Jedermann spricht von Digitalisierung und Industrie 4.0. Doch was meinen diese Begriffe überhaupt? Und was gilt es neben den umfänglichen Marketingversprechen der Hersteller noch alles zu beachten? In den folgenden Zeilen stellen wir Ihnen das Thema Industrie 4.0 unter einem leicht kritischen Blickwinkel vor.

Das Versprechen der Industrie 4.0 …

Wer die Entwicklungen der letzten Jahre in der Industrie verfolgt hat, wird feststellen, dass die Themen digitale Vernetzung und künstliche Intelligenz in den verschiedensten Formen großen Einzug gehalten haben. Dabei geht es um Big Data-Analysen und daraus resultierende Prozessoptimierung, intelligente fahrerlose Assistenzsysteme oder „selbstdenkende“ Maschinen, die durch Predictive Maintenance vorhersagen können, wann und an welcher Stelle sie demnächst kaputt gehen werden.

Diese digitale Revolution wird auch als Industrie 4.0 bezeichnet und meint die „smarte“ und allumfassend vernetzte Industrie, die der Digitalisierung durch Computertechnologien (Industrie 3.0), Massenproduktion durch Elektrizität (Industrie 2.0) und der Mechanisierung in der ersten Industriellen Revolution (Industrie 1.0) folgt.

Im Optimalfall wird jede noch so kleine Komponente, sei es ein Temperatursensor, ein Ventil oder ein elektrischer Motor, netzwerkfähig gemacht. Die anfallenden Daten werden oftmals in die Cloud weitergeleitet, um dort auf die gewünschten effizienzsteigernden Informationen untersucht zu werden. Die Vollvernetzung einer industriellen Anlage wird daher unter anderem auch Smart Factory genannt.

…und damit einhergehende Herausforderungen

Viele industrielle Komponenten und Systeme sind auf eine lange Lebensdauer ausgelegt. Eine Laufzeit von 15-20 Jahren ist die Norm, teilweise sogar 30 Jahre. Dadurch existiert ein Jahrzehnte alter Altbestand der nun mit einer Vielzahl an neuen Geräten vernetzt wird, täglich kommen weitere hinzu.

Stellen Sie sich vor, Ihr Arbeitsrechner inklusive Software-Stand ist 15 Jahre alt (z.B. Windows XP mit Patchstand von 2003) und soll nun gefahrlos mit dem Internet oder einem riesigen Firmennetzwerk verbunden werden. Über diese Netze können sich Malware, Angreifer oder unabsichtliche Fehler, z.B. durch interne Mitarbeiter, großflächig und rasant ausbreiten. Durch die zunehmende Verwendung von aus der IT bereits seit Jahrzehnten bekannter Technologien, halten leider auch genau diese Probleme Einzug in die Anlagen.

Für ein Industrieunternehmen ist der wichtigste wirtschaftliche Faktor, eine möglichst hohe Auslastung seiner Anlagen sicherzustellen. Bereits kurze Ausfälle resultieren in finanziellen Verlusten, längere Störungen können ein Unternehmen in eine wirtschaftliche Schieflage bringen. Im Zeitalter von Just-In-Time-Production kann zum Beispiel durch den kurzzeitigen Ausfall einer Produktionsstraße ein immenser Lastwagen-Stau vor dem Werk entstehen, bevor mit deren Entladung fortgefahren werden kann.

IT-Sicherheit als Lösungsansatz

Hier kommt die IT-Sicherheit ins Spiel. Die Aufgabe der industriellen IT-Sicherheit ist, die industriellen Prozesse auch bei zunehmender digitaler Vernetzung und Benutzung gängiger Technologien aus der IT, so abzusichern, dass die industriellen Prozesse aufrechterhalten werden.

Hierzu muss zwischen den beiden Welten der IT und industrieller Automatisierung vermittelt werden, denn diese unterscheiden sich maßgeblich. Dies führt oftmals zu Kommunikationsschwierigkeiten zwischen den beiden Disziplinen. Aufgrund der langjährigen Trennung zwischen den Anlagen und dem IT-Betrieb in Industrieunternehmen, nehmen viele Anlagenbetreiber die IT-Sicherheit immer noch nicht als notwendigen Faktor in den Automatisierungsnetzen wahr. Es herrscht teilweise noch die Meinung, dass IT und Automatisierung strikt getrennt voneinander arbeiten – quasi „Air gapped“ sind. Wie oben bereits angedeutet, war es lange Zeit schlicht wenig erforderlich, die Software auf den Systemen zu aktualisieren oder sich Gedanken um Netzwerksegmentierung zu machen.

Auf der anderen Seite musste sich die klassische IT zwar mit diesen Aspekten beschäftigen, besitzt aber noch zu wenig Verständnis für die Anforderungen in Automatisierungsnetzen. Hier wird häufig zu sehr auf die Faktoren Geheimhaltung oder Datenschutz geachtet, während die Verfügbarkeit der Systeme und die Integrität der Konfigurationen weniger Beachtung finden. Auch der Faktor Safety ist für die IT in der Regel Neuland und die Erfahrungen mit Systemen, die in Echtzeit reagieren müssen sind gering.

Ist das alles schon so schlimm?

Natürlich entsteht kein Schaden, wo nichts vorfällt. Die Trends der letzten Jahre sind allerdings alarmierend. Digitale Störfälle in der Industrie nehmen massiv zu und die dadurch entstehenden Schadenssummen sind mitunter gravierend:

Eine Studie der Bitkom hat festgestellt, dass in den vergangenen Jahren jedes zweite Unternehmen Ziel eines Angriffs wurde und schätzt den jährlichen Schaden für die deutsche Wirtschaft auf 55 Milliarden Euro.

Das BKA warnt in seinem Bundeslagebericht 2016 davor, dass die Cyber-Kriminalität um über 80% im Vergleich zum Vorjahr angestiegen ist.

„Aufgrund der noch stärker zunehmenden Bedeutung der weltweiten digitalen Vernetzung in allen Lebensbereichen steigt die Gefahr für jedermann und jedes Unternehmen Opfer von Cybercrime zu werden. Die digitale und analoge Welt sind kaum noch zu trennen. Die Übergänge u. a. durch Nutzung von mobilen Geräten, das „Internet der Dinge“ und die zunehmende Technisierung von Industrie und Handel („Industrie 4.0“) sind fließend.“

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt in seinem Lagebericht 2017 davor, dass „für die Kritischen Infrastrukturen bei gleicher Bedrohungslage wie für andere Unternehmen ein besonders hohes Schadenspotenzial [entsteht].“ Gemeint sind damit Betreiber kritischer Infrastrukturen, die für die Gesellschaft wichtige Versorgungsleistungen zur Verfügung stellen, wie z.B. Wasser- oder Energieversorgung.

Im Jahr 2017 wurden mehrere Institutionen und Unternehmen heftig von den Auswirkungen zweier Verschlüsselungstrojaner (WannaCry, NotPetya) getroffen. Dabei konnten britische Krankenhäuser teilweise ihre Patienten nicht behandeln und Maersk und FedEx mussten jeweils Schadenssummen von über 300 Mio US-Dollar verzeichnen.

In der Cyber-Sicherheits-Umfrage des BSI 2017 gaben 51% der von einem Angriff betroffenen Unternehmen an, dass sie dadurch Produktions- oder Betriebsausfälle erlitten.

Auch Safety-Systeme geraten inzwischen in den Fokus von Angreifern. Bei einem Angriff auf ein petrochemisches Unternehmen in Saudi Arabien wurden Safety-Systeme gefährlich modifiziert. Durch einen Zufall wurde der Eingriff entdeckt und es konnte schlimmeres verhindert werden. Ein geglückter Angriff hätte aber potenziell fatale Auswirkungen auf Mensch und Umwelt.

Die Liste ließe sich noch deutlich ausführlicher gestalten, kann aus Platzgründen allerdings nur einen kurzen Abriss der aktuellen Lage geben.

Das Ziel der industriellen IT-Sicherheit

Mit industrieller IT-Sicherheit werden diese negativen Beeinträchtigungen verhindert. Damit wird IT-Sicherheit zur neuen Basis von Verfügbarkeit und Safety. Somit wird die Chance auf zuverlässige Digitalisierung und Automatisierung ohne negative wirtschaftliche oder gar gesellschaftliche Auswirkungen ermöglicht.

Dies wurde auch bereits durch das BSI sowie den Gesetzgeber erkannt und durch das IT-Sicherheitsgesetz gesetzlich verankert. Nicht-industrielle Unternehmen haben in den letzten Jahrzehnten ein Umdenken durchlaufen, das zu einer Akzeptanz der IT-Sicherheit geführt hat. Dort hieß es vor 20 Jahren oftmals noch „Eine Firewall? Verschlüsselung? Nein, das brauchen wir nicht.“. Heute hat man die Notwendigkeit solcher Maßnahmen erkannt und nutzt seit Jahren auch speziell dafür vorgesehene Informationssicherheits-Management-Systeme (ISMS), um organisatorisch sauber mit dem Thema umgehen zu können.

Die industrielle IT-Sicherheit ist gerade mitten in der Entwicklung, wird aber in den kommenden Jahren aufgrund zunehmender Vernetzung noch wichtiger werden. Konkrete Ansatzpunkte, die dadurch umgesetzt werden sind beispielsweise die folgenden:

Je früher im Beschaffungsprozess das Thema IT-Sicherheit Beachtung findet, desto weniger Probleme treten langfristig damit auf.

Welche Systeme befinden sich überhaupt in der Anlage? Nach dem Motto: Man kann nur schützen was man kennt!

Was tun bei dem anlagenweiten Befall der HMI-Systeme durch einen Verschlüsselungstrojaner?

Resistente Automatisierungsnetze schaffen, in denen die Ausbreitung von Angreifern, Malware oder digitalen Störfällen eingeschränkt wird und dadurch auch alte, verwundbare Systeme abgekapselt und geschützt werden.

Einführung klarer und den Betrieb unterstützender Sicherheitsrichtlinien, damit organisatorische und menschliche Fehler verringert werden.

Die Industrielle IT-Sicherheit ist ein umfangreiches Thema und wird noch einige Zeit benötigen, bis sie dem Standard der IT-Sicherheit von Enterprise-Netzen entspricht. Zu schaffen ist dies nur mit einer guten Kommunikation aller Beteiligten. Außerdem gilt es, Durchhaltevermögen zu zeigen. Gelebte IT-Sicherheit ist ein kontinuierlicher Prozess, der immer wieder aufs Neue gepflegt werden muss.

Jetzt sind Sie am Zug!

Formulieren Sie einen 5 Punkte Plan zur Verbesserung der IT-Sicherheit Ihrer Anlage und diskutieren Sie ihn mit Ihren Kollegen und Vorgesetzten aus der IT und Automatisierung.