Management und Wissen, Industrie 4.0

Neue Herausforderungen für CISOs

Welche Probleme und Aufgaben kommen durch „Industrie 4.0“ auf IT-Sicherheitsverantwortliche zu?

Unter dem Stichwort „Industrie 4.0“ entwickeln Forscher Informationssysteme, die die intelligente Fabrik ermöglichen sollen. Kernidee ist es, alle Prozesse und Werkstücke so miteinander zu vernetzen, dass eine jederzeitige Interaktion optimierte und wirtschaftlichere Produktionsprozesse gestattet. Die Risiko- und Angriffsvektoren erreichen dadurch jedoch unternehmensübergreifende Dimensionen. Unser Autor beschreibt die neuen Aufgaben der CISOs bei der Sicherheit von Industrieanlagen.

Von Frederik Humpert-Vrielink, Schüttorf

Da das Zukunftsprojekt "Industrie 4.0" noch in den Kinderschuhen steckt, sind vielfältige Herausforderungen zu lösen. Auch die notwendigen Sicherheitsstandards müssen erst noch geschaffen werden. Dass hiefür in jedem Fall Bedarf besteht, ist auch an der zunehmenden Medienberichterstattung erkennbar. So berichtete das ITNachrichtenportal heise online erst im Mai, dass Betreiber von Industrieanlagen ihre Steuerungsmodule leichtfertig mit dem Internet verbinden. Gerade in solchen Fällen führen Sicherheitslücken und Manipulationen zu einem großen Schadenspotenzial hinsichtlich der Verfügbarkeit der Anlagen. Sobald jedoch diese Industrieanlagen auch noch heterogen mit den anderen Netzen im Unternehmen verbunden sind und sich die Produktionsprozesse unternehmensübergreifend abstimmen, sind die Auswirkungen nicht mehr nur einzeln, sondern aus verschiedenen Winkeln zu betrachten.

Für die Sicherheitsverantwortlichen in den Unternehmen bedeutet dies neue Aufgabenstellungen. Dabei verlässt das Sicherheitsmanagement jedoch schnell die Ebene der Bewertung einzelner Risiken. Durch die komplette Vernetzung von Produktionsanlagen, Werkstücken und zentralen Systemen entstehen auch neue Angriffsvektoren, die neue Methoden verlangen, um innewohnende Risiken zu entdecken.

Die Kernproblematik bewegt sich in einem Dreiklang von IT-Architektur, Geschäftsprozessen und Sicherheitsmanagement, die in einer gemeinsamen Strategie zusammenfinden müssen. Dabei ähnelt die zukünftige Aufgabenstellung sehr stark der Situation in anderen Branchen, die die Verbindung von speziellen IT-Systemen im Netzwerk und Informationssicherheit im Allgemeinen zu bewältigen haben.

Auf den Kongressen zum Sicherheitsmanagement in der Industrie 4.0 ist zu beobachten, dass die Referenten oft dazu neigen, alten Wein in neuen Schläuchen zu propagieren. Ein „weiter so“ unter nicht angepasster Anwendung bestehender Normen, wie zum Beispiel der ISO 27001, ist jedoch fatal. Die bisher angewendeten Methoden bergen die Gefahr, Angriffsvektoren und Risiken zu unterschlagen, da sie sich vielfach auf die rein technischen Möglichkeiten des Defense-in-Depth-Konzepts und verschiedene Verteidigungswege beziehen (Abbildung 1).

Die Gefahren, die CISOs mit ihren CIOs im Zuge der Industrie-4.0-Entwicklung bewältigen müssen, sind jedoch vielfältiger: Sie beginnen auf strategischer Ebene und enden bei technischen Maßnahmen, die jedoch in Relation mit anderen Punkten zu beleuchten sind.

Aufgaben werden komplexer

[ALTText]
Abbildung 1: Defense-indepth- Konzept (schematisch)

In den meisten Industrieunternehmen erfolgt beispielsweise die Wartung, Beschaffung und Installation der klassischen Produktionsanlagen durch die Verantwortlichen für die Produktion und das Werksmanagement. Die Abteilung Informationsverarbeitung wird hier nicht beteiligt. Netzanbindungen werden entweder ohne oder nur nach kurzfristiger Rücksprache vorgenommen. Oft fehlt eine abgestimmte Strategie zwischen den Bereichen.

Sofern diese Situation besteht, liegen die Risiken auf der Hand. Interoperabilität, Verfügbarkeit und Schnittstellenprobleme der Anlagen zu den Datenbanksystemen sind nur ein paar der Schwierigkeiten, die der CISO in dieser Konstellation bewerten muss. Die Lösung ist – wie so häufig – die Organisation und Einbeziehung der IT-Abteilung bereits am Anfang eines Projektes.

Weitere strategische Risiken und Schwierigkeiten in der „Industrie 4.0“ ergeben sich dann aus den neuen Anforderungen an die technologische Realisierung. Denn wer sich intensiv mit dem Thema befasst, bemerkt recht schnell, dass die Vernetzung von Produktionsprozessen und -anlagen untereinander sehr viele Verbindungen zu anderen Trends der IT hat, die CISOs vor Herausforderungen stellen. Das SAS Institute propagiert hierzu beispielsweise auf seinem Blog, dass "Industrie 4.0", "Big Data" oder "Big Data Analytics" benötigt [1]. Vor allem für die Analyse der Maschinendaten ist dieses Werkzeug demnach interessant. Für den CISO aber bedeutet das, zumindest das theoretische Risiko mit einzubeziehen, dass Mitbewerber oder sonstige Marktteilnehmer Interesse an diesen Daten und ihrer Analyse haben könnten oder auch an der Manipulation ebensolcher Informationen.

Damit wird der CISO bei Umsetzung aller Vorhaben im Rahmen der „intelligenten Fabrik“ sehr schnell zum strategischen Partner des Geschäfts. Er ist zukünftig derjenige, der nicht nur mitentscheidet, sondern der auch maßgeblich die Wirtschaftlichkeit der Sicherheit analysieren muss. Unwirtschaftliche Sicherheitsmaßnahmen werden sich in der „Industrie 4.0“ nicht umsetzen lassen.

Zurück auf die Schulbank

Der Wandel hin zur „Industrie 4.0“ bedeutet also für den CISO, auch einen notwendigen Wandel in der Selbstwahrnehmung vorzunehmen: Er muss sich deutlich mehr in die Abläufe im Unternehmen einbringen, als es bisher der Fall war, um nicht vor der „Blackbox“ Produktionsanlage zu kapitulieren. Er wird lernen müssen, andere Prozesse und auch andere Systemwelten zu verstehen.

Diese Herausforderung ähnelt im Wesentlichen der im Gesundheitswesen [2]. Die Komplexität der Produktionsprozesse und -anlagen fordert mehr Debatten und Diskussionen im Vorfeld. Vor allem die Kommunikation aller Risiken und die Betrachtung aller möglichen Lösungswege ist hier ein wichtiger Punkt.

Gerade bei der Risikoanalyse ist aber der althergebrachte Ansatz, nach Schadenshöhe und Schadenswahrscheinlichkeit zu gehen, nicht immer zielführend. Sicher werden Verfügbarkeitsrisiken bewertbar sein, bei der Beleuchtung der Vertraulichkeit und Integrität wird es jedoch schwieriger, da sich hier gegebenenfalls Auswirkungen auf die Verfügbarkeit ergeben können. Dies hängt wiederum von den eingesetzten Verfahren zur Sicherung ab. Echtzeitdatenübertragung mit hoher Verschlüsselung könnte gerade bei Hochgeschwindigkeitsprozessen in der Produktion zu Problemen führen.

Um solche Auswirkungen konkret beleuchten zu können, kann man mithilfe der Szenariotechnik [3] an die Analyse herangehen. So wird konkret beleuchtet, welche Auswirkungen eine Entscheidung auf die anderen Risiken im Rahmen der Gesamtbetrachtung hat. Damit liefert diese Analyse wichtige Aspekte für die Entscheidungsfindung, wie ein optimierter Prozess in der Produktion auch mit optimierter Informationssicherheit versehen werden kann.

Ein weiterer schwieriger Aspekt ist es, Produktionsanlagen in ihrer Struktur zu verstehen. Ähnlich wie ein Medizingerät im IT-Netzwerk ist auch eine Produktionsanlage ein oft mit Embedded Systems versehenes Konstrukt. Die Interoperabilität mit bestehenden technischen Sicherheitslösungen ist hier häufig nicht gegeben und vor Einbau befragt niemand die IT-Abteilung und den CISO, welche Maßnahmen zu treffen sind, um die Anlage technisch von offenen oder schwächer gesicherten Netzen zu trennen.

Schnelltest: Ist Ihr Unternehmen auf "Industrie 4.0" vorbereitet?

  • Gibt es ein abgestimmtes Änderungsmanagement zwischen IT-Abteilung und der Verantwortlichen für die Produktionsanlagen?
  • Wird der CISO bei Veränderungen an der Anlageneinbindung ins Netzwerk beteiligt?
  • Werden alle Risiken, die durch die Einbindung von Produktionsanlagen ins Netzwerk entstehen, zentral erfasst und bewertet?
  • Sind Anlagennetz und Verwaltungs-/Büronetzwerk getrennt?
  • Werden Planungen für Werksanlagen mit der IT-Strategie und der Sicherheitsstrategie abgestimmt?
  • Können Sie ausschließen, dass produktionswichtige Netzwerke nicht überraschend ausfallen können, z. B. durch einen Virus?
  • Ist der Ausfall von Produktionsanlagen bzw. der IT-Anbindung von Produktionsanlagen im BCM berücksichtigt?
  • Sind alle Produktionsanlagen gegen aktuelle Bedrohungen abgesichert?
  • Werden Risiken und Restrisiken bei der IT-Anbindung von Produktionsanlagen an die Geschäftsführung kommuniziert?
  • Können Sie ausschließen, dass nicht berücksichtigte Risiken bei den Produktionsanlagen bestehen?

Zuständigkeiten klären

Da „Industrie 4.0“ aktuell noch eher ein Thema der Prozessoptimierer ist, ist es nicht weiter verwunderlich, dass die Sicherheit der Informationen in den Systemen sowie die Sicherheit der Netzanbindung vernachlässigt werden. Beispiele wie das eingangs angesprochene Problem von Industrieanlagen im Internet haben ihren Kern in mangelnder Verknüpfung in der Organisation von Produktion und IT. Aussagen der IT wie „Wir klemmen einfach eine Firewall dazwischen“ bis hin zu „Die kommen schon, wenn die was brauchen“ sind hier einfach zu kurz gegriffen. Da ist die Aufgabe des CISO, aktiv nach Projekten zu forschen und seine Expertise proaktiv mit einzubringen.

Solange die Organisation nicht ineinandergreift, ist es nicht sinnvoll, einen Schuldigen zu suchen. Wie so oft ist es die fehlende oder unzureichende Kommunikation, die Sicherheitslücken zutage treten lässt. Ein Beispiel aus dem Krankenhauswesen verdeutlicht dies: Oft arbeiten die Abteilungen für Medizintechnik und IT nebeneinander oder gegeneinander. Damit ergibt sich das offene Problem, dass Projekte meist nicht koordiniert angegangen werden, sondern zwei Tage vor Produktivsetzung einer neuen medizintechnischen Anlage die IP-Adresse angefragt wird. Change-Management, Risikomanagement und eine klare Definition der Anforderungen werden häufig nicht klar vorgenommen. Im Ergebnis kommt es auch hier oft vor, dass Sicherheitsanstrengungen dadurch untergraben werden, dass die Betriebssysteme der medizintechnischen Anlagen eine technische Realisierung nicht zulassen [2].

Im Bereich der Industrieanlagen und damit auch der vernetzten Produktion verhält es sich ähnlich. Oft unklare Zuständigkeiten oder nicht optimal abgestimmte Prozesse führen dazu, dass Produktionsanlagen entweder vom übrigen Netz abgekoppelt werden und damit für Optimierungen nicht sicher zugänglich sind. Alternativ werden die Industrieanlagen hinter umfangreichen Sicherheitsmaßnahmen platziert, die eine wirtschaftlich vertretbare Einbindung in die Produktionsprozesse der „Industrie 4.0“ nicht zulassen.

Standards schaffen

Daher sind neue Konzepte notwendig, um die Dimensionen Sicherheit, Funktionalität und Wirtschaftlichkeit in Einklang zu bringen. Das Feld dieser Konzepte ist jedoch noch weitgehend unerforscht. Aktuell sammelt die deutsche Industrie in der Plattform „Industrie 4.0“ [5] Teilnehmer, die bereit sind, bei der Entwicklung von Standards für die sichere Umsetzung vernetzter Industrieanlagen mitzuarbeiten. Hier sind die CISOs der deutschen Industrie gefordert, sich einzubringen. Nur wenn das Wissen über Sicherheitsthemen gepaart mit klaren Anforderungen der IT und der Produktionsplaner beleuchtet wird, ist es möglich, hierzu Standards zu schaffen, die anwendbar und praktikabel sind.

Gleichzeitig hat die Industrie in ihren bisherigen Überlegungen anerkannt, dass Sicherheit ein erfolgskritischer Faktor im Rahmen der „Industrie 4.0“ ist [6]. Auch hier setzt sich die Parallele zu Medizingeräten im IT-Netzwerk fort, die die Schutzwerte der Sicherheit um die sogenannte „Safety“, das heißt die Vermeidung der Beeinträchtigung von Leib und Leben, erweitert. Auch für Produktionsanlagen werden weitere Schutzwerte der IT-Sicherheit zu entwickeln sein. Welche Schutzwerte dies sein können, wird die Zukunft zeigen.

Gleichzeitig setzt auch hier die Forderung am Anfang an: Bereits bei der Gestaltung von Anlagen und Anlagenvernetzungen ist „Security by Design“ als Entwurfskonzept zu berücksichtigen. Auch dies dürfte damit eines der wichtigsten Einsatzfelder von Sicherheitsanalysten und CISOs werden. Ebenso spielen zukünftig die folgenden vom BSI entwickelten Handlungsfelder zur Sicherheit von Industrial Control Systems (ICS) eine immer größere Rolle im Aufgabengebiet [7]:

  • integrierte Sicherheitskonzepte, -architekturen und -standards
  • eindeutige und sichere Identitätsnachweise für Produkte, Prozesse und Maschinen
  • Migrationsstrategie zur „Industrie 4.0“
  • benutzerfreundliche Sicherheitslösungen
  • wirtschaftliche Sicherheit
  • Schutz vor Produktpiraterie
  • Aus- und Weiterbildung
  • Community-Building für Datenschutz in „Industrie 4.0“

Das zeigt, dass es viele Aspekte gibt, die bei der Umsetzung zu beachten sind. Einen Schnelltest, mit dem sich CISOs einen kurzen Überblick verschaffen können, ob ihr Unternehmen bereit für den Weg in die „Industrie 4.0“ ist, haben wir in einem Kasten zusammengestellt.

Fazit

Es bleibt zu hoffen, dass gerade die Geschäftsführung der Unternehmen dazu beiträgt, das wandelnde Rollenverständnis von CISO und CIO besser wahrzunehmen. Hier ist das Management gefordert, beide Rollen als „Partner des Geschäfts“ wahrzunehmen und einzubinden. Nur wenn Risiken, die sich aus der stärkeren Vernetzung von Anlagensteuerung und Verwaltungsnetzen ergeben, sinnvoll berücksichtigt und gesteuert werden, kann es einen langfristigen wirtschaftlichen Effekt geben. Geschieht das nicht, ist die Gefahr, dass durch unbekannte und nicht bewertete Sicherheitsrisiken Produktionsprozesse zum Stillstand gebracht werden, sehr groß.

Die Herausforderungen für CISOs beim Zukunftsprojekt „Industrie 4.0“ und bei der Sicherheit von Industrieanlagen im Allgemeinen sind riesig. Vor allem das Umdenken weg von unidimensionalen Risikobetrachtungen hin zu ganzheitlichen Szenarien und Simulationen schafft neue Möglichkeiten, die Risiken für verschiedene Angriffsvektoren wirtschaftlich und sicher zu beherrschen. Dabei wird Kommunikation und sinnvolle Standardisierung der Schlüssel zum Erfolg sein. Hier sind die CISOs der Industrieunternehmen gefordert, sich aktiv in die Bestrebungen zur Standardisierung mit einzubringen. Nur wenn bereits von Anfang an Sicherheit beim Gestalten der „Industrie 4.0“ eine maßgebliche Rolle einnimmt, ist gewährleistet, dass Produktionsprozesse sicher bleiben. Dabei sind neue und auf die Anforderungen angepasste Standards sowohl auf der technischen Ebene wie auch als Managementsystemergänzung dringend notwendig.

Von Frederik Humpert-Vrielink ist Senior Consultant bei der CETUS Consulting GmbH.

Literatur

[1] Industrie 4.0 braucht Big Data Analytics, http://blogs.sas.com/content/sasdach/2013/04/25/industrie-4-0-raucht-big-data-analytics/ vom 04.06.2013

[2] Frederik Humpert-Vrielink, Problempatient IT-Sicherheit, <kes> 2013*3, S. 31 

[3] Frederik Humpert-Vrielink, Szenariotechnik für Risikoanalysen, <kes> 2011*4, S. 23

[4] Kritische Schwachstelle in hunderten Industrieanlagen, heise online, www.heise.de/newsticker/meldung/Kritische-Schwachstelle-in-hunderten-Industrieanlagen-1854385.html vom 03.06.2013

[5] Plattform Industrie 4.0, www.plattform-i40.de

[6] Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0, Kapitel 5.4, Seite 50, www.plattform-i40.de/sites/default/files/Bericht_Industrie%204.0_0.pdf

[7] BSI-Analysen zur Cyber-Sicherheit, BSI-A-CS 004, Version 1.00 vom 12.4.2012

© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE), <kes> 2013#4, Seite 56