Startseite > Office & Kommunikation > Security-Governance bei Industrie 4.0

M2M-Security

Security-Governance bei Industrie 4.0

5. Dezember 2014, 9:36 Uhr | Dror-John Röcher, Lead Consultant Secure Information bei Computacenter

Schon heute sollten Unternehmen die richtigen Weichen für die künftigen Industrie-4.0-Strukturen stellen, insbesondere im Bereich Sicherheit. Dabei spielt neben technologischen Aspekten vor allem das Thema Governance eine wichtige Rolle.

Das Schlagwort „Industrie 4.0“ ist in der Produktionsbranche allgegenwärtig – von der Chemieindustrie über Automobilunternehmen bis hin zu Halbleiterherstellern. Die Zukunftsvision beschreibt ein Szenario für den automatisch gesteuerten und geregelten Prozessablauf, der eine flexible industrielle Herstellung indi-vidueller Produkte bis zur Losgröße eins ermöglicht. Die Umsetzung dieser Vision ist zwar noch einige Jahre entfernt, doch schon heute werden einzelne Bestandteile von Industrie-4.0 in der Praxis umgesetzt. Dazu zählt vor allem die Vernetzung der Herstellungssysteme untereinander sowie mit der Office-IT. Dies geschieht auch unabhängig von konkreten Bestrebungen für Industrie-4.0, um eine zentrale Steuerung und weitgehende Automatisierung der Produktion zu ermöglichen.

Da die Vernetzung größtenteils auf Basis des IP-Protokolls erfolgt, funktionieren jedoch die herkömmlichen Angriffstechniken im Bereich der Office-IT dann ebenso in der Produktion. Dies bedeutet, dass die Steuerungsgeräte der Produktionsmaschinen mit Hilfe von Sicherheitstechnologien abgesichert werden müssen. Das funktioniert nicht durch eine einfache Übernahme der entsprechenden Vorkehrungen aus der Office-IT. Denn während diese inzwischen weitgehend standardisiert ist und sich Anwendungen dadurch mit wenigen Handgriffen unternehmensweit ausrollen lassen, ist die Produktions-IT durch individuelle Systeme charakterisiert.

Verantwortung für die Sicherheit von Produktionssystemen

Zudem besteht Klärungsbedarf bei den organisatorischen Fragen, denen sich Unternehmen frühzeitig stellen sollten: Wer ist für die Sicherheit der Produktionssysteme verantwortlich und haftbar? Wer kümmert sich um die Umsetzung? Und wer entscheidet, wie viel Sicherungsaufwand für welches Risiko wirtschaftlich vertretbar ist?

Logisch erscheint es zunächst, diese Verantwortlichkeiten in der Office-IT-Abteilung zu verankern, die in der Regel die umfassendste Erfahrung bei der Sicherung von IT-Systemen aufweist. Dabei gibt es jedoch zwei Mankos: fehlende Standardisierung in der Produktionslandschaft und ein wenig ausgeprägtes Produktions-Know-how seitens der Mitarbeiter in der Office-IT. Der hohe Aufwand für die Absicherung sowie Aktualisierung der vielen verschiedenen Herstellungssysteme führt schnell an zeitliche und personelle Kapazitätsgrenzen. Zudem erhält die Abteilung meist nicht das Recht, Softwarekonfigurationen zu ändern oder Betriebssysteme zu aktualisieren, um die Produktionsabläufe nicht zu gefährden.

Dies führt dazu, dass die Verantwortung für entsprechende Entscheidungen in der Produktionsabteilung verbleibt. Doch auch sie ist mitunter durch den hohen Aufwand für die vielen Systeme sowie aufgrund des weniger tiefen Wissens zu IT- und Sicherheitstechnologien als alleiniger Ansprechpartner überfordert. Als Alternativen blieben nur noch ein zentraler Sicherheitsverantwortlicher, der jedoch ebenfalls meist an der hohen Betriebsvarianz und den fehlenden Weisungsrechten scheitert, oder ein externer Dienstleister. Doch an diesen dürften viele Werksleiter noch weniger Rechte abtreten als an interne Mitarbeiter.