Schon bei der Planung einer ­Maschine muss Security ein Thema sein. Im Betrieb darf es dann nicht an den Zuständigkeiten scheitern. Da ist Kommunikation gefragt.

Schon bei der Planung einer ­Maschine muss Security ein Thema sein. Im Betrieb darf es dann nicht an den Zuständigkeiten scheitern. Da ist Kommunikation gefragt.Fotolia.com

Techniker sind es gewohnt, technischen Problemen mit technischen Lösungen zu begegnen. In der Informationssicherheit hat sich jedoch die Erkenntnis durchgesetzt, dass sich die Probleme nicht allein mit Technik lösen lassen. Viel wichtiger sind die zu etablierenden Security-Prozesse, die etwa in einem Information Security Management System (ISMS) spezifiziert sind. Die Verantwortung für diese Prozesse tragen Menschen, die einen fachübergreifenden Austausch brauchen, um ihrer Aufgaben erfüllen zu können. An erster Stelle steht hier der jeweilige Produktionsleiter mit seinen Mitarbeitern in Produktion und Instandhaltung. Ihnen die ganze Last der Informationssicherheit aufzubürden ist nicht möglich und auch nicht sinnvoll. Der Hebel für eine nachhaltige Verbesserung der Sicherheitslage muss also früher, bei der Planung und Realisierung einer neuen Produktionseinrichtung angesetzt werden. Das Stichwort dazu heißt ‚Security by Design‘. Security by Design ist ein Konzept aus der Software-Entwicklung. Dessen Ziel ist es, Security-Aspekte bereits in den Entstehungsprozess der Software einfließen zu lassen, anstatt erst im Nachhinein Sicherheitslücken der fertigen Software zu schließen. So geht es beispielsweise darum, die Prüfung von Ein- und Ausgaben zu integrieren, um Cross Site Scripting zu verhindern, oder Authentifizierung einzurichten, um unauthorisierte Zugriffe zu blocken. Die gleichen Prinzipien müssen auch bei einer nachhaltigen Anlagenplanung zur Anwendung kommen.

Dafür ist ein reger Austausch zwischen den einzelnen Disziplinen Pflicht. Doch der findet in den Unternehmen auch unter den etablierten Fachbereichen kaum statt. Im Maschinenbau wird schon seit mehr als 20 Jahren von mechatronischen Systemen gesprochen. Eine interne Marktanalyse zum Engineering im Maschinenbau aus dem Jahr 2012 zeigt aber, dass etwa 80 % der deutschen Maschinenbauer ihre Maschinen noch in der traditionellen, seriellen Arbeitsweise herstellen – erst die Mechanik, dann die Elektronik, zuletzt die Software –, ohne dass sie Konzepten zur sicheren Software-Entwicklung einhalten. Dies lässt außer Betracht, dass in Zukunft zusätzlich die IT-Fachleute mit einbezogen werden müssen.

Orientierung wie eine solche Integration funktionieren kann, gibt die Richtlinie VDI/VDE 2182 Blatt 1. Sie geht davon aus, dass nicht eine Person allein die Informationssicherheit sicherstellen kann, sondern dass dies nur im Team mit unterschiedlichen Qualifikationen, wie Entscheider, Security-, System- und Anwendungsexperten, möglich ist. Das bedeutet auch, dass die Vertreter aus Produktion, Automatisierung und klassischer IT aufeinander zugehen. Die Informationstechnik muss sich für die Besonderheiten der Produktion öffnen, und ihr oftmals starres Regelwerk anpassen – während die Automatisierungstechnik lernen muss, ihre besonderen Anforderungen für die IT-Spezialisten verständlich zu formulieren. Gegenseitiges Verständnis und Offenheit sind hier Grundvoraussetzungen für eine gelingende Kooperation.

Aufgrund des steigenden Anforderungsprofils für Spezialkenntnisse der IT und Produktion wird die Einführung neuer Rollen notwendig, beispielsweise eines Verantwortlichen für Informationssicherheit in der Produktion.

Aufgrund des steigenden Anforderungsprofils für Spezialkenntnisse der IT und Produktion wird die Einführung neuer Rollen notwendig, beispielsweise eines Verantwortlichen für Informationssicherheit in der Produktion.Accessec

Zuständigkeiten klären

Letztendlich gehen sicherheitsstrategische Konzepte nur auf, wenn alle Mitarbeiter an einem Strang ziehen – auch externe Dienstleister, die temporär oder dauerhaft im Unternehmen arbeiten. Dafür brauchen Organisationen klare Strukturen, die beispielsweise Fragen hinsichtlich der Zuständigkeiten eindeutig beantworten: sowohl für die Planung, den Einkauf, die Inbetriebnahme als auch die fortlaufende Wartung von IT- und Automatisierungskomponenten in der Produktion. Die Zuordnung von Verantwortung sollte auf einheitlichen Richtlinien und auf standardisierten Schnittstellen bei Komponenten und Systemen aufbauen. Dem typischen Fachplaner für Produktionsanlagen muss also von Anfang an ein Leitfaden für die Vernetzung und eine Vorgabe für die Auswahl der Anlagen-inhärenten IT-Komponenten mitgegeben werden. Zudem ist eine enge Zusammenarbeit mit den Netzwerk-Architekten und den Prozessplanern erforderlich, denn nur letztere können den Bedarf für übergreifenden Datenaustausch definieren, den erstere dann in ihre Planungen einfließen lassen können. Der Anlagenplaner muss darauf basierend erkennen, für welche Datentypen und -mengen seine Anlage Lieferant oder Empfänger sein wird und entsprechende Schnittstellen vorsehen. Aufgrund des steigenden Anforderungsprofils für Spezialkenntnisse der IT und Produktion wird die Einführung neuer Rollen notwendig sein, beispielsweise die eines Verantwortlichen für Informationssicherheit in der Produktion (siehe IEE Ausgabe November 2013, S. 74). In diesem Kontext bieten sich mitunter auch modernere Organisationsmodelle an, die einerseits eine klare Zuständigkeit für die ‚Shopfloor IT‘ definieren und andererseits Raum für die neue Rolle des ‚Production Security Officers‘ oder des ‚Automation Security Specialist‘ zulassen. Die durch den Fachkräftemangel auf lange Sicht unvermeidbaren Kompetenzlücken können spezialisierte Dienstleister schließen. Den internen Mitarbeitern der beauftragenden Abteilungen fällt jedoch weiterhin die komplexe Aufgabe zu, diese externe Unterstützung zu planen, abzugrenzen und auf Spezialthemen zu fokussieren. Folglich sollten Maschinenbauer den Dienstleistern jeweils den Auftrag zur umfassenden Dokumentation ihrer Tätigkeiten auferlegen sowie auf eine Know-How-Übertragung an interne Mitarbeiter achten.

Etwa 60 % der Hersteller von speicherprogrammierbaren Steuerungen haben in ihrer Organisation noch keine Security-Prozesse für die Entwicklung neuer Produkte etabliert. Bei bereits existierenden Produkten beträgt der Anteil ohne eingeführte Security-Proze

Etwa 60 % der Hersteller von speicherprogrammierbaren Steuerungen haben in ihrer Organisation noch keine Security-Prozesse für die Entwicklung neuer Produkte etabliert. Bei bereits existierenden Produkten beträgt der Anteil ohne eingeführte Security-ProzeCAT-Consulting für Automatisierungstechnik

Industrie 4.0 erfordert Umdenken

Durch den Wegfall der klassischen Automatisierungspyramide wird die IT-Welt direkt mit Automatisierungsgeräten, -systemen und Maschinenmodulen verbunden, was die Anzahl der Kommunikationsbeziehungen stark erhöht. Die Einführung von IP-Adressierungen bis auf die Ebene der Sensoren und Aktoren ist hier nur eine von zahlreichen kritischen Veränderungen der Technik. Darüber hinaus vermehrt sich auch das auszutauschende Datenvolumen, weil neben den in der Vergangenheit oft übertragenen Soll-, Ist- und Fehlermeldungen nun auch organisatorische Informationen wie Aufträge, Produktions- und Qualitätsdaten bis auf die unterste Ebene übertragen werden. Die vormals propagierte Trennung von Büro- und Produktionsnetzen lässt sich in diesem Umfeld nicht mehr realisieren. Die Suche nach neuen Ansätzen für den sicheren Datenaustausch hat längst begonnen – etwa die Nutzung von Demilitarisierten Zonen (DMZ), Proxyservern und spezifischen Schnittstellen für den Datenaustausch (API – Application Programming Interfaces).

Letztendlich sollen die Produktionsanlagen über ihren gesamten Life Cycle sicher betrieben werden können – auch ohne die Kenntnis zukünftiger Bedrohungen. Hilfreich ist hier eine radikale Abwendung von der ‚Do-not-touch‘-Politik der Anlagenbauer hin zu einem offenen Diskurs über update- und upgrade-fähige Anlagen. Begriffe wie Patchmanagement dürfen für die Automation nicht länger ein Tabu sein.

Beim Aufbau einer übergreifenden Sicherheitsarchitektur sollten die technischen Security-Aspekte der verwendeten Geräte und Systeme betrachtet werden. Denn der bisherige hohe Integrationsaufwand durch die individuelle Verknüpfung der Anlagen hat zu vielen Schwachstellen geführt. Diese können standardisierte Datenschnittstellen etwa im Bereich MDE/BDE oder der Ansteuerung von Anlagen – Stichwort API – entschärfen. Weiterhin ist zu prüfen, ob ein verwendetes Gerät oder System mit implementierten und dokumentierten Security-Eigenschaften für seinen Selbstschutz sorgen kann. Eine im Frühjahr 2014 vom Autor Klaus Koch durchgeführte Marktanalyse hat gezeigt, dass etwa 60 % der Hersteller von speicherprogrammierbaren Steuerungen in ihrer Organisation noch keine Security-Prozesse für die Entwicklung neuer Produkte etabliert haben. Bei bereits existierenden Produkten beträgt der Anteil ohne eingeführte Security-Prozesse sogar knapp 80 %.