Gefahren bei Industrie 4.0
Eine vernetzte Industrie ist anfälliger für Angriffe
Die ersten Schritte
Wie sollten Unternehmen konkret vorgehen? Im ersten Schritt müssen die Verantwortlichkeiten festgelegt werden. Während diese im Office-Umfeld in der Regel geklärt sind, gibt es in der Produktion meist keinen Zuständigen für die Sicherheit. Idealerweise existiert nicht nur pro Werk ein Security-Beauftragter, sondern auch ein zentraler Chief SecuritySecurity Officer (CSO), der für die Niederlassungen und Werke weisungsbefugt ist. Die organisatorischen Prozesse hat der Vorstand freizugeben, bevor Entscheidungen über technische Lösungen fallen. Alles zu Security auf CIO.de
In den meisten Chefetagen herrscht hier noch viel Aufklärungsbedarf. Oft muss erst ein Security-Vorfall geschehen, damit sich das nötige Gefahrenbewusstsein entwickelt. Gerade dafür wäre ein Erkennungssystem für Angriffe nötig, das jedoch oft nicht existiert. Zudem verschweigen Unternehmen häufig Sicherheitspannen, um einen Imageschaden zu vermeiden.
Im Falle komplexer Zulieferketten und vieler Partner reicht der Schutz des eigenen Unternehmens nicht aus. Hier sind auch die Externen über umfassende Sicherheitsmaßnahmen und Richtlinien in das Gesamtkonzept einzubinden. Sonst besteht die Gefahr, dass die Produktion über die Zulieferer kompromittiert wird, wie das in der Office-IT im Fall von RSA Security und Lockheed Martin schon geschehen ist.
Sind die organisatorischen Fragen geklärt, sollten Unternehmen in einem Referenzprojekt in einem Werk eine umfangreiche Sicherheitslösung aufbauen, die sich andere Niederlassungen praxisnah ansehen und vom Werksleiter erklären lassen können. Dann wird Sicherheit in der Industrie 4.0 von einem theoretischen Mangel zu einer praktischen Lösung.
Fazit
In der Office-IT hat es mehr als zehn Jahre gedauert, bis Unternehmen ein vernünftiges Sicherheitsniveau erreicht haben. Eine so lange Wartezeit können sie sich für ihre Produktionsumgebungen nicht leisten. Daher gilt es, auch in der eigenen Fertigung Information Security besonders ernst zu nehmen.
Unternehmen können zwar von den Erfahrungen klassischer IT-Lösungen profitieren, doch der Aufwand für Anpassungen und organisatorische Prozesse ist keinesfalls zu unterschätzen. Deshalb sollten die Unternehmen bereits jetzt damit anfangen. Sicherheit darf nicht als Hindernis gesehen werden, sondern als Erfolgsgarant - denn ohne sie wird Industrie 4.0 langfristig nicht bestehen können.
Dror-John Röcher ist Lead Consultant Secure Information bei der Computacenter AG & Co. oHG.