch vollständig und vor allem rückwirkungsfrei entfernt bzw. isoliert werden müssen“.

Aus Sicht der industriellen Automatisierung besteht hier also dringender Forschungsbedarf, weshalb auch Hochschulen mit an Bord sind. Zu derartigen Themen lassen sich demnach neue Forschungsaufgaben ableiten, wozu die Arbeitsgruppe durchaus den ein oder anderen Anstoß geben könnte. Da die Aufgabengebiete der NE 153 recht unterschiedlich und vor allem umfangreich sind, wurden Teams gebildet.

Sie haben die Aufgabe, zu den vier Teilaspekten der NE 153 (Secure by Default, Secure by Design, Secure by Implementation und Secure in Deployment) Stellung zu beziehen und Lösungsempfehlungen aus Sicht eines Herstellers abzugeben. Erklärtes Ziel ist es, bis Ende des Jahres konkrete Ergebnisse zu erarbeiten, um später die Richtlinienreihe VDI/VDE 2182 zu ergänzen.

Lieber Innovationstreiber als Ideenbremser

Die Arbeit und die Umsetzung als komplex zu bezeichnen, wirkt schon fast beschönigend. Ein Zurück ist jedoch keine Option. „Es geht darum die Produktion effektiver zu machen, um im internationalen Wettbewerb bestehen und uns behaupten zu können. Der nächste Schritt ist die höhere Digitalisierung und Verbindung ins Internet der Dinge und Dienste“, ist Koschnick überzeugt.

Und die Digitalisierung wird sich nicht aufhalten lassen. Die Entscheidung ist vielmehr: „Wollen wir als Industrie abwarten und reagieren oder lieber Innovationstreiber sein? Als Gestalter haben wir die Chance unsere Sicherheitsansprüche in die Umsetzung mit einzubringen“, weist Koschnick den Weg.

Der Beitrag ist ursprünglich auf dem Portal unserer Schwesterpublikation PROCESS erschienen.

(ID:43898000)

Über den Autor

 Sabine Mühlenkamp

Sabine Mühlenkamp

freie Journalistin, Pressebüro Mühlenkamp