Security 4.0
Industrie-4.0 braucht Sicherheit
Fortsetzung des Artikels von Teil 2
Informationssicherheit für Industrie 4.0
Die für Industrie-4.0 notwendige vollständige Integration wird die heute häufig vorhandene organisatorische Trennung von Office- und Fertigungs-IT überwinden müssen. Wenn etwa die zu schützenden Konstruktionsdaten von einem Ingenieur in seinem Büro erarbeitet, aber in der Fertigung, gegebenenfalls sogar in einem anderen Unternehmen verwendet werden, muss das Sicherheitskonzept ganzheitlich und umfassend sein. Gezielte Angriffe höherer Qualität erfolgen häufig über einen initialen Einstieg im Bürobereich. Vom Einstiegspunkt aus werden dann weitere Angriffe in die Tiefe des Unternehmens durchgeführt. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Bereiche ist daher nicht länger erfolgreich, wenn die durchgängige Vernetzung für Industrie-4.0 gewünscht ist.
Stuxnet ist ein gutes Beispiel für diese Problematik. Die Angreifer haben Steuerungen verwendet, um durch falsche Antriebsparameter mechanische Systeme zu schädigen. Der Angriff erfolgte aber nicht auf die Steuerungen selbst, sondern auf die Projektierungssysteme, die entsprechend modifizierte Steuerungsprogramme erzeugten. Der benutzte Eintrittspunkt für den Angriff war das Office-Betriebssystem, auf dem die Projektierungs-Software ablief. Verhindern lassen sich solche Angriffe also nur mit einem ganzheitlichen Ansatz.
Kommunikationsprotokolle und -formate müssen schließlich dafür ausgelegt sein, den Informationsfluss bestimmen zu können. So ist Verschlüsselung ein zweischneidiges Schwert. In der am weitesten gehenden Ausführung, der Ende-zu-Ende-Verschlüsselung, lässt sich eine abhörsichere Verbindung hochwertig realisieren. Andererseits lässt sich dann nicht mehr überprüfen, welche Informationen übertragen werden, so dass die Erkennung eines Angriffs oder Informationsabflusses schwerer möglich ist.
Eine wesentliche Rolle wird die sichere Identifikation der Kommunikationspartner und Produkte spielen. Die Aufgabe wird hierbei sowohl technischer als auch organisatorischer Natur sein. Typischerweise wird eine entsprechende Identifikation heute über asymmetrische kryptographische Verfahren durchgeführt, wobei die Zuordnung des öffentlichen Schlüssels mit einem Zertifikat erfolgt. Die Ausstellung der Zertifikate stellt eine wesentliche Herausforderung dar, wie Beispiele aus der Vergangenheit zeigen. Geht das Vertrauen auf viele getrennte Aussteller zurück, ist die Verwaltung mühsam, ein Einbruch bei einem Aussteller lässt sich eingrenzen. Geht das Vertrauen auf wenige, dafür große Aussteller zurück, ist die Verwaltung einfacher, die Einhaltung der Sicherheitsanforderungen über große Organisationen hinweg immer schwieriger.
- Industrie-4.0 braucht Sicherheit
- Digitalisierung und Informationssicherheit
- Informationssicherheit für Industrie 4.0
- Security-by-Design
Lesen Sie mehr zum Thema
