Produktionsdaten

Informationssicherheit in der Industrie 4.0

Seite: 3/3

Firmen zum Thema

Produktionsdaten schützen, aber wie?

Natürlich kann man Daten heute sicher übertragen, aber wird das auch gemacht? Wenn wir Industrie 4.0 „sicher“ betreiben wollen, erfordert das ein Umdenken der Verantwortlichen. So liegt der Fokus derzeit fast ausschließlich auf der Feststellung des Machbaren. Schließlich stehen als Lohn für die Umsetzung mehr Effizienz und praktisch immer auch eine Kosteneinsparung und somit die Steigerung des Rohertrages.

Sicherheit ist hier (noch) kein Thema. Wenn man Industrie 4.0 sicher betreiben will, dann sollte man dort mit der Sicherheit anfangen, wo die Daten entstehen: ganz am Anfang, bei Sensoren, Schaltern, Kameras und den „smarten“ Systemen. Hier muss bewertet werden, ob und inwieweit Daten sensitiv und schützenswert sind.

Ein Informationsmanagement wird an dieser Stelle unabdingbar. Hier muss entschieden werden, ob und wie diese Daten geschützt werden. Verschlüsselung ist hier sicherlich die erste Priorität. Geschützt werden müssen aber nicht nur die Daten, welche Geräte und Maschinen verlassen, auch die „Smart-Devices“ bedürfen eines angemessenen Schutzes.

So nutzt es nichts, wenn die Maschine den Instandhaltungsauftrag verschlüsselt versendet, diese jedoch über ihre IP-Adresse durch eine Hintertüre (z.B. ein veralteter SAMBA Dienst oder ein nicht ganz aktueller Webserver) jederzeit, oft sogar direkt aus dem Internet, erreichbar ist.

Es wurden beispielsweise Fälle bekannt, bei denen „smarte“ Produktionsmaschinen zum Zweck der Fernwartung ohne weitere Sicherheitsvorkehrungen an das Internet angeschlossen wurden. Nicht auszudenken, wenn die Konkurrenz oder aber Erpresser eine solche Maschine „kapern“ oder „hacken“ und etwa die Fertigung sabotieren.

Der Rest ist denkbar: die betroffene Firma kann nicht liefern, die Konkurrenz steht mit genau den benötigten Bauteilen vor der Tür des Kunden. Cyber-Angriffe haben längst diese Dimension der Komplexität erreicht. Seit „Stuxnet“ sollte dies eigentlich jedem Verantwortlichen klar geworden sein.

Fazit und Lösungsansätze

Wenn man also „Industrie 4.0“ einführen möchte, tut man gut daran, folgende Schritte zu befolgen: zunächst einmal müssen, wie bereits bemerkt, die (neu) entstehenden Daten analysiert und mit einem entsprechenden Risikomanagement bewertet werden. An dieser Stelle müssen die Unternehmen reagieren: bestehende Prozesse müssen angepasst werden, eventuell müssen neue Prozesse erst etabliert werden.

Hier gehen Risikomanagement und Informationsmanagement Hand in Hand. Vielfach fehlt aber vielen Betrieben ein formales Informationsmanagement. Hier muss zunächst betrachtet werden, wo Information eigentlich entsteht: an der Informationsquelle. Dann ist es notwendig, diese Information mit Hilfe des Risikomanagements zu bewerten.

Folgt man diesem Prozess weiter, dann wird man die Wertschöpfungskette der Informationen verfolgen müssen: von der Informationsquelle, zur Informationsressource bis hin zur Information als Dienst oder Produkt. Mit anderen Worten: was genau muss geschützt werden und mit welchem Aufwand?

Danach müssen adäquate Sicherheitsmaßnahmen für diese Daten getroffen werden. Hier sind organisatorische Maßnahmen genauso relevant wie technische. Sind diese etabliert, können die Daten entsprechend sicher weiterverarbeitet werden. Gelangen die Daten dann nämlich erst einmal ins „Big Data“ oder werden zu Konglomeraten verschmolzen, wird es unmöglich sein, einzelne Daten zu extrahieren oder zu schützen.

Längst sind dann aus diesen Daten komplexe Prozesse entstanden: Logistikketten sind angelaufen oder Fertigungsaufträge wurden initiiert. Zu diesem Zeitpunkt ist es um die Sicherheit der Daten längst geschehen. Firmen werden also mit der Einführung von Industrie 4.0 mehr in IT-Sicherheits-Know-how investieren müssen, ob als externe Dienstleistung oder durch den Aufbau interner Stabsstellen.

Die Frage „welche Daten entstehen, wo, und, wie kann ich diese entsprechend schützen“ wird in Zukunft noch oft gestellt werden müssen. Wenn diese Frage nicht erschöpfend beantwortet werden kann, steht uns mit Industrie 4.0 der große Daten-GAU bevor. Denn es besteht kein Zweifel daran, dass zukünftig in noch viel stärkerem Maß jede Sicherheitslücke ausgenutzt werden wird. Entweder durch direkte „Angreifer“ oder einfach mal „pro forma“, damit erbeutete Daten eventuell zu einem späteren Zeitpunkt vermarktet werden können.

* Günter Aigle ist CISSP und IT-Security-Spezialist.

(ID:43803813)