Industrie 4.0 ist in aller Munde, so könnte man jedenfalls glauben, wenn man die vielfältige Berichterstattung verfolgt. Ob sie auch in den Unternehmen oder zumindest in den Köpfen der Entscheider ist, steht auf einem anderen Blatt. Verschiedene Umfragen zeichnen jedenfalls ein durchwachsenes Bild.
Industrie 4.0 noch fern, IT-Risiken längst da
Führungskräfte von gut jedem dritten Unternehmen aus der Automobilbranche, dem Maschinenbau, der chemischen Industrie sowie der Elektroindustrie sagen, dass sie bislang noch nichts über Industrie 4.0 gehört oder gelesen haben, so eine Bitkom-Umfrage. Das Institut für angewandte Arbeitswissenschaft e. V. (ifaa) berichtet zwar, dass 76,2 Prozent der Befragten aus der Metall- und Elektroindustrie der Begriff Industrie 4.0 bekannt ist. Doch nur 23,3 Prozent gaben an, dass der Begriff ihnen klar definiert erscheint. Eine VDE-Studie besagt zudem, dass Industrie 4.0 (erst) in zehn Jahren da sein wird.
Wer jetzt nun glaubt, Fragen der IT-Sicherheit bei Industrie 4.0 seien deshalb deutlich zu früh gestellt, irrt sich. Tatsächlich haben viele Entscheider aus der Industrie Befürchtungen hinsichtlich der Informationssicherheit: Das derzeit größte Hindernis für die Ausbreitung von Industrie 4.0 in Deutschland ist laut VDE für sieben von zehn Befragten die IT-Sicherheit. Die Sorgen der Industrie sind nicht unbegründet: Der am stärksten durch digitale Angriffe gefährdete Wirtschaftszweig ist die Automobilindustrie mit 68 Prozent, so Bitkom. Es folgen die Chemie- und Pharma-Branche mit 66 Prozent. Die Finanzbranche, die seit vielen Jahren im Fokus der IT-Sicherheit steht, liegt dagegen bei 60 Prozent.
Ein weiterer Grund spricht dafür, die IT-Risiken bei Industrie 4.0 und generell in der Industrie sehr ernst zu nehmen: 44 Prozent der Unternehmen in den industriellen Kernbranchen nutzen laut Bitkom heute bereits Industrie 4.0-Anwendungen. Damit ist die Verbreitung von Industrie 4.0 weiter vorangeschritten als das genaue Wissen darum, ein gefährlicher Zustand.
Industrie und IT-Sicherheit: Deutlicher Nachholbedarf
"Ohne sicheren Datenaustausch wird Industrie 4.0, also das Verschmelzen von Produktion und Dienstleistung mit dem Internet, nicht möglich sein", so die Bundesforschungsministerin Johanna Wanka. "IT-Sicherheit ist eine der zentralen Voraussetzungen, um die Chancen von Industrie 4.0 zu nutzen. Denn nur durch eine sichere Kommunikation entsteht Vertrauen in die neuen und vernetzten Fertigungsprozesse", erklärte die Bundesministerin bei dem Start eines nationalen Referenzprojektes zum Schutz der Produktion vor Cyberangriffen und Spionage.
Doch auch die ITK-Branche und die IT-Sicherheitsanbieter haben noch ein Stück Weg vor sich, damit Industrie 4.0 eine ausreichend hohe Sicherheit erlangen kann. Fast jedes dritte ITK-Unternehmen bietet bereits Dienstleistungen und Produkte für Industrie 4.0 an, ein weiteres Drittel plant solche Angebote. 82 Prozent der ITK-Anbieter meinen jedoch, es mangelt an interdisziplinär ausgebildeten Fachkräften. Ebenfalls als Hindernis gesehen werden der unzureichende Breitbandausbau (55 Prozent) und die Angst vor Cyberspionage und Cyberattacken (51 Prozent).
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) führt in Kooperation mit der Hochschule Ostwestfalen-Lippe eine Bestandsaufnahme zur Erfassung des aktuellen Sicherheitsniveaus bei Industrie 4.0-Projekten durch. Von einer klaren IT-Sicherheitslage für die Industrie sind wir also noch entfernt. Abwarten dürfen Industrieunternehmen mit Blick auf das hohe Angriffsrisiko aber nicht. Kaspersky Lab zum Beispiel berichtete für 2014 von etwa 13.000 Vorfällen im Monat, bei denen Computer mit automatischen Prozesskontrollsystemen beispielsweise von Siemens, Rockwell, Wonderware, General Electric, Emerson und anderen Firmen mit gefährlichem Code infiziert werden sollten. Aus Risikosicht lohnt sich also ein Blick auf die gegenwärtig vorhandenen IT-Sicherheitskonzepte, die es für die Industrie gibt.
Spezielle Sicherheitskonzepte sind in Arbeit
Insbesondere aus dem Hause des BSI (Bundesamt für Sicherheit in der Informationstechnik) kommen gleich mehrere Ansätze, die Industrieunternehmen bei der Einführung von geeigneten IT-Sicherheitsmaßnahmen unterstützen sollen.
Der erste Blick richtet sich auf den IT-Grundschutz, wenn es um das BSI geht. Zu finden ist aber auch ein spezielles ICS-Security-Kompendium, wobei ICS für Industrial Control Systems steht. Ergänzt wird das Kompendium mit Testempfehlungen und Anforderungen für Hersteller von Komponenten, die hier nicht näher betrachtet werden sollen. Parallel dazu steht mit LARS ICSein Werkzeug für den sogenannten leichtgewichtigen Einstieg in industrielleCyber-Security zur Verfügung.
Das ICS-Security-Portfolio des BSI enthält auch die Übersicht "Industrial Control System Security - Top 10 Bedrohungen" und die Empfehlung "Sicherer Einsatz von ICS-spezifischen Apps". Alleine die Fülle der verschiedenen Materialien des BSI zur ICS-Security zeigt, dass hier einiges für die Unterstützung unternommen wird, aber die Leitlinien befinden sich in einer Entwicklungsphase. Brauchbare Resultate sind bereits vorhanden, doch die Anpassung an den praktischen Bedarf der Industrieunternehmen findet weiterhin in dichter Folge statt. Ein Status, bei dem nur noch eine regelmäßige Aktualisierung und Anpassung vorgesehen ist, ist noch nicht erreicht.
IT-Grundschutz (BSI) | ICS-Security-Kompendium (BSI) | Light and Right Security ICS (LARS ICS) (BSI) | |
Status | Referenzwerk für Informationssicherheit in DeutschlandBefindet sich in einem Modernisierungsprozess | Enthält Grundlagen der IT-Sicherheit, der ICS-Abläufe und der relevanten Normen und StandardsSammlung von Empfehlungen und Best Practices zur Cyber-Sicherheit für Anlagenbetreiber | Software-WerkzeugEinstieg in die Cyber-Sicherheit für kleine und mittlere AnlagenbetreiberÜbergang zu umfassenderem IT-Sicherheitsmanagement soll bereitet werden |
Einschränkungen für Industrie | Aktuell noch sehr umfangreichKleine und mittlere Betreiber industrieller Anlagen scheuen den AufwandSpezielle Bausteine für die industrielle IT befinden sich in Entwicklung, müssen noch ergänzt werden | Hilfreiches Instrument für umfassenden Einstieg und fundierten ÜberblickEin echter "roter Faden", ein "An die Hand nehmen" der unerfahrenen Anlagenbetreiber fehlt allerdings | Praktischer Einstieg in die industrielle IT-Sicherheit, der aber noch einfacher werden kann, wenn es mehr Beispiele und Muster gibt, die individuell angepasst werden, und wenn die Unterstützung bei der Ist-Analyse wie geplant erweitert wird |
So schreibt das BSI hinsichtlich des Modernisierungsbedarfs von IT-Grundschutz, dass fundamentale Neuerungen der Art und Weise, wie Informationstechnik bereitgestellt bzw. genutzt wird (darunter Industrial Control Systems), eine Reihe von technischen, organisatorischen und rechtlichen Herausforderungen mit sich bringen, die es noch zu berücksichtigen gilt.
Das "ICS Security Kompendium" versteht sich als ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen. Das ICS Security Kompendium soll sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen ermöglichen. Gerade Betreiber mit wenig Erfahrung in der IT-Sicherheit finden darin eine gute Informationsquelle. Eine praktische Leitlinie zum genauen Vorgehen muss man sich daraus aber erst erarbeiten. Für einen Einstieg eignet sich eher dieÜbersicht zu den Top 10 Bedrohungen, das Kompendium liefert dann passendes Hintergrundmaterial und die Querverweise.
Alleine schon wegen seines Tool-Charakters ist LARS (Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungsanlagen) gut geeignet, um sich mit dem wichtigen Thema der industriellen IT-Sicherheit konkret im eigenen Betrieb zu befassen. LARS ist gedacht als Einstieg in die Cyber-Sicherheit für kleine und mittlere Betreiber industrieller Steuerungsanlagen. Geboten wird eine Selbsteinschätzung auf Basis eines Fragebogens sowie Empfehlungen zu weiteren Maßnahmen. Querverweise zu IT-Grundschutz, ISO 27001, IEC62443 und BSI ICS Security-Kompendium helfen bei dem späteren Ausbau des eigenen IT-Sicherheitsmanagements.
IT-Sicherheitskonzepte noch nicht reif für die Industrie
Gerade das Softwarewerkzeug LARS zeigt einen guten Weg auf, wie Industriebetriebe zu einer ersten Selbsteinschätzung ihrer IT-Sicherheitslage und zu einem passenden, nicht zu komplizierten Maßnahmenkatalog kommen. Denkt man aber an die meist geringe Erfahrung mit IT-Sicherheit, auf die man in Industriebetrieben trifft, muss selbst bei diesem recht praktischen Werkzeug noch einiges geschehen, damit der Einstieg in die industriellen IT-Sicherheit so leicht wie möglich wird.
Dies betrifft unter anderem die Bezeichnungen, die in den Konzepten und auch in dem Programm LARS genutzt werden, die mitunter deutlich von der herrschenden IT-Sprache geprägt sind. Die Erfassung des Ist-Zustandes wird zudem dann noch einfacher für Industrieanlagenbetreiber, wenn es mehr Beispiele und Muster gibt, die sich auf den eigenen Betrieb anpassen lassen. Gerade bei der Erfassung eines Netzwerkplans dürfte sich so mancher kleine Industriebetrieb noch schwer tun.
Sowohl bei LARS als auch für das ICS-Kompendium und den kompletten IT-Grundschutz sind weitere Entwicklungs- und Optimierungsmaßnahmen geplant und teilweise bereits im Gange. Dies ist wichtig, denn das Bedrohungspotenzial für die industrielle IT ist hoch. Eine relativ lange Lern- und Erfahrungszeit, wie es in der Office-IT möglich war, ist dem industriellen IT-Bereich nicht gegönnt. Die Maßnahmen zur Unterstützung der industriellen IT-Sicherheit werden schon heute gebraucht, auch wenn die viel zitierte Industrie 4.0 noch auf sich warten lässt.