In vielen Unternehmen steigt der Druck, Prozesse zu digitalisieren. Mit ihrer digitalen Transformation wollen vor allem produzierende Betriebe ihre Effizienz erhöhen. Fragen der Sicherheit bleiben dabei häufig offen. Nachholbedarf besteht speziell in der Automatisierungstechnik – also beim Messen, Steuern und Regeln von automatisch betriebenen Anlagen.
Täglich gibt es weltweit mehrere Millionen Cyberangriffe. Dabei rücken Industriebetriebe immer stärker in den Fokus. Neben dem Diebstahl von Daten sorgen Eingriffe in die Produktionsabläufe für großen Schaden. Das Zeitalter der Industrie 4.0 fordert zwar effiziente und vernetzte Anlagen – doch gleichzeitig erhöht sich damit die Gefahr von Cyberangriffen. Laut einer Studie des Cybersecurity-Anbieters Kaspersky wurden im ersten Halbjahr 2019 weltweit 105 Millionen Angriffsversuche auf IoT-Geräte identifiziert. Auch wenn für 2020 noch keine Zahlen vorliegen, erwarten die Experten im Jahr 2021 verstärkt zielgerichtete Angriffe und neue Ransomware-Kombinationen , die auf die Schwachstellen von Steuerungssystemen in industriellen Anlagen abzielen.
Automatisierung erfordert individuelle Lösungen
Wie stark Hersteller aller Branchen von Cyberrisiken bedroht sind, zeigt auch eine aktuelle Analyse des Fraunhofer-Instituts für Produktionstechnologie (IPT). Die Ergebnisse geben keinen Anlass zur Beruhigung. Im Gegenteil: Kein Unternehmen erfüllt sämtliche relevanten Anforderungen der Cybersecurity für vernetzte Produktionen. In jedem untersuchten Betrieb gibt es an einer anderen Stelle Nachholbedarf. Bei der Beschaffung neuer Anlagen kommen Security-Aspekte im Lastenheft nur in seltenen Fällen vor.
Im Zentrum aller Optimierungs- und Innovationsansätze stehen derzeit schlanke und effiziente Prozesse. Je vernetzter die Anlagen sind, umso selbstständiger regeln die Maschinen die Produktion. Doch in einer Smart Factory wird nicht nur der Herstellungsprozess von Geräten gesteuert. Die gesamte Wertschöpfungskette wird mit der digitalen Transformation optimiert: vom Auftragsmanagement über die Beschaffung bis hin zum Kundenservice. Gleichzeitig steigt jedoch das Risiko einer Cyberattacke. Ein höheres Security-Niveau sollte daher ein elementarer Bestandteil der digitalen Weiterentwicklung sein. „Die Sicherheit der vernetzten Anlagen besitzt dabei eine enorm hohe Bedeutung“ erklärt Matthias Groß, Cybersecurity Expert bei TÜV Hessen. „Sichere Systeme sind mittlerweile ein Qualitätsmerkmal von produzierenden Unternehmen“.
Verfügbarkeit vs. Sicherheit
Bei der Realisierung von IT-Sicherheitslösungen in der Automatisierungstechnik gilt es, neue Herausforderungen zu meistern. Im Vergleich zu Büroarbeitsplätzen besitzt in der Produktion die Verfügbarkeit der vernetzten Systeme und Anlagen höchste Priorität. Es gilt, einen Stillstand der Anlage unter allen Umständen zu vermeiden werden. So verhindert der Anlagenbetreiber Verluste in Millionenhöhe und stellt gleichzeitig die funktionale Sicherheit sicher. Daher sind viele Schutzmechanismen nicht einfach übertragbar, sondern müssen neu gestaltet werden.
Der Fokus auf der Anlagenverfügbarkeit hat zusätzlich Auswirkungen auf die Installation der verwendeten Software. Matthias Groß kennt das Risiko, das in vielen Anlagen schlummert: „Während der Lebensdauer einer Anlage werden deshalb kaum notwendige Sicherheitsupdates aufgespielt. Die Folge sind unzählige veraltete Betriebssysteme in der Produktion, die bei breit gestreuten und willkürlichen Attacken zu Kollateralschäden werden.“ Ein weiteres Problem: Der Betreiber hat keine Kontrolle über die IT-Systeme in den Automatisierungskomponenten, sondern ist auf die Expertise des Herstellers der Komponenten angewiesen.
Sicherheit als Prozess
Für den sicheren Betrieb von Automatisierungstechnik in der Produktion gibt es zahlreiche Regeln. Die Norm IEC 62443 bietet im Vergleich mit anderen Vorgaben dabei einen ganzheitlichen Sicherheitsansatz, damit Unternehmen ihre Steuerungssysteme umfassend absichern können. Mit einer Zertifizierung weisen Hersteller von Automatisierungslösungen unter anderem ihren sicheren Entwicklungsprozess nach. Die Besonderheit: Die Norm ist in unterschiedliche Abschnitte gegliedert. Einzelne Bereiche widmen sich explizit den Anforderungen an die Produktentwicklung von Komponenten einer Automatisierungslösung.
Hersteller von einzelnen Bauteilen oder Steuerungen stehen daher vor der Aufgabe, die Sicherheit ihrer Produkte nachzuweisen. Der Vorteil der IEC 62443 ist dabei, dass nur einzelne Module zertifiziert werden können, etwa Abschnitt 4-1, der einen sicheren Entwicklungsprozess definiert oder Abschnitt 4-2, der technische Anforderungen an Produkte festlegt. Für Anlagenbetreiber werden Sicherheitsrisiken damit bereits im Werk des Herstellers von Komponenten minimiert, etwa indem Raum für notwenige Updates der Betriebssysteme geschaffen wird.
Die IEC 62443 verfolgt die Philosophie, dass zu Cybersicherheit mehr gehört, als die Umsetzung von technischen Vorkehrungen. Denn Betriebsprozesse können die Sicherheit jederzeit an anderen Stellen gefährden. Die Norm berücksichtigt daher auch organisatorische Prozesse. Während in den Security-Levels die Systeme, Netze und Komponenten bewertet werden, richten sich die Maturity-Levels an die prozessuale Einhaltung organisatorischer Richtlinien.
Aus der Kombination der beiden Ansätze ergibt sich ein umfassendes Sicherheitskonzept. „Das ist für viele Unternehmen eine enorme Chance“, bilanziert Matthias Groß. „Gerade im Zusammenspiel von IT und OT fehlt es häufig am Blick über die eigene Disziplin hinaus. Doch aus der Zusammenarbeit können wertvolle Synergien entstehen.“
Hinweis: Wir übernehmen keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.
Newsletter
Immer informiert im Thema Nachhaltigkeit. Melden Sie sich jetzt zu unserem Newsletter an!
Anmelden