IT-Sicherheit & Industrie 4.0

Security-Konzepte im Praxis-Check

08.07.2015 von Oliver Schonschek
Verschiedene IT-Sicherheitskonzepte versprechen Unterstützung bei der Absicherung von Industriesystemen. Doch wie praxistauglich sind sie?

Industrie 4.0 ist in aller Munde, so könnte man jedenfalls glauben, wenn man die vielfältige Berichterstattung verfolgt. Ob sie auch in den Unternehmen oder zumindest in den Köpfen der Entscheider ist, steht auf einem anderen Blatt. Verschiedene Umfragen zeichnen jedenfalls ein durchwachsenes Bild.

Industrie 4.0 ist ein Trendthema. Doch wie steht es um die IT-Security?
Foto: wk1003mike / shutterstock.com

Industrie 4.0 noch fern, IT-Risiken längst da

Führungskräfte von gut jedem dritten Unternehmen aus der Automobilbranche, dem Maschinenbau, der chemischen Industrie sowie der Elektroindustrie sagen, dass sie bislang noch nichts über Industrie 4.0 gehört oder gelesen haben, so eine Bitkom-Umfrage. Das Institut für angewandte Arbeitswissenschaft e. V. (ifaa) berichtet zwar, dass 76,2 Prozent der Befragten aus der Metall- und Elektroindustrie der Begriff Industrie 4.0 bekannt ist. Doch nur 23,3 Prozent gaben an, dass der Begriff ihnen klar definiert erscheint. Eine VDE-Studie besagt zudem, dass Industrie 4.0 (erst) in zehn Jahren da sein wird.

Wer jetzt nun glaubt, Fragen der IT-Sicherheit bei Industrie 4.0 seien deshalb deutlich zu früh gestellt, irrt sich. Tatsächlich haben viele Entscheider aus der Industrie Befürchtungen hinsichtlich der Informationssicherheit: Das derzeit größte Hindernis für die Ausbreitung von Industrie 4.0 in Deutschland ist laut VDE für sieben von zehn Befragten die IT-Sicherheit. Die Sorgen der Industrie sind nicht unbegründet: Der am stärksten durch digitale Angriffe gefährdete Wirtschaftszweig ist die Automobilindustrie mit 68 Prozent, so Bitkom. Es folgen die Chemie- und Pharma-Branche mit 66 Prozent. Die Finanzbranche, die seit vielen Jahren im Fokus der IT-Sicherheit steht, liegt dagegen bei 60 Prozent.

Ein weiterer Grund spricht dafür, die IT-Risiken bei Industrie 4.0 und generell in der Industrie sehr ernst zu nehmen: 44 Prozent der Unternehmen in den industriellen Kernbranchen nutzen laut Bitkom heute bereits Industrie 4.0-Anwendungen. Damit ist die Verbreitung von Industrie 4.0 weiter vorangeschritten als das genaue Wissen darum, ein gefährlicher Zustand.

Auch wenn Industrie 4.0 teils noch Zukunftsmusik ist, sind die Bedrohungen für die industrielle IT bereits heute sehr real, wie die Bedrohungslandschaft nach Einschätzung von ENISA zeigt.
Foto: ENISA

Industrie und IT-Sicherheit: Deutlicher Nachholbedarf

"Ohne sicheren Datenaustausch wird Industrie 4.0, also das Verschmelzen von Produktion und Dienstleistung mit dem Internet, nicht möglich sein", so die Bundesforschungsministerin Johanna Wanka. "IT-Sicherheit ist eine der zentralen Voraussetzungen, um die Chancen von Industrie 4.0 zu nutzen. Denn nur durch eine sichere Kommunikation entsteht Vertrauen in die neuen und vernetzten Fertigungsprozesse", erklärte die Bundesministerin bei dem Start eines nationalen Referenzprojektes zum Schutz der Produktion vor Cyberangriffen und Spionage.

Doch auch die ITK-Branche und die IT-Sicherheitsanbieter haben noch ein Stück Weg vor sich, damit Industrie 4.0 eine ausreichend hohe Sicherheit erlangen kann. Fast jedes dritte ITK-Unternehmen bietet bereits Dienstleistungen und Produkte für Industrie 4.0 an, ein weiteres Drittel plant solche Angebote. 82 Prozent der ITK-Anbieter meinen jedoch, es mangelt an interdisziplinär ausgebildeten Fachkräften. Ebenfalls als Hindernis gesehen werden der unzureichende Breitbandausbau (55 Prozent) und die Angst vor Cyberspionage und Cyberattacken (51 Prozent).

Industriebetriebe sind im Fokus der Cyber-Attacken. Wie eine BITKOM-Studie zeigt, ist die Automobilbranche in Deutschland davon häufiger betroffen als zum Beispiel Banken.
Foto: Bitkom

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) führt in Kooperation mit der Hochschule Ostwestfalen-Lippe eine Bestandsaufnahme zur Erfassung des aktuellen Sicherheitsniveaus bei Industrie 4.0-Projekten durch. Von einer klaren IT-Sicherheitslage für die Industrie sind wir also noch entfernt. Abwarten dürfen Industrieunternehmen mit Blick auf das hohe Angriffsrisiko aber nicht. Kaspersky Lab zum Beispiel berichtete für 2014 von etwa 13.000 Vorfällen im Monat, bei denen Computer mit automatischen Prozesskontrollsystemen beispielsweise von Siemens, Rockwell, Wonderware, General Electric, Emerson und anderen Firmen mit gefährlichem Code infiziert werden sollten. Aus Risikosicht lohnt sich also ein Blick auf die gegenwärtig vorhandenen IT-Sicherheitskonzepte, die es für die Industrie gibt.

Spezielle Sicherheitskonzepte sind in Arbeit

Insbesondere aus dem Hause des BSI (Bundesamt für Sicherheit in der Informationstechnik) kommen gleich mehrere Ansätze, die Industrieunternehmen bei der Einführung von geeigneten IT-Sicherheitsmaßnahmen unterstützen sollen.

Der erste Blick richtet sich auf den IT-Grundschutz, wenn es um das BSI geht. Zu finden ist aber auch ein spezielles ICS-Security-Kompendium, wobei ICS für Industrial Control Systems steht. Ergänzt wird das Kompendium mit Testempfehlungen und Anforderungen für Hersteller von Komponenten, die hier nicht näher betrachtet werden sollen. Parallel dazu steht mit LARS ICSein Werkzeug für den sogenannten leichtgewichtigen Einstieg in industrielleCyber-Security zur Verfügung.

Das ICS-Security-Portfolio des BSI enthält auch die Übersicht "Industrial Control System Security - Top 10 Bedrohungen" und die Empfehlung "Sicherer Einsatz von ICS-spezifischen Apps". Alleine die Fülle der verschiedenen Materialien des BSI zur ICS-Security zeigt, dass hier einiges für die Unterstützung unternommen wird, aber die Leitlinien befinden sich in einer Entwicklungsphase. Brauchbare Resultate sind bereits vorhanden, doch die Anpassung an den praktischen Bedarf der Industrieunternehmen findet weiterhin in dichter Folge statt. Ein Status, bei dem nur noch eine regelmäßige Aktualisierung und Anpassung vorgesehen ist, ist noch nicht erreicht.

IT-Grundschutz (BSI)

ICS-Security-Kompendium (BSI)

Light and Right Security ICS (LARS ICS) (BSI)

Status

Referenzwerk für Informationssicherheit in DeutschlandBefindet sich in einem Modernisierungsprozess

Enthält Grundlagen der IT-Sicherheit, der ICS-Abläufe und der relevanten Normen und StandardsSammlung von Empfehlungen und Best Practices zur Cyber-Sicherheit für Anlagenbetreiber

Software-WerkzeugEinstieg in die Cyber-Sicherheit für kleine und mittlere AnlagenbetreiberÜbergang zu umfassenderem IT-Sicherheitsmanagement soll bereitet werden

Einschränkungen für Industrie

Aktuell noch sehr umfangreichKleine und mittlere Betreiber industrieller Anlagen scheuen den AufwandSpezielle Bausteine für die industrielle IT befinden sich in Entwicklung, müssen noch ergänzt werden

Hilfreiches Instrument für umfassenden Einstieg und fundierten ÜberblickEin echter "roter Faden", ein "An die Hand nehmen" der unerfahrenen Anlagenbetreiber fehlt allerdings

Praktischer Einstieg in die industrielle IT-Sicherheit, der aber noch einfacher werden kann, wenn es mehr Beispiele und Muster gibt, die individuell angepasst werden, und wenn die Unterstützung bei der Ist-Analyse wie geplant erweitert wird

So schreibt das BSI hinsichtlich des Modernisierungsbedarfs von IT-Grundschutz, dass fundamentale Neuerungen der Art und Weise, wie Informationstechnik bereitgestellt bzw. genutzt wird (darunter Industrial Control Systems), eine Reihe von technischen, organisatorischen und rechtlichen Herausforderungen mit sich bringen, die es noch zu berücksichtigen gilt.

Das "ICS Security Kompendium" versteht sich als ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen. Das ICS Security Kompendium soll sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen ermöglichen. Gerade Betreiber mit wenig Erfahrung in der IT-Sicherheit finden darin eine gute Informationsquelle. Eine praktische Leitlinie zum genauen Vorgehen muss man sich daraus aber erst erarbeiten. Für einen Einstieg eignet sich eher dieÜbersicht zu den Top 10 Bedrohungen, das Kompendium liefert dann passendes Hintergrundmaterial und die Querverweise.

Alleine schon wegen seines Tool-Charakters ist LARS (Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungsanlagen) gut geeignet, um sich mit dem wichtigen Thema der industriellen IT-Sicherheit konkret im eigenen Betrieb zu befassen. LARS ist gedacht als Einstieg in die Cyber-Sicherheit für kleine und mittlere Betreiber industrieller Steuerungsanlagen. Geboten wird eine Selbsteinschätzung auf Basis eines Fragebogens sowie Empfehlungen zu weiteren Maßnahmen. Querverweise zu IT-Grundschutz, ISO 27001, IEC62443 und BSI ICS Security-Kompendium helfen bei dem späteren Ausbau des eigenen IT-Sicherheitsmanagements.

Zu Industrie 4.0 tragen viele IT-Bereiche bei, wesentliche Bedeutung hat die Sicherheit der Industrial Control Systems (ICS) und anderer industrieller IT-Komponenten.
Foto: VDI Wissensforum GmbH

IT-Sicherheitskonzepte noch nicht reif für die Industrie

Gerade das Softwarewerkzeug LARS zeigt einen guten Weg auf, wie Industriebetriebe zu einer ersten Selbsteinschätzung ihrer IT-Sicherheitslage und zu einem passenden, nicht zu komplizierten Maßnahmenkatalog kommen. Denkt man aber an die meist geringe Erfahrung mit IT-Sicherheit, auf die man in Industriebetrieben trifft, muss selbst bei diesem recht praktischen Werkzeug noch einiges geschehen, damit der Einstieg in die industriellen IT-Sicherheit so leicht wie möglich wird.

Industrie 4.0 wird erst dann die gewünschte Verbreitung finden, wenn sich die gegenwärtigen Befürchtungen ausräumen lassen. Dazu gehören auch Datenschutz- und Sicherheitsbedenken.
Foto: Bitkom

Dies betrifft unter anderem die Bezeichnungen, die in den Konzepten und auch in dem Programm LARS genutzt werden, die mitunter deutlich von der herrschenden IT-Sprache geprägt sind. Die Erfassung des Ist-Zustandes wird zudem dann noch einfacher für Industrieanlagenbetreiber, wenn es mehr Beispiele und Muster gibt, die sich auf den eigenen Betrieb anpassen lassen. Gerade bei der Erfassung eines Netzwerkplans dürfte sich so mancher kleine Industriebetrieb noch schwer tun.

Industrie 4.0 führt zu einer Vernetzung der Industrial IT und der Office-IT. Trotzdem sind für die verschiedenen IT-Bereiche jeweils spezielle Security-Ansätze erforderlich.
Foto: secucloud

Sowohl bei LARS als auch für das ICS-Kompendium und den kompletten IT-Grundschutz sind weitere Entwicklungs- und Optimierungsmaßnahmen geplant und teilweise bereits im Gange. Dies ist wichtig, denn das Bedrohungspotenzial für die industrielle IT ist hoch. Eine relativ lange Lern- und Erfahrungszeit, wie es in der Office-IT möglich war, ist dem industriellen IT-Bereich nicht gegönnt. Die Maßnahmen zur Unterstützung der industriellen IT-Sicherheit werden schon heute gebraucht, auch wenn die viel zitierte Industrie 4.0 noch auf sich warten lässt.

Industrie 4.0 - Leitfaden für CIOs
Industrie 4.0 - Leitfaden für CIOs
Stephen Prentice (Gartner) legt den IT-Verantwortlichen zwölf Dinge ans Herz, die sie für den IT-Beitrag zu Industrie 4.0 beachten beziehungsweise tun sollten:
1. Nur keine Panik!
Industrie 4.0 ist kein Sprint, sondern ein Marathon. Die gute Nachricht: Wenn man nicht so genau sieht, wo es hingeht, kann man bislang auch nicht wirklich eine Gelegenheit verpasst haben.
2. Integrieren Sie Informationstechnik und operationale Technik!
Unter operationaler Technik (OT) versteht Gartner Ingenieurtechnik mit einer Langzeitperspektive. Sie liefert Information über das, was im Inneren der Produktionssysteme vor sich geht. Dabei ist sie digital, aber nicht integriert.
3. Steigern Sie den Reifegrad Ihres Fertigungsprozesses!
Lernen Sie Ihre Mitspieler auf der Produktionsseite kennen. Verstehen Sie deren Sorgen und Hoffnungen und planen Sie den gemeinsamen Fortschritt auf einem fünfstufigen Weg.
4. Integrieren Sie Ihre Informations-Assets!
Reißen Sie Ihre Silos nieder und öffnen Sie Ihre Unternehmenssysteme auch für externe Informationsquellen: Wetterdaten, Social Media etc. "Ihre wertvollsten Daten könnten von außerhalb Ihres Unternehmens stammen", konstatierte Gartner-Analyst Prentice.
5. Verinnerlichen Sie das Internet der Dinge!
Das Internet of Things (IoT) ist der international gebräuchliche Begriff für das, was die Grundlage der Industrie 4.0 - und des digitalen Business - bildet.
6. Experimentieren Sie mit Smart Machines!
Virtuelle Assistenten für die Entscheidungsunterstützung, neuronale Netze, cyber-physikalische Systeme, Roboter und 3D-Druck mögen aus der heutigen Perspektive noch als Spielerei erscheinen. Aber es lohnt sich, ihre Möglichkeiten auszuloten.
8. Scheuen Sie sich nicht, den Maschinen ein paar Entscheidungen anzuvertrauen!
Der Fachbegriff dafür ist Advance Automated Decision Making. Es gibt schon einige Bereiche, wo Maschinen statt des Menschen entscheiden, beispielsweise bei der Einparkhilfe für Kraftfahrzeuge.
9. Denken Sie wirklich alles neu!
Jedes Produkt, jeder Service, jeder Prozess und jedes Device wird früher oder später digital sein. Denken Sie sich einfach mal Sensoren und Connectivity zu allem hinzu.
10. Führen Sie bimodale IT ein!
Die Koexistenz zweier kohärenter IT-Modi (einer auf Zuverlässigkeit, einer auf Agilität getrimmt) gehört zu den Lieblingsideen der Gartner-Analysten. Stabilität und Schnelligkeit lassen sich so in der jeweils angemessenen "Geschwindigkeit" vorantreiben.
11. Kollaborieren Sie!
Werden Sie ein Anwalt für Industrie 4.0. Schließen Sie sich Peer Groups, Konsortien und Standardisierungsgremien an. Denn die besten Ideen müssen nicht zwangsläufig aus dem eigenen Unternehmen kommen.
12. Halten Sie die Augen offen!
Die Dinge verändern sich - ständig. Erfolgreiche Unternehmen wie Google und Amazon wissen das. Sie sind immer auf der Suche nach neuen Entwicklungen und Möglichkeiten.
7. Werden Sie ein Digital Business Leader!
Der CIO sollte sich für das digitale Business engagieren. Dazu muss er aber seinen Elfenbeinturm verlassen. Denken Sie von innen nach außen, rief Prentice die IT-Chefs auf, und verbringen Sie etwa 30 Prozent Ihrer Arbeitszeit mit Menschen von außerhalb Ihrer Organisation.