Die deutsche Industrie hat ein Problem. Nein, diesmal sprechen wir nicht von Hackern oder Industriespionage, der Ursprung liegt ganz schlicht in der Kommunikation.
Im Zeitalter von Industrie 4.0 halten neue Techniken aus der IT Einzug in die Anlagen. Hier treffen also zwei Welten aufeinander – Automation (Operational Technology – OT) und Informationstechnologie (IT). Wie häufig in solchen Situationen, kommt es dabei zu Kommunikationsschwierigkeiten. Bei diesem Punkt geht es vor allem um die verschiedene Prioritäten und das unterschiedliche Vokabular der beteiligten Personen. Die IT achtet klassischerweise stark auf Vertraulichkeit und Datenschutz, wohingegen die OT den Fokus auf Verfügbarkeit und den Schutz der Mitarbeiter und der Umwelt legt. Aber warum heißt es im ersten Satz „deutsche Industrie“? Geht es nicht allen Ländern gleich?
Die Dualität der Sicherheit
In diesem Fall lautet die Antwort: Nicht wirklich. Zumindest nicht den englischsprachigen Ländern. Dort stehen die beiden Begriffe „Safety“ und „Security“ für zwei voneinander getrennte Aspekte.
Unter Safety ist die Betriebssicherheit gemeint, d.h. der Schutz von Mensch und Umwelt vor physischem Schaden, während die Security die Informationssicherheit und damit in erster Linie den Schutz der Daten meint.
Die folgenden Beispiele stellen typische Maßnahmen der beiden Bereiche dar:
- Safety
Eine statische Safety-Maßnahme kann zum Beispiel das Anbringen von Abdeckungen sein, um die Verbreitung von Splittern bei Sägevorgängen einzudämmen. Es kann sich aber auch um das Verwenden spezieller Steuerungssysteme handeln, die den physischen Prozess überwachen und diesen beim Verlassen definierter Schwellwerte unterbrechen oder in einen sicheren Modus versetzen. - Security
Die Security hingegen nutzt unter anderem Verschlüsselungstechnologien und Authentifizierungsmechanismen, um die Vertraulichkeit von Daten sicherzustellen oder eine Person oder Maschine zu identifizieren und Berechtigungen zu klären.
Im Deutschen bildet zweimal das Wort „Sicherheit“ die Basis des Begriffs. Dies führt regelmäßig zu Verständigungsschwierigkeiten, da beide Seiten den Begriff unterschiedlich interpretieren können. Hierdurch können Reibungsverluste in der Kommunikation entstehen, welche die Absicherung der automatisierten Prozesse beeinträchtigen können.
Weitere Unterschiede zwischen Safety und Security
Aus gesetzlicher Sicht ist die Gewährleistung der Safety zwingend erforderlich, während die Security eine (noch weitestgehend) freiwillige und durch wirtschaftliche Faktoren beeinflusste Investition ist. Dies könnte sich aufgrund der zunehmenden Gefahren, die mit der Digitalisierung einhergehen, zwar in Zukunft ändern, im Moment ist der Anreiz, Safety zu implementieren und zu dokumentieren, jedoch ein ganz anderer als bei der Security.
Safety ist zudem sehr statisch. Einmal umgesetzt, ändert sich die Maschine nicht wöchentlich, sodass dieses Thema erst einmal zu den Akten gelegt werden kann. Zwar kann es zu Alterung und Abnutzung der Safety-Komponenten kommen, die eine Beeinträchtigung ihrer Funktion zur Folge haben kann. Dies ist aber nur über sehr lange Zeiträume, etwa 10 bis 30 Jahre der Fall.
Security hingegen ist schnelllebig, da zum Beispiel beim Aufkommen einer neuen Schwachstelle in einem Produkt sofort eine Gefährdung entstehen kann. Daher muss mit Security ganz anders umgegangen werden. In der IEC 62443 gibt es daher den Wert der „Angreifermotivation“. Dieser Wert steht für diese dynamische Änderung und nimmt mit der Zeit zu. Die Gefahr steigt dadurch und bereits getroffene Maßnahmen reichen eventuell nicht mehr aus.
Hinzu kommt, dass Safety bereits viel länger ein Thema ist als die OT-Security. Das liegt schlicht daran, dass Safety bereits vor 30 Jahren relevant war, OT-Security aber erst so richtig durch die digitale Vernetzung an Bedeutung gewonnen hat. Die aktuellen Trends weisen aber stark darauf hin, dass die Security auch in Zukunft immer mehr an Bedeutung gewinnen wird.
Normenvielfalt
Den beiden Welten liegen auch unterschiedliche Normen zugrunde. Auf Seiten der Security sind dies vor allem:
- BSI IT-Grundschutz
- ISO 27000-Reihe
- IEC 62443
- NIST 800-82
Der IT-Grundschutz und die ISO 27000 gehen allerdings primär auf die klassische Enterprise-Security ein. Der IT-Grundschutz enthält zwar industriespezifische Erweiterungen, ist aber nicht so umfassend auf dieses Feld ausgelegt wie die IEC 62443.
Auf Seiten der Safety gelten unter anderem folgende Normen:
- ISO 61508 – Funktionale Sicherheit
- EN 2006/42 – Maschinenrichtlinie
- IEC 61511 – Prozessindustrie
- IEC 62061 – Safety bei Maschinen
- ISO 26262 – Automotive
- ISO 10218-1 und -2 – Safety bei Robotersystemen
Welche Norm für welchen Anwendungsfall passt, muss individuell geprüft werden. Entscheidend ist, dass auch in den Normengremien inzwischen die Notwendigkeit der Verknüpfung der beiden Welten erkannt wurde. So verweist die Safety Norm ISO 61508 auf die Security Norm IEC 62443, um Safety-Systeme abzusichern.
Safety-Systeme im Ziel von Angreifern
Dass mittlerweile eine Gesamtbetrachtung beider Welten unvermeidbar geworden ist, zeigt sich in folgendem Vorfall:
Im Sommer 2017 wurde in einer saudi-arabischen Chemieanlage eine Schadsoftware entdeckt, die gezielt die Safety-Systeme befallen hat. Diese war darauf ausgelegt, deren Funktion außer Kraft zu setzen. Die Schadsoftware zeichnet sich durch eine sehr hohe Spezialisierung auf das verwendete Safety-System aus. Nur durch einen Zufall wurde der Angriff entdeckt und es kam zu keinen weiteren Auswirkungen.
Aufgrund der erforderlichen hohen technischen Expertise den Schadcode zu schreiben sowie dem Fehlen einer finanziellen Motivation hinter dem Angriff, gehen Experten von staatlich unterstützten Angreifern aus.
Lösungsansatz: Kombination von Security und Safety
Der obige Fall zeigt, dass die Auswirkungen digitaler Angriffe an Brisanz zunehmen und auch als modernes Mittel der Sabotage oder sogar zur Kriegsführung eingesetzt werden können. Umso wichtiger wird die enge Zusammenarbeit der beteiligten Personen in IT und OT.
Als erster Schritt für ein besseres Verständnis über Abteilungsgrenzen hinweg bietet sich an, klare Kommunikation zu schaffen. Dazu sollten Sie eindeutige Begriffe festlegen. Im Deutschen könnten das sein:
- Informationssicherheit = Security
- Betriebssicherheit = Safety
Aber auch die englischen Begriffe können in Dokumenten und Gesprächen verwendet werden, um eine klare Zuordnung zu erzielen. Als entscheidender Punkt sollte gelten, dass „Sicherheit“ in unterschiedlichem Kontext stehen kann und ein bewusster Umgang damit gepflegt wird. So können beide Themen nachhaltig gelebt und gepflegt werden.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
Danke Herr Geiger für Ihre gelungenen Erläuterungen,
Zu Thema Sprengmitteleinwirkung auf Gebäude, hinsichtlich DIN EN 13123-1:2001-10 Widerstandsklasse EPR2 zum Schutz von Servern mit sensiblen Daten suche ich einen Partner.
gez. Helmut Wiedemann,
mobil 0170 3310910
zur Person: früher GSG Sachverständiger und Leiter der Anlagen- und Betriebstechnik bei 2 TÜV Organisationen, heute freischaffender Ingenieur und Rentner.
Spannender Artikel – aber doch auch noch etwas kompliziert.
Ich operiere mit folgender Erklärung:
Wenn es schiefgeht, dann kommt bei Safety der Rettungsdienst und / oder die Feuerwehr.
Bei Security kommt die Polizei.
Passt dieses „Kurzerklärung“ auch für Sie?
Hallo Herr Nordmann,
für mich passt Ihre Kurzerklärung. Meine ist die Folgende:
Safety – Schutz der Menschen vor den Maschinen
Security – andersherum (Schutz der Maschinen vor den Menschen)
Viele Grüße
Sehr interessant, dass bei dem Begriff Safety die Betriebssicherheit im Vordergrund steht und bei der Security Dinge wie Verschlüsselungstechnologien gemeint sind. Ich möchte aus aktuellen Anlässen die Security meines Gewerbes erhöhen. Dafür wende ich mich noch an ein zuverlässiges Unternehmen für IT-Sicherheit.
Hallo Herr Dijkstra,
besten Dank für Ihren Kommentar. In der Tat ein sehr spannendes Thema. Interessant auch dadurch, da wir durch Digitalisierung die beiden Bereiche Safety und Security eben nicht mehr trennen können. Security-Maßnahmen haben maßgeblichen Einfluss auf die Betriebssicherheit und nicht umgesetzte Security eben dann einen negativen Einfluss. Die aktuellen Anlässe sind gut, in die Security zu investieren. Je nach Gewerbe können wir hier gerne behilflich sein. Ich freue mich auf den Austausch. Herzliche Grüße!