Die zunehmende Digitalisierung der Industrie und der darin genutzten Maschinen und Geräte ist eine konsequente Weiterentwicklung der bisherigen industriellen Prozesse. Die Vorteile der Vernetzung sind nicht von der Hand zu weisen: Interaktion von multinationalen Standorten, intelligente Systeme mit Selbstdiagnose, Selbstwartung und mehr, kürzere Reaktionszeiten bei veränderten Produktionsbedingungen, nahtlose Integration von Kunden und Zulieferern in die Wertschöpfungskette. Im Grunde wird ein betrieblich genutztes Internet der Dinge als Grundlage für die Industrie 4.0 geschaffen. Aber hat dort auch Sicherheit schon ihren Platz gefunden? Diese Konnektivität, die das Business und auch die Forschung leichter machen soll, bringt auch ein höheres Risiko mit sich. Die Kehrseite der Medaille ist nämlich, dass neue potentielle Angriffsflächen für Betreiber der digitalen Geräte entstehen – die Anbindung an das Internet als verbindendes Element ist Risiko Nummer 1. Jedes Gerät, das eine IP-Adresse hat, ist eine potenzielle Gefahrenquelle für das interne Netz und Nutzer des Internets. Die Konsequenzen von kompromittierten Industrieanlagen sind viel weitreichender als die von gehackten PCs. Daher sind auch höhere Sicherheitsanforderungen erforderlich, in einer Umgebung, die produktiver und sensibler gar nicht sein kann. Der gerade erschienene Cyber Security Report der Deutschen Telekom offenbart, dass 90 Prozent der Entscheider aus Politik und Wirtschaft IT-Sicherheit als die größte Herausforderung für die flächendeckende Umsetzung von Industrie 4.0 sehen.
Aus Fehlern lernen
Industrie 4.0 wird häufig auf verschiedenen Ebenen mit dem Internet der Dinge, dem Internet of Things (IoT) in Verbindung gebracht. Intelligente Küchengeräte, uns ständig am Handgelenk begleitende Messuhren, vernetzte Autos und noch viel mehr. All das ist inzwischen häufig in unseren Alltag integriert.
Aus unserer Erfahrung heraus zeigt sich, dass auch bei diesen intelligenten Dingen sichere Update-Mechanismen, Passwort-Schutz, Authentifizierung zwischen Geräten und die Wahl von sicheren Übertragungsprotokollen und viele Dinge mehr leider wiederholt nicht beachtet werden. IT-Sicherheit wird jedoch bisher im IoT-Kontext häufig nicht als großes Problem eingestuft und aus verschiedenen Gründen gern hinten angestellt. Diese Grundeinstellung öffnet den Angreifern Möglichkeiten zum Missbrauch. Die zuvor erwähnte Studie macht Mut, dass sich dieses Bewusstsein mit Blick auf die Industrie 4.0 wandelt.
Daher gilt es hier das Thema Sicherheit schon im Entwicklungsprozess der einzusetzenden Gerätschaften und Netzwerke, ernst zu nehmen und mit Priorität zu behandeln. Insbesondere die Entwickler von Firmware und Software müssen Regeln befolgen. Das Rad muss ja nicht neu erfunden werden; in vielen Fällen werden Technologien verwendet, die sich im Internet bewährt haben. Ebenso bewährt sind systematische Angriffe auf Protokolle, Dienste und Plattformen. Hier kann, oder besser muss, man also schon aus dem Bekannten lernen.
Glücklicherweise gibt es vor allem im Bereich IoT keine standardisierten Plattformen für intelligente Geräte, was die Angreifer und Malware-Entwickler etwas ausbremst, denn für welches Betriebssystem sollten sie sich beispielsweise entscheiden? Der Nachteil ist dabei jedoch, dass es für die meisten intelligenten Geräte auch noch keine Sicherheitssoftware gibt.
In jedem Fall: Wer Geräte aus Industrieanlagen in diesen vernetzten Kontext stellt, sollte die etablierten Angriffe kennen, dabei auch gerne mal die Sicht eines Angreifers einnehmen, und die bewährten Gegenmaßnahmen bei der Entwicklung von allen Geräten, die eine IP-Adresse haben, berücksichtigen. Eine fundierte Ausbildung und vor allem auch kontinuierlicher Fortbildung aller Beteiligten sind in diesem Zuge unerlässlich! Dabei ist die Interdisziplinarität von Mitarbeitern eine willkommene Qualität, denn dann wissen sie auch über den Tellerrand hinauszublicken und andere Sichtweisen mit in ihre Arbeit einfließen zu lassen.
Sicherheit, von Beginn an
„Sicherheit ist nicht irgendeine Art von Feenstaub, den man auf sein Produkt streuen kann, nachdem es programmiert wurde.“ Dr. Paul Vixie, Internetpionier, auf den Internet Security Days 2015.
Allzu häufig sind Entwickler dazu gezwungen, Produkte unfertig auszuliefern, da ein Release unwiderruflich geplant wurde und der Markt das Produkt verlangt. Die Entwicklung zur eigentlich fertigen Version findet dann statt, während das Produkt schon auf den Geräten des Verbrauchers im Einsatz ist. Leider stellen wir immer wieder fest, dass sich Hersteller vor allem um die Funktionen und die Benutzerfreundlichkeit der Geräte kümmern und ein weniger ausgeprägtes Sicherheitsbewusstsein haben. Wünschenswert wären jedoch integrierte Sicherheitskonzepte, auch „Security by Design“ genannt.
Die Entwicklung ist ganz sicher die Basis für eine funktionierende und sichere Umgebung, doch selbstverständlich stellt sich an diesem Punkt auch die Frage, wer schlussendlich im Betrieb für die Sicherheit verantwortlich ist. Auch hier müssen qualifizierte Fachkräfte individuelle Konzepte erarbeiten und umsetzen. Idealerweise werden Sicherheitsrichtlinien und -prozesse jedoch nicht nur von oben aufgesetzt, sondern sind Teil einer Sicherheitskultur innerhalb eines Unternehmens und reduzieren so auf jeder Ebene das Risiko.
Gemeinsam voran gehen
Just-in-time Produktion und Lieferung, agile Methoden… sie sind aus dem Arbeitsleben nicht mehr wegzudenken, doch die Sicherheit muss einen prominenten Platz in diesem nächsten Schritt der industriellen Revolution finden. Sie möchten ihre Daten sicher wissen, vor digitaler Spionage, Manipulation und Cyber-Erpressung; ebenso wie der Feuerwehrmann sich darauf verlassen möchte, dass seine Kleidung feuerfest hergestellt wurde und die schützende Stoffschicht nicht erst nächste Woche eingenäht wird.
Industrie 4.0 kann für sehr viele Geschäftsfelder und Forschungseinrichtungen ein großer Gewinn werden und sein. Wichtig ist aber die Kollaboration zwischen den unterschiedlichen Fachbereichen und Experten. Dabei soll es nicht, wie schon kritisch angemerkt wurde, nur um eine Idee auf dem Reißbrett gehen, sondern das Vorhaben soll zu einer lebendigen Entwicklung werden, die zukunftsweisende Fortschritte für alle Beteiligten bedeutet.Wir haben jetzt die Chance, einer im Aufbau begriffenen neuen Technologie-Entwicklung grundlegende Sicherheitsmerkmale mit in die Infrastruktur aufzunehmen. Und diese Chance sollten wir nutzen. Und dann sind wir wieder bei dem Konzept „Intelligent“: Abgesehen von Smart Grids, Smart Factorys, Smart Citys, Smart Cars, Smart usw. brauchen wir auch Smart Security.