Unter dem Schlagwort Industrie 4.0 startete 2011 eines der ehrgeizigsten, aber auch innovativsten und interessantesten deutschen IT-Projekte der letzten Jahre. Doch auch nach fünf Jahren steckt die digitale Vernetzung der Industrie immer noch in den Kinderschuhen. Befragt nach den Gründen, äußerten bei einer Umfrage des VDE rund 70 Prozent der Teilnehmer Bedenken wegen der IT-Sicherheit. Kein Wunder also, dass Bundesforschungsministerin Johanna Wanka einen sicheren Datenaustausch als eine der zentralen Voraussetzungen für den Erfolg von Industrie 4.0 nannte.
Mittlerweile hat sich eine ganze Reihe von Initiativen gebildet, die den Unternehmen in Sachen Sicherheit und Industrie 4.0 beratend zur Seite stehen will. So hat das Bundesforschungsministerium ein nationales Referenzprojekt für IT-Sicherheit in der Industrie 4.0 gestartet, das standardisierte und kostengünstige Sicherheitslösungen für kleine und mittlere Unternehmen entwickeln soll.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist bereits seit mehreren Jahren sehr aktiv, wenn es um das Thema Sicherheit und Industrie 4.0 geht. Bereits 2013 erschien das ICS-Security-Kompendium (ICS steht für Industrial Control Systems), das einen allgemeinen Rahmen für die verschiedenen Anwendungsbereiche industrieller Steuerungssysteme lieferte. Hinzu kamen ein ICS-Security-Kompendium speziell für Hersteller und Integratoren sowie mit LARS ICS (Light and Right Security ICS) ein kostenloses Werkzeug, das kleinen und mittleren Herstellern von industriellen Steuerungsanlagen den Einstieg in die Cyber-Sicherheit erleichtern soll. Außerdem stellt das BSI ein Dokument mit dem Titel Industrial Control Systems – Top 10 Bedrohungen v.1.0 und den Maßnahmenkatalog Sicherer Einsatz von ICS-spezifischen Apps v1.0 zur Verfügung.
Aber nicht nur die staatlichen Stellen machen sich Gedanken über Sicherheit in der neuen Industrie-Generation. Die NAMUR – Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e. V. hat im vergangenen Jahr die NE 153 (NE = NAMUR-Empfehlung) mit dem Titel Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme veröffentlicht. Sie formuliert grundlegende und branchenunabhängige Anforderungen an zukünftige Automatisierungslösungen und verweist darauf, dass die IT-Security von Industrie-4.0-Anwendungen eine Security by Design sein und zum integralen Funktionsumfang von automatisierungstechnischen Komponenten und Lösungen gehören muss.
Allein mit dem Auflisten von Anforderungen ist es allerdings nicht getan. In einem zweiten Schritt sollen nun aus der NE 153 konkrete Empfehlungen für die Unternehmen entstehen. Zu diesem Zweck hat sich eine Ad-hoc-Arbeitsgruppe innerhalb des VDI/VDE-GMA-Fachausschusses Security gebildet, die sich mit der praktischen Umsetzung beschäftigt. Sie will bis Ende des Jahres konkrete Ergebnisse vorstellen, die später dann die Richtlinienreihe VDI/VDE 2182 ergänzen sollen. All diesen Maßnahmen, sowohl den Hilfestellungen der staatlichen Stellen wie auch der Industrieverbände, ist eines gemein: Sie wollen auf einer möglichst breiten Basis die Sicherheitskonzepte von Industrie 4.0 und des Internet der Dinge gestaltend beeinflussen, um die Hemmschuhe auf dem Weg zur unvermeidlich kommenden Digitalisierung aus dem Weg zu räumen.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Industrie 4.0 – aber sicher