Dass die Kausa Industrie 4.0 längst nicht so weit entwickelt ist, wie sich Bundesregierung und hochrangige Wirtschaftsvertreter erhoffen, wird spätestens mit dem Blick auf aktuelle Zahlen deutlich: Eine kürzlich erschienene Studie der IDC Central Europe GmbH zeigt nämlich, dass sich nur ein Bruchteil der Anwenderorganisationen für Automation und Steuerungstechnik überhaupt schon mit dem Thema befasst haben.

Lediglich die Hersteller und Anlagenbauer selbst haben sich mehrheitlich um Industrie 4.0 bemüht – vermutlich weil ihnen die potenziellen Auswirkungen und auch Gefahren dieser Technologie eher zugänglich und erkennbar sind. Immerhin scheint ein Großteil der aktiven Industrie 4.0-Treiber erkannt zu haben, dass eine stabile Umsetzung der Industrie 4.0 Konzepte einen neuen, ausgefeilten und übergreifenden Ansatz in IT-Sicherheitsfragen erfordert – denn die nahezu vollständige Vernetzung der Komponenten birgt nicht nur Vorteile sondern auch immense Gefahren.

Das Internet macht vieles möglich

Die zunehmende Vernetzung unserer Welt hat die Grenzen der Computerserver, Desktop PCs und Laptops lange hinter sich gelassen. Smartphones, Tablets und Unterhaltungselektronik vom Fernseher bis zur Multimedia Settop Box verfügen über einen Netzwerkanschluss oder ein WLAN Modul. Doch hinter den Kulissen hat sich unsichtbar eine weitere Vernetzung ausgeweitet: die Gebäudetechnik und Gebäudeautomation zum Beispiel. Größere Industrieanlagen, Bürogebäude und auch viele öffentliche Einrichtungen (beispielsweise Bundesbehörden) werden schon lange über Bus-Netze wie KNX (vormals EIB) vernetzt und gesteuert – von der Fensteröffnung über Markisen oder Jalousien bis hin zur Klimatisierung. Auch Sicherheitskomponenten wie Brandmeldeanlagen (BMA) oder Einbruchmeldeanlagen (EMA) sind mittlerweile weitestgehend vernetzt und können folglich übergreifend ausgewertet und genutzt werden – konvergente Lösungen wie Physical Information Security Systeme von VidSys oder Visual Command Center von IDVsolutions greifen diese Aspekte auf, verbinden sie mit Zugriff auf Video-Überwachungslösungen und Zutrittskontrolle um ein Lagebild in Echtzeit zu erstellen.

Das Internet macht also vieles möglich, gleichwohl bleibt es ein Tanz auf dem Drahtseil, die Möglichkeiten des WWW zu nutzen und gleichzeitig Sicherheitsvorkehrungen zu treffen, die Missbrauch vorbeugen. Viele Beispiele in der Praxis zeigen überdies, dass sowohl die Möglichkeiten als auch die damit verbundenen Gefahren, die sich aus der möglich gewordenen Vernetzung ableiten, in der Regel unterschätzt werden.

Vom Feuermelder zum Lagezentrum

Sicherheit als dualer Begriff. (Grafiken: accessec GmbH)

Sicherheit als dualer Begriff. (Grafiken: accessec GmbH)

In fast allen Bundesländern besteht mittlerweile die Pflicht, Gebäude mit Rauchmeldern auszustatten um Personenschäden zu vermeiden und Sachschaden durch frühzeitige Erkennung von Bränden zu minimieren. Selbst in den unteren Preiskategorien finden sich Rauchmelder-Sets, die untereinander vernetzt sind – und potenziell auch zur automatisierten Alarmierung der Einsatzkräfte genutzt werden könnten. Für eben diese Einsatzkräfte stellen die Vielzahl an Fehlalarmen und Falschmeldungen jedoch heute schon eine große Herausforderung dar. Die im Umfeld der Industrie 4.0 zum Einsatz kommende nächste Generation von Sensoren und Aktoren sowie die parallel verlaufende Heimautomatisierung bieten das Potenzial, die Fehlerzahl zu minimieren. Es wäre sicherlich fatal, grundsätzlich jede Auslösung eines Brandmelders an zentraler Stelle zu erfassen und automatisiert Maßnahmen ergreifen zu lassen. Versetzt man die Einsatzkräfte jedoch in die Lage, solche Meldungen (EN: Events) übergreifend zu korrelieren und damit zu validieren, ergeben sich große Chancen auf eine Verbesserung der Antwortzeiten und der Vermeidung des Ausrückens bei potenziellem Fehlalarm.

Dieses Beispiel zeigt: Sowohl Sensoren als Aktoren in der Haustechnik werden zunehmend direkt adressierbar und können mit der Außenwelt kommunizieren – sind etwa in einem Gebäude mit Rauchmelder auch thermische Sensoren oder Videoüberwachungsanlagen installiert, so kann ein eingehender Alarm der Brandmeldeanlage sehr einfach durch Prüfung der Messwerte nahe gelegener Temperaturfühler oder – im Idealfall – Aufschaltung der nächst gelegenen Überwachungskamera validiert werden.

Diese übergreifende Vernetzung der Komponenten birgt jedoch unter Berücksichtigung des heutigen Standes der Technik auch Gefahren. Denn die netztechnische Erreichbarkeit eben jener genannten Komponenten – vom Messfühler über den Rauchmelder bis hin zur Überwachungskamera – bedeutet auch, dass Angreifer sich über das Netz Zugriff verschaffen und Sensordaten oder gar Kamerabilder manipulieren können, um diese Daten für unlautere Zwecke, wie etwa Sabotage oder ­Spionage, zu nutzen.

Ansätze für sichere Leitstände, Lagezentren und Notfallzentralen

Der kurze Abriss des technisch heute Machbaren zeigt, dass den Vorteilen einer übergreifenden Vernetzung von sicherheitsrelevanten Komponenten immer auch Nachteile gegenüber stehen. So elegant und bequem es ist, sich im Krisen- oder Katastrophenfall an zentraler Stelle ein Bild der Lage verschaffen zu können, so kritisch verwundbar ist eben dieses Lagezentrum. Hierbei ist es unerheblich, ob die notwendige Netzinfrastruktur desselben nun durch technisches Versagen einer Komponente, einer vorsätzlichen Manipulation oder einem externen Angreifer beeinträchtigt wird: Ohne valide und zeitnahe Visualisierung der Daten im Kontrollraum ist jeder Einsatzleiter „blind“ und kann seine Kräfte nicht sinn – und wirkungsvoll koordinieren. Diese Situation kann nur entschärft werden, wenn die Vertreter der Industrie und Anlagenbauer ihre Systeme und Anlagen elektronisch und Netz-technisch an den gestiegenen Anforderungen der Industrie 4.0 ausrichten – dies gerade und insbesondere für solche Komponenten, denen Sicherheitsfunktionen zuzuordnen sind (sowohl „Safety“ als auch „Security“). Die früher eingängige Priorisierung auf Arbeitssicherheit (Safety) und der Fokus auf Verfügbarkeit (Availability) müssen auch weiterhin Bestand haben, da hier keine Abstriche tolerierbar sind. Neu im Fokus sind nun die bisher eher vernachlässigten Schutzziele Integrität und Vertraulichkeit, weil sie im Zusammenhang mit der möglichen Einbindung in die Notfallkommunikation und das Einfließen der abgefragten Daten in Lagebilder oder die Validierung von Alarmmeldungen durch Dritte kritische Bedeutung erlangen. Eine aufgrund fehlerhafter Validierungsdaten ignorierte Brandmeldung wäre naturgemäß das schnelle Ende einer solchen Integration.

Es ist weder im Einzelfall kommerziell noch aus volkswirtschaftlicher Sicht vertretbar, jeden Hersteller und Anwender einzelne Lösungen für diese neuen Anforderungen suchen zu lassen. Nur eine weitgehende Standardisierung der Sicherheitsmechanismen, eine Abkehr vomn „security by obscurity“-Prinzip und die Einführung von übergreifend nutzbaren Schnittstellen (Application Programming Interfaces) bieten hier die Chance, den Aufwand für einzelne Marktteilnehmer zu begrenzen und dennoch eine Verbesserung des Schutzniveaus zu erreichen. Aus diesem Grunde bemühen sich nicht nur zahlreiche Dienstleister, sondern auch Verbände der ZVEI, VDI, VDMA und Bitkom gemeinsam darum, ihren Mitglieder gegenseitige Unterstützung bei der Standardisierung und Absicherung der Systeme zu gewähren. Auch die Industrie- und Handelskammern schaffen vielerorts Initiativen, die mittelständischen Unternehmen den Zugriff auf relevante Informationen und Sicherheitskonzepte ermöglichen und bei ersten eigenen Schritten zur Absicherung ihrer Produkte zu helfen.

Der Faktor Mensch

Bei aller Vernetzung und automatisierter Kommunikation darf nicht vergessen werden, dass Planer, Errichter und Einsatzkräfte in den Leitstellen und vor Ort in diese Konzepte eingebunden und entsprechend geschult werden müssen. Gerade erfahrene Einsatzleiter und Koordinatoren sind hier in der Pflicht, sich intensiv sowohl mit den neuen Möglichkeiten als auch den potenziellen Gefahren der neuen Technologien im Umfeld der Industrie 4.0 zu befassen. Dies setzt voraus, dass man dem Umgang mit neuen Medien und Informationssystemen offen gegenüber steht, ohne die angebrachte Skepsis bei zu viel Technologie-Gläubigkeit zu verlieren. Am Ende geht es um die möglichst Barriere-freie Unterstützung professioneller Helfer bei ihren täglichen Aufgaben. Folglich sind alle einzubindenden Systeme auf ihre Eignung für den Einsatz unter extremen Stressbedingungen zu prüfen und gegebenenfalls herzurichten. Damit dies gelingen kann, ist ein von guter und konstruktiver Kommunikation begleitetes Zusammenspiel aller Beteiligten und Betroffenen unabdingbar. Dass hierin noch Potenzial liegt, zeigt immer wieder der Blick in die Praxis. Betrachtet man beispielsweise die unterschiedlichen Interessengruppen, ist in der Regel die erste zu meisternde Herausforderung das Finden einer gemeinsamen Sprache. Oft haben sich die Beteiligten in der notwendigen Zusammensetzung noch nie ausgetauscht, was ein derart übergreifendes Sicherheitsprojekt von Anfang an erschwert. Damit die Bedürfnisse und Erwartungshorizonte der einzelnen Interessensgruppen sich in dem favorisierten Lösungsszenario wiederfinden, involvieren sowohl Unternehmen als auch Behörden in der Regel externe Kompetenzträger, die mit Objektivität und der Erfahrung gleichgelagerter Projekte als Bindeglied und Kommunikationsbrücke fungieren. Jene erarbeiten gemeinsam mit den Interessengruppen individuelle Bedürfnisprofile, die sich konzeptionell verarbeiten lassen und die Basis für ein Anforderungsprofil an eine mögliche IT-Unterstützung abbilden.

Fazit

Das Internet ist zweifelsohne die Basis für nahezu unendlich viele Möglichkeiten, die unser aller Leben erleichtern können. Die zunehmende Vernetzung im Kontext Industrie 4.0 hat gerade erst begonnen und noch einen weiten Weg vor sich. Dabei das richtige Maß zwischen sinnvoller Vernetzung einerseits und notwendiger Sicherheit anderseits zu finden, wird heute und auch in Zukunft eine der wesentlichen Aufgaben für Wirtschaftsunternehmen und Behörden bleiben.

Literatur- und Quellangaben beim Autor.

Aufmacherbild: Management der Industrial IT Security. (Bild: accessec GmbH)

Sebastian Rohr

SR_headAnschrift des Verfassers:
Sebastian Rohr
Geschäftsführer accessec GmbH
Marktstraße 47-49
64401 Groß-Bieberau

 

2001: Abschluss des Studiums zum Wirtschaftsingenieur, Fachrichtung Produktionswirtschaft, an der TU Hamburg-Harburg.
1998 – 2002: Sicherheitsberater bei Siemens AG
2002 – 2004: Forscher für Netzwerksicherheit im Fraunhofer Institut für Sichere Informationstechnik (SIT)Seit 2004: Dozent an der Fachhochschule für Ökonomie und Management/ FB: Netzwerksicherheit und Informationsmanagement
2004 – 2006: Solution Strategist für die Sicherheitslösungen von Computer Associates
2006 – 2007: Chief Security Advisor bei Microsoft
2007: Gründung accessec GmbH; technischer Geschäftsführer
Seit 2010: Security Advisor – Civil Registries and National ID cards
Seit 2010: External Consultant Government of Jamaica
Seit 2010: Gründer und CEO Convergence Area
Seit 2012: VDI Schulungsleiter
Seit 2013: IBS Schulungsleiter