Informationssicherheit in der Produktion / Industrie 4.0
Bei dem Phänomen der Industrie 4.0, also der Fusion von Produktion und IT-Welt, handelt es sich um einen der wichtigsten Meilensteine in der IT-Entwicklung. Allerdings weniger um eine Revolution, sondern sicher eher um eine Entwicklung, die interessante Antworten auf Fragen der Effizienzsteigerung sowie neue Business- und Servicemodelle geben kann, aber doch noch erhebliche Fragen in Bezug auf Security und Safety aufwirft. Solange diese Fragen nicht gelöst sind, dürfte es die vielbeschworene vierte industrielle Revolution schwer haben, sich durchzusetzen. Aus seiner Beratungserfahrung weiß TÜV Rheinland: Der hohe Schutzbedarf von produzierenden Unternehmen erfordert innovative und integrierte Sicherheitskonzepte. Das Bewusstsein für die Herausforderungen an die Informationssicherheit in der Industrie nimmt erfreulicherweise zu. Allerdings muss man auch einräumen: Während die Notwendigkeit von Safety-Maßnahmen (Unversehrtheit des Menschen) unbestritten ist, herrscht im Bereich der Security (Schutz der digitalen Systeme) noch Unsicherheit über den benötigten Schutzbedarf. Fakt ist, dass sich die Bedrohungslage für Industrieanlagen durch die stetige digitale Vernetzung verschärft hat. Zuführungs-, Steuer- und Prozessdatensysteme wachsen immer mehr zusammen, der Einsatz mobiler Endgeräte steigt, z.B. zur Fertigungssteuerung. Darüber hinaus erfolgen Datenzugriffe inzwischen unternehmensweit und nicht mehr über in sich geschlossene Netze. Störfälle in einem Netz können andere Netzwerke und dadurch Produktionsanlagen beeinflussen. Insbesondere in der Energiebranche gibt es glücklicherweise eine ausgeprägte Awareness für die Komplexität, Kritikalität und Sensibilität dieses Zusammenspiels – und auch hier ist TÜV Rheinland wie in vielen anderen Branchen mit integrierten Sicherheitskonzepten bereits unterwegs. Dennoch: Die Ergebnisse, die bei Bestandsaufnahmen in Produktionsumgebungen ermittelt werden, sind bisweilen abenteuerlich. Oft ist statt des verantwortlichen Produktionsleiters die IT-Abteilung eines Unternehmens mit der Anlagensoftware beauftragt – ohne die Erfordernisse der Industrieanlagen wirklich zu kennen. Manche Unternehmen berücksichtigen die Produktionsnetze bei der IT-Sicherheitsplanung gar nicht erst. Oder sie glauben, die Security-Lösungen aus der Bürowelt einfach auf die Steuerungs- und Leittechnik in der Produktion übertragen zu können. Hinzu kommt ein strukturelles Problem: Häufig ist von der Office- bis zur Produktions-IT alles miteinander verknüpft. Dies mag auf den ersten Blick zwar große Chancen fürs Controlling bieten, ist aber meist mit erhöhtem Sicherheitsrisiko verbunden. Denn viele Kommunikationsschnittstellen sind oft nicht ausreichend gesichert. Wenn es darum geht, die IT-Sicherheit in der Organisation zu erhöhen, leistet TÜV Rheinland auch konzeptionelle Unterstützung, entweder im Bereich von Sicherheits-Policies und Infrastrukturthemen oder bei Ausschreibungen, um die Sicherheitsaspekte in Bezug auf Security, die die Anbieter zu berücksichtigen haben, zu definieren. Denn Informationssicherheit ist heute eng mit dem Aspekt Safety verbunden. TÜV Rheinland definiert dabei die Security-Anforderungen, achtet aber darauf, dass diese die Safety-Anforderungen nicht beeinträchtigen. Man kann nicht einfach mitten in der Produktion einen neuen Virenscanner installieren. Um eine hohe Verfügbarkeit der Anlagen sicherzustellen und wirtschaftlich schwerwiegende Ausfälle zu vermeiden – und damit sind nicht nur Fertigungsanlagen, sondern auch Kraftwerke gemeint -, befasst sich TÜV Rheinland intensiv mit konkreten IT-Sicherheitslösungen für Produktionsumgebungen.