Die deutsche Industrie hat ein Problem. Nein, diesmal sprechen wir nicht von Hackern oder Industriespionage, der Ursprung liegt ganz schlicht in der Kommunikation.

Im Zeitalter von Industrie 4.0 halten neue Techniken aus der IT Einzug in die Anlagen. Hier treffen also zwei Welten aufeinander – Automatisierung (operational technology – OT) und Informationstechnologie (IT). Wie häufig in solchen Situationen kommt es dabei zu Kommunikationsschwierigkeiten. Bei diesem Punkt geht es vor allem um die verschiedene Prioritäten und das unterschiedliche Vokabular der beteiligten Personen. Die IT achtet klassischerweise stark auf Vertraulichkeit und Datenschutz, wohingegen die OT den Fokus auf Verfügbarkeit und den Schutz der Mitarbeiter und der Umwelt legt. Aber warum heißt es im ersten Satz „deutsche Industrie“? Geht es nicht allen Ländern gleich?

Die Dualität der Sicherheit

In diesem Fall lautet die Antwort: Nicht wirklich. Zumindest nicht den englischsprachigen Ländern. Dort stehen die beiden Begriffe „Safety“ und „Security“ für zwei voneinander getrennte Aspekte. Unter Safety ist die Betriebssicherheit gemeint, d.h. der Schutz von Mensch und Umwelt vor physischem Schaden, während die Security die Informationssicherheit und damit in erster Linie den Schutz der Daten meint. Die folgenden Beispiele stellen typische Maßnahmen der beiden Bereiche dar:

  • Safety
    Eine statische Safety-Maßnahme kann zum Beispiel das Anbringen von Abdeckungen, um die Verbreitung von Splittern bei Sägevorgängen einzudämmen, sein. Es kann sich aber auch um das Verwenden spezieller Steuerungssysteme handeln, die den physischen Prozess überwachen und diesen beim Verlassen definierter Schwellwerte unterbrechen oder in einen sicheren Modus versetzen.
  • Security
    Die Security hingegen nutzt unter anderem Verschlüsselungstechnologien und Authentifizierungsmechanismen, um die Vertraulichkeit von Daten sicherzustellen oder eine Person oder Maschine zu identifizieren und Berechtigungen zu klären.

Im Deutschen bildet zweimal das Wort „Sicherheit“ die Basis des Begriffs. Dies führt regelmäßig zu Verständigungsschwierigkeiten, da beide Seiten den Begriff unterschiedlich interpretieren können. Hierdurch können Reibungsverluste in der Kommunikation entstehen, welche die Absicherung der automatisierten Prozesse beeinträchtigen können.

Weitere Unterschiede zwischen Safety und Security

Aus gesetzlicher Sicht ist die Gewährleistung der Safety zwingend erforderlich, während die Security eine (noch weitestgehend) freiwillige und durch wirtschaftliche Faktoren beeinflusste Investition ist. Dies könnte sich aufgrund der zunehmenden Gefahren, die mit der Digitalisierung einhergehen, zwar in Zukunft ebenfalls ändern, im Moment ist der Anreiz Safety zu implementieren und zu dokumentieren jedoch ein ganz anderer als bei der Security.

Safety ist zudem sehr statisch. Einmal umgesetzt, ändert sich die Maschine nicht wöchentlich, sodass dieses Thema erst einmal zu den Akten gelegt werden kann. Zwar kann es zu Alterung und Abnutzung der Safety-Komponenten kommen, die eine Beeinträchtigung ihrer Funktion zur Folge haben kann. Dies ist aber nur über sehr lange Zeiträume (10-30 Jahre) der Fall.

Security hingegen ist so schnellebig, da zum Beispiel beim Aufkommen einer neuen Schwachstelle in einem Produkt sofort eine Gefährdung entstehen kann. Daher muss mit Security ganz anders umgegangen werden. In der IEC 62443 gibt es daher den Wert der „Angreifermotivation“. Dieser Wert steht für diese dynamische Änderung und nimmt mit der Zeit zu. Die Gefahr steigt dadurch und bereits getroffene Maßnahmen reichen eventuell nicht mehr aus.

Hinzu kommt, dass Safety bereits viel länger ein Thema ist als die Industrial Security. Das liegt schlicht daran, dass Safety bereits vor 30 Jahren relevant war, Industrial Security aber erst so richtig durch die digitale Vernetzung an Bedeutung gewonnen hat. Die aktuellen Trends weisen aber stark darauf hin, dass die Security auch in Zukunft immer mehr an Bedeutung gewinnen wird.

Normenvielfalt

Den beiden Welten liegen auch unterschiedliche Normen zugrunde. Auf Seiten der Security sind dies vor allem:

  • BSI IT-Grundschutz
  • ISO 27000-Reihe
  • IEC 62443
  • NIST 800-82

Der IT-Grundschutz und die ISO 27000 gehen allerdings primär auf die klassische Enterprise-Security ein. Der IT-Grundschutz enthält zwar industriespezifische Erweiterungen, ist aber nicht so umfassend auf dieses Feld ausgelegt wie die IEC 62443.

Auf Seiten der Safety gelten unter anderem folgende Normen:

  • ISO 61508 – Funktionale Sicherheit
  • EN 2006/42 – Maschinenrichtlinie
  • IEC 61511 – Prozessindustrie
  • IEC 62061 – Safety bei Maschinen
  • ISO 26262 – Automotive
  • ISO 10218-1 und -2 – Safety bei Robotersystemen

Welche Norm für welchen Anwendungsfall passt muss individuell geprüft werden. Entscheidend ist, dass auch in den Normengremien inzwischen die Notwendigkeit der Verknüpfung der beiden Welten erkannt wurde. So verweist die Safety Norm ISO 61508 auf die Security Norm IEC 62443, um Safety-Systeme abzusichern.

Safety-Systeme im Ziel von Angreifern

Weshalb mittlerweile eine Gesamtbetrachtung beider Welten unvermeidbar geworden ist, zeigt sich in folgendem Vorfall:

Im Sommer 2017 wurde in einer saudi-arabischen Chemieanlage eine Schadsoftware entdeckt, die gezielt die Safety-Systeme befallen hat. Diese war darauf ausgelegt, deren Funktion außer Kraft zu setzen. Die Schadsoftware zeichnet sich durch eine sehr hohe Spezialisierung auf das verwendete Safety-System aus. Nur durch einen Zufall wurde der Angriff entdeckt und es kam zu keinen Weiteren Auswirkungen.

Aufgrund der erforderlichen hohen technischen Expertise den Schadcode zu schreiben, sowie dem Fehlen einer finanziellen Motivation hinter dem Angriff, gehen Experten staatlich unterstützten Angreifern aus.

Lösungsansatz: Kombination von Security und Safety

Der obige Fall zeigt, dass die Auswirkungen digitaler Angriffe an Brisanz zunehmen und auch als modernes Mittel der Sabotage oder sogar Kriegsführung eingesetzt werden können. Umso wichtiger wird die enge Zusammenarbeit der beteiligten Personen in IT und OT.

Als erster Schritt für ein besseres Verständnis über Abteilungsgrenzen hinweg bietet sich an, klare Kommunikation zu schaffen. Dazu sollten Sie eindeutige Begriffe festlegen. Im Deutschen könnten das sein:

  • Informationssicherheit = Security
  • Betriebssicherheit = Safety

Aber auch die englischen Begriffe können in Dokumenten und Gesprächen verwendet werden, um eine klare Zuordnung zu erzielen. Als entscheidender Punkt sollte gelten, dass „Sicherheit“ in unterschiedlichem Kontext stehen kann und ein bewusster Umgang damit gepflegt wird. So können beide Themen nachhaltig gelebt und gepflegt werden.

Praxistipp

Schnappen Sie sich einen Kollegen aus der jeweils anderen Abteilung und diskutieren Sie mit ihm das Thema „Safety & Security“ – am besten bei einer Tasse Kaffee oder Tee.