Die „Industrie 4.0 Fahne“ wird von zunehmend mehr Unternehmen beim Angebot neuer Produkte und (allen voran) Dienstleistungen gehisst. Die Grundlage für diese Angebote ist die zunehmende Vernetzung der Bestands- und Neu-Maschinen und Anlagen durch die Hersteller. Mit der Vernetzung werden Daten erzeugt, erfasst, gesammelt und ausgewertet. Durch das Domänen-Know-How der Hersteller im jeweiligen Produktionsverfahren ist hier mit entsprechenden Steigerungen u.a. in den Dimensionen Fertigungszeit, Qualität oder Energieeinsatz zu rechnen.

Gerade die IT-technische Architektur dieser neuen, verteilten Datenflüsse liefert neue Herausforderungen, die man nun berücksichtigen muss.

Ein Beispiel:

Sobald ein Maschinen- oder Anlagenhersteller für seine Produkte eine Benchmarking-Plattform anbietet und hierfür die Daten aus den Produktionsverfahren an einer zentralen Stelle (vielleicht in der „bösen“ Cloud) auswertet, dann runzeln viele Anwender gerne erst einmal die Stirn mit den Worten: „Warum denn in der Cloud? Geht das nicht auch in den eigenen Hallen?“ Leider „Nein“, es MUSS in der Cloud vollzogen werden, um nach entsprechenden Prozessen der Datenanonymisierung und Normalisierung eine echte (weltweite) Vergleichsbasis zu bekommen, auf die bestenfalls auch noch lastintensive Machine-Learning-Algorithmen auf GPU-Instanzen temporär angewendet werden können. So etwas funktioniert in den eigenen vier Wänden des Betriebs aufgrund mangelnder Vergleichsdaten wie auch mangelnder Rechen-Power (bzw. zu hoher Kosten für den Aufbau eben dieser) nicht.

Im Folgenden sind die 4 wichtigsten Fragen aufgeführt, die man sich als Maschinenbauer vor der Einführung von Industrie 4.0 Dienstleistungen stellen muss.

1) Welche interne (IT-)Abteilung unterstützt das neue Produktangebot bei der IT-(Sicherheits-)Architektur?

Die Antwort lautet leider oftmals: Niemand. Denn das Aktivitätsgebiet der Unternehmens-IT (gerne auch „Werks-IT“ genannt) endet eben an den Werkstoren. Die Netzwerke der Kunden sind so weit entfernt und außerhalb des Tätigkeitsbereichs, dass es kaum oder gar keine Unterstützung gibt. Bei gleichzeitigem Mangel an Fachkräften, der sich insbesondere auf IT-Experten erstreckt, kann man sich jetzt entweder leichtsinnig in ein sehr risikobehaftetes „Abenteuer“ stürzen oder das Projekt und die bisherigen Ergebnisse ad acta legen.

2) Wann und wie beschäftigt man sich mit der IT-Sicherheit für die neuen Industrie 4.0 Produkte und Dienstleistungen?

Bei der Frage nach dem „Wann“ ist die Antwort schnell gefunden: sofort und von Anfang an. Denn nichts ist schwieriger, kostspieliger und teils auch frustrierender als nachträglich IT-Sicherheitsstandards zu implementieren. Dabei gilt es anhand der verwendeten Anwendungen, Komponenten und Bibliotheken den Datenfluss, insbesondere innerhalb der unterschiedlichen Systeme und Systemgrenzen, zu beschreiben. So kann an den jeweiligen Stellen auch definiert werden, welche Verfahren, Produkte, Richtlinien usw. den optimalen Sicherheitsstandard gewährleisten kann. Die IT-Sicherheitsarchitektur fließt so automatisch in die Systemarchitektur ein.

3) Wie wird bei unterschiedlichen Komponenten der Anwendung (Open Source und proprietär) sichergestellt, dass die IT-Security durchgehend und robust umgesetzt wird?

Ein Testsystem, dass die fachlichen Anforderungen erfüllt, ist im Labor schnell aufgesetzt. Für den Einsatz „im wahren Leben“ ist dies aber alles andere als ausreichend. Neben dem Risiko, dass das Produkt ein Einfallstor in fremde Produktionsinfrastrukturen darstellt, besteht die Gefahr, dass die eigene Anwendung ebenfalls Ziel eines Angriffs wird. Insofern müssen alle eingesetzten Komponenten einheitlich ausgelegt, eingerichtet und konfiguriert werden. Hier gilt es Massentauglichkeit und Reproduzierbarkeit sowohl beim Konzept als auch beim zugehörigen Umsetzungsprozess zu erzielen. Schon bei der Auswahl der Komponenten sollte deshalb darauf geachtet werden, dass die Implementierung von IT-Sicherheitsstandards auch möglich ist (ja, es gibt tatsächlich noch Produkte im Feld, die keine verschlüsselten Verbindungen ermöglichen).

4) Muss der laufende Betrieb auch abgesichert werden? Wenn ja, wie geht das?

Am Beispiel von Zertifikaten wird sehr schnell deutlich, dass der Betrieb der Industrie 4.0 Infrastruktur in Bezug auf die IT-Sicherheit der Anwendung auf keinen Fall vernachlässigt werden darf. Da Zertifikate zeitlich begrenzt sind, wird ein Austausch bzw. eine Aktualisierung in regelmäßigen Zeitabständen erforderlich. Je nach Anzahl der verwendeten Anwendungen und Komponenten bei einem Kunden kann es sich schnell um mehrere auszutauschende Zertifikate handeln. Ein entsprechendes „Logbuch“ hilft bei der Sicherstellung der Durchgängigkeit und der Aktualisierungszyklen.

Fazit

Zusammenfassend kann festgehalten werden, dass für ein erfolgreiches Design von Industrie 4.0 Produkten und Dienstleistungen, die im Kern auf die Erfassung von Daten und deren Übertragung abzielen, die Sicherstellung einer ganzheitlichen robusten IT-Systemarchitektur zwingend erforderlich ist. Hier stellen der Fachkräftemangel im IT-(Sicherheits-)Bereich, die unmittelbare Berücksichtigung der IT-Sicherheitsarchitektur beim Design der Produkte sowie Sicherstellung eines sicheren Betriebs die zentralen Herausforderungen für den Maschinen- und Anlagenbau dar.

Auch wenn dies nun auf den ersten Blick abschreckend klingt und aussieht, so hilft der gesunde Menschenverstand mit etwas Abstand dabei, die Notwendigkeit zu akzeptieren und gleichzeitig bei der tieferen Beschäftigung mit der Materie auch entsprechende Lösungen zu finden. Solange das Thema auf die Seite geschoben wird, wird es nicht nur nicht gelöst, sondern vergrößert den späteren Handlungsbedarf und verzögert schlimmstenfalls eine Markteinführung.

Berücksichtigen Sie die IT Sicherheitsarchitektur Ihrer Anwendung von Anfang an. Das spart Zeit und Geld und kann zusätzlich als Marketingargument an die Kunden weitergegeben werden.