Seit den ersten Tagen industrieller Fertigung spielte die Sicherheit in der Produktion immer eine entscheidende Rolle. Bei allen Normen und fortschrittlichen Standards kann es aber heutzutage durchaus vorkommen, dass es zu schweren Unfällen mit Maschinen kommt, obwohl alle Sicherheitsvorkehrungen vorschriftsgemäß durchgeführt wurden. Wenn aufgrund einer DDoS-Attacke die interne Elektronik eines Industrieroboters nicht mehr auf den Not-Aus-Schalter reagiert, sind selbst die besten Vorkehrungen obsolet. Anlagenplaner und Sicherheitsbeauftragte haben sich zwar in Bezug auf OT-Safety tadellos verhalten, aber die IT-Security außer Acht gelassen.
Digitalisierung um jeden Preis?
Mit den Schlagworten IIoT, Connected Enterprise oder Industrie 4.0 haben mittlerweile in den meisten produzierenden Unternehmen moderne Technologien und vernetzte Strategien Einzug in die Industrielandschaft gefunden. Ein essentieller Bestandteil der jedem dieser Schlagwörter zugrunde liegt, ist die Vernetzung industrieller Anlagen über eine IT-Infrastruktur, die intelligente Kommunikation zwischen einzelnen Geräten, Steuerungen oder Pumpen ermöglicht. So ist ein Connected Enterprise dazu in der Lage, Bedienern weitreichende Analysetools zur Seite zu stellen und mithilfe der richtigen Software auch vor tatsächlichen Ausfällen zu Wartungsarbeiten aufzufordern oder entsprechende Regulierungen für längere Maschinenlaufzeiten einzuleiten. Solche verlockenden Neuerungen bringen natürlich auch Entscheider dazu, sich für ein Connected Enterprise zu begeistern, in deren Fabriken noch Anlagen aus der Zeit vor der digitalen Revolution ihren Dienst tun. Allein der Konkurrenzdruck und die Zukunftsfähigkeit von Industrieanlagen sind oftmals schon Grund genug sich die in Betrieb befindlichen Anlagen genauer anzusehen und neue Strategien zu verfolgen. Erneuerung und Digitalisierung von Betriebsabläufen sowie Produktionsprozessen geht so oftmals einher mit unzureichender IT-Sicherheitsarchitektur und ungeschultem Personal.
Weitreichende Strategie benötigt
Um die Vorteile einer vernetzten Industrieanlage zu nutzen und sich zugleich nicht angreifbar zu machen, müssen Entscheider bei der Implementierung auf ein verlässliches Konzept setzen und sich vor den ersten Schritten weitreichende Gedanken zur Architektur machen. Die erste unablässige Maßnahme ist dabei die Schaffung einer zuverlässigen, modernen und vor allem sicheren IT-Infrastruktur, die als Grundlage für die Vernetzung von Anlagen, Mitarbeitern und Produkten dient. Wird an dieser Stelle gespart oder nur auf laienhafte Systeme gesetzt, können mögliche Vorteile des IIoT bereits bei einfachen Low-Tech-Malware-Angriffen oder auch Datenschutzverletzungen in Rauch aufgehen. Wichtig bei der Planung und Implementierung sowie dem darauf folgenden Betrieb sind in erster Linie zwei Aspekte: Die Zusammenarbeit mit versierten Partnern im Umgang mit der Digitalisierung von Industrieanalagen und ein geschulter Mitarbeiterstab, in dem die einzelnen Zuständigen sich der neuen Verantwortung auch bewusst sind. Bei der Wahl von Partnern gilt es darauf zu achten, dass sie nicht nur im Umgang mit Industrieanlagen – und somit den produktionsspezifischen Details der Anlagenplanung – richtungsweisende Erfahrung haben, sondern auch auf dem Feld der IT-Sicherheit mehr als nur elementares Verständnis mitbringen. Für jeden Teilbereich an sich gibt es eine immense Auswahl an Unternehmen mit maßgebender Expertise, für beide Teilbereiche kombiniert hingegen höchstens eine Handvoll. Mitarbeitern muss auf der anderen Seite bewusst sein, dass das Connected Enterprise, um reibunsglos zu funktionieren, nicht angreifbar sein darf. Durch einfache Richtlinien und Cyberhygienestandards lassen sich schon viele leicht zu vermeidende Sicherheitsrisiken ausschließen, allerdings müssen Bediener und Instandhalter auch immer damit rechnen, dass das größte Sicherheitsrisiko in Unternehmen oftmals der Mensch ist. Hier unterscheidet sich die Digitalisierung beispielsweise in Schwerindustrieunternehmen nicht von der eines regulären Bürobetrieb. Fahrlässig an das System angeschlossene Geräte, die mit dem Internet verbunden sind und nicht über ausreichende Schutzmaßnahmen verfügen, öffnen selbst bei der besten Netzwerkarchitektur potentiellen Angreifern Tür und Tor.
Beispiel Netzwerksegmentierung
Für produzierende Unternehmen gibt es auch diverse Strategien im Umgang mit Bedrohungen durch die Digitalisierung proaktiv Schwachstellen auszumerzen. Eine der effektivsten und bekanntesten stellt dabei die Netzwerksegmentierung dar, die es durch verschiedene Ausgestaltungen ermöglicht potentielle Angreifer gar nicht erst in die Nähe empfindlicher Anlagen gelangen zu lassen. Während das Konzept in den meisten IT-Abteilungen bereits breite Anwendung findet, ist es in Industrieunternehmen gerade erst dabei sich nachhaltig durchzusetzen. Bekannte Beispiele für die Funktionsweise von Netzwerksegmentierung sind virtuelle LANs (VLAN) oder eine Industrial Demilitarized Zone (IDMZ). Während sich beide Ansätze in der Herangehensweise unterscheiden ist das Ziel gleich: Kritische Systeme innerhalb einer Fabrik davor schützen mit potentieller Malware oder gezielten Angriffen in Kontakt zu geraten. Dabei werden bei VLAN durch Broadcast-Domänen innerhalb eines geschalteten Netzwerks verschiedene angeschlossene Geräte auf lokaler Ebene getrennt statt auf physikalischer. Die IDMZ hingegen kann man sich als digitales Niemandsland vorstellen, dass die Kommunikation zwischen Außenwelt und geschützten Bereichen komplett unterbricht. Besonders wichtig ist in allen Fällen, dass Unternehmen erkennen, das ein Connected Enterprise die Zukunft bedeutet und man sich darauf einstellen muss, dass man nur durch dieses Mittel langfristiges Wachstum erreichen kann. Digitalisierung auf die leichte Schulter zu nehmen und sich nur am Rande um das wichtige Thema IT-Security zu kümmern, kann aber schnell dazu führen, dass Investitionen auf diesem Feld mehr schaden als nutzen. Deswegen ist es unerlässlich sich strategisch sinnvoll zu positionieren und den Ausbau mit Experten anzugehen, die sich mit den Bedürfnissen der Unternehmen auskennen und zugleich Spezialisten für IT-Security sind.
