Downloads im Maschinenraum

IT-Sicherheit und Produktion verschmelzen

03.06.2015 von xxxxxxxxxxx xxxxxxxxxxxxxx
Industrial Security ist die IT-Sicherheit in der Produktion, und sie hat noch eine Menge Nachholbedarf. Sie ist heute an dem Punkt, an dem die klassische IT-Security in den 90er Jahren war. Mit Industrie 4.0 ändert sich einiges.
Schutzhelme alleine reichen für die Sicherheit in den Produktionswerkstätten künftig nicht mehr aus.
Foto: Kaspersky Lab

Das interne Firmennetz wurde früher an die Außenwelt angeschlossen und für Unternehmen entstanden neue Möglichkeiten, aber auch neue Probleme und Fragen. In den letzten 20 Jahren wurden für viele Bereiche praktikable Lösungen entwickelt, wie etwa ein System für Identity und Access Management (IAM) oder für Security Monitoring. Nun muss die Produktion nachziehen - für sie gilt es, Office-IT und Produktion so miteinander zu verbinden, dass Bewährtes übertragen wird und Synergien entstehen.

Um den Traum der Industrie 4.0 wahr werden zu lassen, müssen die physischen und digitalen Grenzen von Entwicklungsabteilung und Produktion verschmelzen. Je weniger Zwischenschritte, desto höher ist am Ende die Marge für Unternehmen.

Neue Sicherheitsanforderungen

Unter Arbeitssicherheit in der Produktion verstand man bisher, einen Helm zu tragen und die Finger von Getrieben fernzuhalten. Mit der Entstehung der "Fabrik der Zukunft" wächst jedoch zusätzlich die Gefahr von außen: Unternehmen müssen nicht mehr nur die interne Sicherheit ihrer Mitarbeiter gewährleisten, sondern außerdem gegen externe Angriffe gewappnet sein.

Denn Industrie 4.0 verspricht zwar standardmäßig Maschinen mit Internetverbindung, begünstigt dadurch aber gleichzeitig Cyberkriminelle, die größtenteils auf Industriespionage aus sind. Der Schaden, der der deutschen Wirtschaft dadurch bereits entsteht, geht in die dreistellige Milliardenhöhe. Doch selbst, wenn es der Hacker "nur" auf Sabotage abgesehen hat, kann gewaltiger Schaden angerichtet werden - etwa, wenn Rückrufaktionen wegen Materialfehler nötig sind.

Gartner zur Industrie 4.0
Industrie 4.0 - Leitfaden für CIOs
Stephen Prentice (Gartner) legt den IT-Verantwortlichen zwölf Dinge ans Herz, die sie für den IT-Beitrag zu Industrie 4.0 beachten beziehungsweise tun sollten:
1. Nur keine Panik!
Industrie 4.0 ist kein Sprint, sondern ein Marathon. Die gute Nachricht: Wenn man nicht so genau sieht, wo es hingeht, kann man bislang auch nicht wirklich eine Gelegenheit verpasst haben.
2. Integrieren Sie Informationstechnik und operationale Technik!
Unter operationaler Technik (OT) versteht Gartner Ingenieurtechnik mit einer Langzeitperspektive. Sie liefert Information über das, was im Inneren der Produktionssysteme vor sich geht. Dabei ist sie digital, aber nicht integriert.
3. Steigern Sie den Reifegrad Ihres Fertigungsprozesses!
Lernen Sie Ihre Mitspieler auf der Produktionsseite kennen. Verstehen Sie deren Sorgen und Hoffnungen und planen Sie den gemeinsamen Fortschritt auf einem fünfstufigen Weg.
4. Integrieren Sie Ihre Informations-Assets!
Reißen Sie Ihre Silos nieder und öffnen Sie Ihre Unternehmenssysteme auch für externe Informationsquellen: Wetterdaten, Social Media etc. "Ihre wertvollsten Daten könnten von außerhalb Ihres Unternehmens stammen", konstatierte Gartner-Analyst Prentice.
5. Verinnerlichen Sie das Internet der Dinge!
Das Internet of Things (IoT) ist der international gebräuchliche Begriff für das, was die Grundlage der Industrie 4.0 - und des digitalen Business - bildet.
6. Experimentieren Sie mit Smart Machines!
Virtuelle Assistenten für die Entscheidungsunterstützung, neuronale Netze, cyber-physikalische Systeme, Roboter und 3D-Druck mögen aus der heutigen Perspektive noch als Spielerei erscheinen. Aber es lohnt sich, ihre Möglichkeiten auszuloten.
8. Scheuen Sie sich nicht, den Maschinen ein paar Entscheidungen anzuvertrauen!
Der Fachbegriff dafür ist Advance Automated Decision Making. Es gibt schon einige Bereiche, wo Maschinen statt des Menschen entscheiden, beispielsweise bei der Einparkhilfe für Kraftfahrzeuge.
9. Denken Sie wirklich alles neu!
Jedes Produkt, jeder Service, jeder Prozess und jedes Device wird früher oder später digital sein. Denken Sie sich einfach mal Sensoren und Connectivity zu allem hinzu.
10. Führen Sie bimodale IT ein!
Die Koexistenz zweier kohärenter IT-Modi (einer auf Zuverlässigkeit, einer auf Agilität getrimmt) gehört zu den Lieblingsideen der Gartner-Analysten. Stabilität und Schnelligkeit lassen sich so in der jeweils angemessenen "Geschwindigkeit" vorantreiben.
11. Kollaborieren Sie!
Werden Sie ein Anwalt für Industrie 4.0. Schließen Sie sich Peer Groups, Konsortien und Standardisierungsgremien an. Denn die besten Ideen müssen nicht zwangsläufig aus dem eigenen Unternehmen kommen.
12. Halten Sie die Augen offen!
Die Dinge verändern sich - ständig. Erfolgreiche Unternehmen wie Google und Amazon wissen das. Sie sind immer auf der Suche nach neuen Entwicklungen und Möglichkeiten.
7. Werden Sie ein Digital Business Leader!
Der CIO sollte sich für das digitale Business engagieren. Dazu muss er aber seinen Elfenbeinturm verlassen. Denken Sie von innen nach außen, rief Prentice die IT-Chefs auf, und verbringen Sie etwa 30 Prozent Ihrer Arbeitszeit mit Menschen von außerhalb Ihrer Organisation.

Eingriff von außen

Einem externen Zugriff auf die Produktion zuzustimmen, kann viele gute Gründe haben. Der Hersteller etwa kann um einiges effizienter unterstützen, indem er Probleme durch einfaches Einloggen löst, statt erst eine längere Anreise in Kauf zu nehmen. Auch Anlagenbetreiber können Interesse an Fernwartung haben, etwa wenn es keine andere praktikable Lösung gibt. Muss bei Offshore-Windanlagen die Software überprüft werden, kann schlecht jedes Mal ein Team mit dem Boot aufs Meer hinaus fahren.

Die Außenwelt wächst hier in die Produktion hinein, und die bisher getrennten Kreise der Office-IT, die auch die Entwicklung beherbergt, und der Produktions-IT wachsen langfristig zusammen. Damit wird deutlich, dass ein erheblicher Teil der Industrie 4.0 in der Kommunikation besteht - von Maschinen untereinander (M2M), aber auch von Mensch und Maschine. Vor allem, wenn diese Kommunikation nicht über ein Display läuft, sondern über das Internet.

Mit den neuen Entwicklungen in der Industrie erhält auch der Produktionssicherheitsbeauftragte neue Aufgaben. Problematisch wird es dann, wenn ihm nun Aufgaben zugewiesen werden, die bisher dem IT-Leiter zufielen - Themen wie Zugriffskontrolle, Security Monitoring, Firewalls, Malware, etc. finden ihren Weg in die Produktionshalle. Die Produktionsabteilung wird vor bisher unbekannte Herausforderungen gestellt. Es gilt also, die Synergie zwischen Produktions-Sicherheit und Office-Sicherheit zu erkennen und zu nutzen, wofür die nötigen Kompetenzen der IT-Manager genutzt werden sollen, die sich auch in der Produktion einsetzen lassen.

Warum Sie sich jetzt um Industrie 4.0 kümmern sollten
Warum Sie sich jetzt um Industrie 4.0 kümmern sollten
Industrie 4.0 bietet zahlreiche Chancen, um die Herstellungsprozesse nicht nur nachhaltig zu verbessern, sondern einen Quantensprung innerhalb der Produktion zu erreichen.
Individualisierung von Kundenwünschen ...
... durch Rentabilität bei der Produktion von Kleinstmengen (Losgröße 1), Berücksichtigung individueller und kurzfristiger Kundenwünsche beim Design sowie in der Planung und Produktion.
Flexibilisierung und Verkürzung ...
... der Lead Time und Time to Market.
Dynamische Geschäftsprozess-Gestaltung ...
... durch Verkürzung von Entwicklungszeiten und Ad-hoc-Vernetzung von cyber-physischen Produktionssystemen.
Schnelle, flexible Reaktion auf Veränderungen ...
... wie Ausfälle von Zulieferern oder kurzfristige Erhöhung von Liefermengen. - Durchgehende (digitale) Transparenz in Echtzeit, dadurch schnelle und flexible Entscheidungen sowie globale Optimierungen in Entwicklung und Produktion.
Optimierung der Produktion ...
... hinsichtlich Ressourcen- und Energieverbrauch sowie Emissionen.
Predictive Maintenance ...
... im Produktionsbereich (Vorhersage und Optimierung von erforderlichen Wartungsprozessen).
Innovative Geschäftsmodelle, ...
... Dienstleistungen und B2B-Services durch Themen wie Big Data und RFID-Chips, Angebote für komplette Lösungen und Rundum-Dienstleistungen.
Demografieorientierte Arbeitsgestaltung ...
... durch das Zusammenspiel zwischen Mensch und technischen Systemen.
Verbesserte Work-Life-Balance ...
... aufgrund höherer Flexibilität in der Arbeitsorganisation.

Meldung über Missbrauch

Der Entwurf des IT-Sicherheitsgesetz sorgte im letzten Jahr für Aufsehen: Unternehmen, die Opfer von Cyberangriffen geworden sind, sollen registriert werden. Das Gesetzesvorhaben betrifft zwar explizit sogenannte kritische Infrastrukturen, also etwa Krankenhäuser, Verkehrsbetreiber und Energieversorger, jedoch wird dies auch in Produktionsunternehmen im Hinblick auf Werksspionage und Sabotage mehr und mehr sinnvoll.

Eine mögliche Lösung bietet das ebenfalls aus der Office-IT bekannte Security Monitoring: Jede Maschine besitzt dabei seine eigene, eingebaute Sicherheits-Kontrollfunktion, die verdächtige Anwendungen meldet. Nur an wen eigentlich? Wer prüft Meldungen von tausenden Maschinen, die mehr Protokolle als Produkte erzeugen? Hier lohnt sich ein weiteres, nachgelagerten Security Monitoring, das alle Meldungen mit intelligenten und lernfähigen Algorithmen überprüft. Dies ist unterm Strich also nichts anderes als die bekannten Lösungen zum Security Information and Event Management (SIEM), wie sie in der Office-IT seit Jahren erfolgreich eingesetzt werden.

Eine weitere Lösung, die aus der Office-IT übernommen wird, bietet die Verwaltung von Zugriffsrechten und Identitäten (IAM). Im Produktionsumfeld geht es dabei allerdings weniger um die Handhabung von einer Großzahl an verschiedener Identitäten, sondern vielmehr um Berechtigungsvergabe. Da die Anzahl der Befugten meist überschaubar ist, spielen Fragen der Kontrolle die größere Rolle. Nutzer mit besonderen und kritischen Zugriffsrechten stellen immer ein Risiko dar, daher muss die Rechtevergabe hier besonders eingehend geprüft und mit klaren Richtlinien versehen werden.

Fazit

Es lassen sich also einige Lektionen aus der Office-IT lernen, um sie in der Industrial Security anzuwenden. Deutsche Maschinenbauer haben nicht den Ruf, besonders sprunghaft zu sein und gehen daher das Internet der Dinge langsam an - das ist auch gut so, denn so bietet sich die Möglichkeit, aus bestehendem Wissen zu lernen und nicht zweimal die gleiche Lernkurve in Sachen IT-Sicherheit durchlaufen zu müssen.