27.01.2012
Sichere Informationstechnik schafft Interessenkonflikte in der Produktion
Automation:
Unterschiedliche Prioritäten machen eine Übertragbarkeit von Sicherheitskonzepten aus der Büro-IT auf die Produktionstechnik schwierig. Denn während auf der einen Seite die Schutzmaßnahmen den Vorrang vor schneller Verarbeitungsgeschwindigkeit haben, kommt es in der Produktion auf hohe Verfügbarkeit und schnelle Informationsverarbeitung an.
VDI nachrichten, Nürnberg, 27. 1. 12, ciu
Alle Komponenten in einem Produktionsnetz müssen hundertprozentig verfügbar sein. Jede Einschränkung der Verfügbarkeit, sei es durch Störfälle, falsche Adresszuweisung, Laufzeitfehler, Viren, Trojaner oder auch durch das Einspielen neuer Sicherheits-Updates, verursacht Kosten und erhöht das Fehlerrisiko – selbst dann, wenn kein unmittelbarer Schaden entsteht. Spätestens seit dem der Wurm Stuxnet gezeigt hat, dass Industrieanlagen verwundbar sind, haben die Bedrohungsszenarien aus der Bürowelt die industrielle Umgebung auch in der öffentlichen Wahrnehmung erreicht.
Für die Verantwortlichen bedeutet das neue Herausforderungen, da die bisher etablierten IT-Security-Standards sich nicht 1:1 auf die Fabrikumgebung übertragen lassen. Während im Büroumfeld Schutzmaßnahmen für Vertraulichkeit und Integrität der Informationen im Vordergrund stehen, müssen die Daten aus dem Produktionsumfeld in Echtzeit verarbeitet werden. Da stört jede Erhöhung der Netzlast durch Virenscanner oder ähnliches. „Alle Sicherheitsmaßnahmen müssen sich der Verfügbarkeit unterordnen. Dies auch, wenn Systeme und Komponenten schon zehn und mehr Jahre im Feld sind“, sagte Marcel Kisch, Manager im Bereich IT Advisory, Risk Consulting bei der Beratungsgesellschaft KPMG kürzlich auf einer Podiumsdiskussion des Maschinenbauverbands VDMA zum Thema „Security in Automation“.
Die Herausforderung bestehe jetzt darin, den Schutz von Systemen gegenüber gezielten Angriffen mit möglichst wenigen Maßnahmen und Kosten nachhaltig umzusetzen. Denn besonders im Produktionsumfeld investiere ein Anlagenbetreiber erst, wenn er vom Nutzen überzeugt ist, so Kisch. Fachleute wie Kisch differenzieren dabei den Begriff der Sicherheit und definieren den Schutz gegenüber solchen „gezielten Angriffen“ als Security, während die Ausfallsicherheit und der Schutz von Maschinenbedienern als Safety bezeichnet werden.
„Stuxnet hat uns das erste Mal gezeigt, wie professionell ein Angriff durchgeführt werden kann, und welche Energie und Ressourcen eingesetzt werden, um so einen Angriff ganz zielgerichtet durchzuführen“, erklärte Holger Junker vom Bundesamt für Sicherheit in der Informationstechnik (BSI). „Es war zwar ein schwerer Vorfall, aber auch ein Riesenschritt in Richtung Sensibilisierung“, so Junker, in dessen Abteilung sich allein 15 Mitarbeiter speziell mit dem Thema Security in der Automation beschäftigen.
„Allerdings kann es keine hundertprozentige Sicherheit geben“, erklärte Wolfgang Klasen, Global Manager IT-Security bei der zentralen Forschungsabteilung von Siemens. Es werde immer Möglichkeiten geben, die bestehenden Sicherheitsmaßnahmen zu umgehen. Von daher ist das Thema Security auch ein Prozessthema, was ständig weiter entwickelt werden müsse.
In der zentralen Forschungsabteilung bei Siemens entwickeln, integrieren und testen mehr als 100 Mitarbeiter verschiedene Sicherheitsarchitekturen und beraten bei der Produktentwicklung. Die Konzepte sind inzwischen mit der Lösung „Scalance S“ schon implementiert und seit Jahren auf dem Markt verfügbar, berichtete Klasen. Was man jetzt brauche, seien Mitarbeiter in den Unternehmen, die mit diesen neuen Standards und Produkten umgehen können.
Allerdings scheint es gerade hier an Fachleuten zu mangeln, wie Rainer Glatz, Geschäftsführer im Fachverband Software im VDMA, verdeutlichte. „In der Büro-IT gibt es einen Sicherheitsbeauftragten, bei größeren Unternehmen sogar einen ,Chief Information Security Officer''. Beide haben im industriellen Bereich kein entsprechendes Pendant. Hier werden mit dem Thema Security vorwiegend Instandhalter, Ingenieure oder Werksleiter betraut.“
Der VDMA sieht hier ein klares Defizit, das er abbauen will. Hinzu kommt noch die Vielzahl der Standards, die nicht eindeutig auf den industriellen Bereich ausgerichtet sind. „Vor sieben Jahren haben wir deshalb in einem Leitfaden über die Anwendung des BSI-Grundschutzes im Anlagen- und Maschinenbaus informiert“, so Glatz. „Jetzt arbeiten wir an Hilfestellungen für das Thema Security im Produktionsumfeld.“ Dabei müsse man Security immer als Ganzes betrachten und nicht nur einzelne Maßnahmen.
Aus dem gleichen Grund will deshalb das BSI die grundlegenden Best-Practices für klein- und mittelständige Unternehmen so aufbereiten, dass die wichtigsten Sicherheitsaspekte abgedeckt werden, sagte Holger Junker. Wer heute schon den BSI-Grundschutz anwende, habe einiges an Sicherheit gewonnen. Das Standardwerk füllt inzwischen mehrere 1000 Seiten, bedeutet 4500 Kontrollen und sichert gegen 80 bis 100 Risiken ab. Allerdings fehle noch die Entsprechung für den Produktionsbereich. Mittelfristig werde es auch hierfür ein Kompendium geben analog dem des Office-Bereiches. Der BSI-Grundschutz habe sich bewährt und ist international anerkannt, so Junker.
Dies sieht der VDMA auch in seiner neuesten Umfrage bei knapp 400 Mitgliedsunternehmen bestätigt: Danach setzen mehr als 70 % der befragten Firmen den BSI-Grundschutz ein. Gleichzeitig greifen sie auch verstärkt auf externe Dienstleister zurück, besonders deutlich bei Unternehmen mit bis zu 250 Mitarbeitern. Trotz knapper Budgets messen dem Thema Sicherheit in der Automation über 90 % der befragten Unternehmen eine mittlere bis hohe Bedeutung bei, so das Ergebnisse der Umfrage. Und acht von zehn Unternehmen schätzen, dass die Risiken in ihrer Branche in den nächsten zwei Jahren zunehmen werden. Knapp ein Viertel der Teilnehmer geht sogar von einer starken Steigerung aus. ROLAND HENSEL