IM-Expertenpool: Security : Industrie 4.0: Zusammenarbeit von IT und Maschinenbau wird wichtiger
Die Industrie der Zukunft ist vernetzt, soviel steht fest. Das heißt aber auch, dass Industrieanlagen potentiell angreifbar sind, sobald sie an das Internet angeschlossen werden. Im Unterschied zu herkömmlichen Rechnern bieten sie durch die Vernetzung von einzelnen Steuereinheiten und Sensoren eine Vielzahl potentieller Angriffsziele.
Das ist nicht länger ein reines IT-Problem. Trotzdem wird noch oft zwischen "Safety", also dem Schutz von Mensch, Umwelt und Maschinen vor physischem Schaden, und "Security", was heute zumeist gleichbedeutend mit IT-Security ist, unterschieden. Die beiden Begriffe gehören zu zwei traditionell getrennten Welten: Safety als funktionale Sicherheit ist eine Domäne des Maschinenbaus. Security hingegen ist in der IT verwurzelt. Beide Welten haben ihre eigenen Sprachen und Prozesse.
Durch die Vernetzung von Industrieanlagen verschwimmen die Grenzen zwischen den beiden Welten jedoch zunehmend. Maschinenbau und IT müssen gemeinsam an Lösungen arbeiten, die die Sicherheit von Industrieanlagen gewährleisten. Das geschieht nicht zuletzt durch überarbeitete Industrienormen und Vorgehensweisen, die beide Bereiche berücksichtigen.
Die zunehmend populären (I)IoT-Komponenten stehen in mehrfacher Hinsicht zwischen den Welten und stellen dadurch beide Seiten vor große Herausforderungen. So haben sich mit der deutlich gesteigerten Rechenleistung der Geräte auch die Anforderungen an die Softwareentwicklung geändert. Durch zusätzliche Kapazitäten in der Hardware kann die zugehörige "Embedded Software" deutlich komfortabler entwickelt werden - allerdings oft zum Preis eines ganzen Rattenschwanzes an Abhängigkeiten von Paketen, Bibliotheken und Betriebssystemfunktionen. Jede dieser Komponenten bietet dabei Potential für Sicherheitslücken und Schwachstellen.
Das steigende Bewusstsein für IT-Security ist ein wichtiger Schritt hin zu sicheren vernetzten Anlagen. Viele Hersteller versuchen diesem Kundenbedürfnis gerecht zu werden und bewerben ihre Produkte entsprechend. Doch Sicherheit kann man sich im industriellen Umfeld nicht einfach durch den Erwerb von Produkten erkaufen. Sie hängt mindestens gleich stark von Erfahrung und Best-Practices ab wie von der zugehörigen Technologie.
Um sensible Systeme vor Cyberangriffen zu schützen, ist daher eine gemeinsame Anstrengung von Betreibern, Anlagenbauern und Softwareentwicklern sowie Sicherheitsexperten erforderlich. Dabei geht es um weit mehr als die Verbesserung von Embedded Software. Anlagen müssen auf ihre Schwachstellen überprüft werden. Darauf aufbauend kann ein Sicherheitskonzept entwickelt werden, das Prozesse und standardisierte Abläufe festlegt, die entsprechend installiert werden müssen. Sicherheit kann nur durch ein ganzheitliches Konzept erreicht werden, an dem alle Stakeholder aus den unterschiedlichsten Bereichen gemeinsam arbeiten.
Udo Schneider ist Security Evangelist bei Trend Micro.
