Sichere Industrie 4.0


Copyright Herbert Dirnberger
Im Rahmen des Enterprise 4.0 Geschäftsleiter-Treffens im Jänner 2017 wurden unter der Anleitung von Experten Themen innerhalb des Komplexes „Safety & Security“ gesammelt, welche als besonders bedeutend identifiziert wurden. Jene Themen wurden anschließend von Herbert Dirnberger geclustert und in Form von abgestimmten Praxisvorträgen im Rahmen der IKT Sicherheitskonferenz des österreichischen Bundesministeriums für Landesverteidigung am 27.09.2017 unter dem Titel „Sichere Industrie 4.0“ bearbeitet.

Bild: Ein Highlight der IKT Sicherheitskonferenz: Sascha HERZOG, NSIDE Attack Logic GmbH zeigte in einen LiveHack die Kontrollübernahme eines Industrieroboters.

IKT Sicherheitskonferenz, Villach

Das Programm der IKT wurde in Kooperation mit dem Bayrischen IT-Sicherheits- Cluster und dem Verein Cyber Securtiy Austria zusammengestellt und neben der ecoplus durch folgende Organisationen unterstützt: Uni Wien, WU Wien, IMC Krems, FH St. Pölten, TH Deggendorf und mit Unterstützung durch die Firmen Zillner-Tech, VACE Security, Copadata, Koramis und ACP IT Solutions.

Die Vorträge waren speziell auf die Zielgruppe industrieller Betreiber mit hohem Wertschöpfungsanteil in produzierenden Unternehmen in Österreich und Deutschland ausgerichtet. Vorrangiges Ziel dieser grenzüberschreitenden Vortragsreihe ist, die Vernetzung von Organisationen, Institutionen und Unternehmen und IKT- sicherheitsrelevanten Behörden zu fördern.

Die übergreifende Betrachtung jener Vorträge bildet die Basisstruktur dieses Dokuments. In den folgenden Abschnitten werden die Wechselwirkungen zwischen (1) Geschäftsmodell und die Macht der Digitalisierung - das (2) Zusammenspiel von Sicherheit, Recht, Technologie und Betriebswirtschaft - der gesamte (3) Lifecycle von Anforderung, Beschaffung, Betrieb, Instandhaltung bis zur Außerbetriebnahme - und sehr wertvolle Empfehlungen für die (4) Strategiefindung, Orientierung und Selbsthilfe dargestellt. In Abschnitt (5) Handlungsfelder zu Digitalisierung und Sicherheit werden diese speziell für Geschäftsführer von produzierende Unternehmen erläutert.

1. Digitalisierung

Im Vortrag von Gerhard Kormann und Ernst Piller - „Digitalisierung und neue Geschäftsmodelle für KMU und warum es Sinn macht Sicherheit von Anfang an mit zu berücksichtigen“ wurde vorgestellt, dass „digital“ werden für die KMU ein Lernprozess ist und diese bei unbedachter Vorgehensweise schnell Opfer von Cyber Crime werden können und dass im Idealfall Sicherheit bei Digitalisierungsprojekten von Anfang an mitgedacht wird.

Am Beispiel des Technologiekonzerns Tesla erklärte Kormann eindrucksvoll, welche Umsetzungsmacht von digitalen Plattformen ausgeht. Vor allem die Marktlogik von Produkten zu Services ändert sich. Spannend ist die Frage, wie stark die künftige Rolle der KMU in digitalen Plattformen ist. Die Digitalisierung bietet derzeit auch enorme Chancen für KMU, um servicebasierende Geschäftsmodelle zu nutzen und um sich gerade mit der Berücksichtigung von Sicherheit von Anfang an einen gewissen Vorteil am Markt sichern zu können. In manchen Branchen ist die Digitalisierung ein Muss, um langfristig am Markt überleben zu können.

Piller argumentierte, dass es für die Bereitstellung von sicheren Produkten und Dienstleistungen für Industrie 4.0 des Einsatzes von sicheren Komponenten, denen man vertrauen kann, bedarf. Der Einkauf von sicheren Produkten wurde bis jetzt aber laut Piller meist vernachlässigt. Mit der Nutzung der Beschaffungsplattform können wertvolle Checklisten und Ausschreibungstexte für sichere Hard- und Software erstellt werden und somit sichere Produkte und Dienstleistungen beschafft werden.

Im Vortrag Beschaffung von sicherer Industrie 4.0 für KMU zeigte Thomas Störtkuhl zukünftige Herausforderungen auf. Industrial Security ist ein Enabler für Digitalisierung und Vertrauensbeziehungen. Industrie 4.0 Hubs sind Plattformen, wo Informationen, Waren und Geldmittel ausgetauscht werden. Diese Plattformen basieren auf Vertrauensbeziehungen, die wiederum nur auf Security aufbauen. Das Know-How, wie man solche Vertrauensbeziehungen aufbaut, ist allgemein vorhanden, jedoch mangelt es meist an der Bereitstellung von Ressourcen, wie Zeit und Geld.

2. Interdisziplinäre Zusammenarbeit: Recht, Technologie, Sicherheit und Privacy

Im Vortrag rechtlichen Herausforderungen für sichere Industrie 4.0 von Gerald Quirchmayr und Tobias Zillner wurde vor allem das wichtige Zusammenwirken von Sicherheit, Privacy, Recht, Technologie und Betriebswirtschaft betrachtet.

Durch die Digitalisierung entstehen komplexe Systeme die verwundbar sind. Wie verwundbar diese Systeme sind, bestätigt exemplarisch der LLOYD Emergency Risk Report. In vielen Fällen ist das Schadensausmaß nicht exakt bestimmbar und Voraussagen sind praktisch nicht möglich.

Diese möglichen unbestimmten Haftungsfragen können auch KMU treffen und deren Existenz gefährden. Aktuell ändern sich die Rahmenbedingungen sehr stark. Kriminelle Organisationen haben z.B. Crime as a Service als lukrative Geschäftsmodelle (siehe Ransomware) erkannt und werden künftig in der Industrie und KMU verstärkt massive Schäden wie Betriebsunterbrechungen, Erpressungen, Know-How Diebstahl usw. verursachen.

Zu den wachsende Bedrohungen durch kriminelle Organisationen werden sich gesetzlichen Verpflichtungen (DSG-VO, NIS-Richtlinie) entscheidend ändern und eine aktive gemeinsame Betrachtung von Sicherheit, Privacy, Recht, Technologie und Betriebswirtschaft erfordern. Nur die gezielte Kombination von Maßnahmen aus den beschriebenen Domainen wird künftig wirkungsvoll schützen.

Tobias Zillner erklärte anhand eines Praxisbeispiel, wie man künftig Privacy und Security by Design und Default z.B. mit Hilfe des ENISA Guide for Privacy and Data Protection by Design oder mit PCI-DSS implementiert. Nur eine gezielte Kombination von Maßnahmen aus den Domänen Recht, Technologie und Sicherheit/Privacy können ein vernünftiges Schutzniveau ermöglichen.

3. OT Lifecycle

Der Vortrag von Florian Brunner, Hans-Peter Ziegler und Tobias Zillner - Sicherer Betrieb von Industrie 4.0 in KMU beschrieb vor allem, dass die Systeme der Operations Technology, Maschinen bzw. Anlagen oft sehr lange Lebensdauern wie z.B. 25 Jahre oder mehr aufweisen. Um eine Anlage sicher betreiben zu können, muss Sicherheit von Anfang an mitbetrachtet werden und es müssen sichere Produkte und Services eingekauft werden.

Nach Aussagen von Ziegler sind Projekte mit Greenfield Anlagen sehr rar und in der Realität beschäftigt man sich sehr oft mit Retrofitting und Legacy Systemen in Brownfield Anlagen. In manchen Branchen ist es fast unmöglich, Sicherheitspatches aufgrund von Validierungsvorgaben einzuspielen und funktionierende Systeme mit nicht funktionierenden Patches zu gefährden, ist ein hohes Risiko. Erschwerend kommt noch hinzu, dass der Endkunde oft nicht sein erforderliches Sicherheitsniveau kennt.

Allen Beteiligten, wie Betreiber, Integratoren und Hersteller wird laut Brunner geraten, sich nicht auf Dritte zu verlassen, sondern verfügbare Informationsquellen und Standards wie BSI ICS Security Kompendium, BSI Top 10 ICS Bedrohungen, IEC 62443, VDI 2182 oder das BDE Whitepaper zu nutzen, um den künftigen Idealzustand Security und Privacy by Design and Default anzustreben.

4. Best Practices - Hilfe zur Selbsthilfe

Der Vortrag von Grezmba zeigte, welche ersten Schritte notwendig sind, um die richtige Orientierung und Strategie für die produzierenden KMU zu finden und vor allem Fähigkeiten zur Selbsthilfe zu erlangen. Interessant ist, speziell beim Thema Cyber Security, die Wahl von validen Informationsquellen. Folgende Quellen können im deutschsprachigen Raum exemplarisch herangezogen werden: BSI, Certs, Bayrisches IT-Security Cluster, Cyber Security Austria, IoT Austria und auch Universitäten bzw. Fachhochschulen wie zB. TU Wien, TU München, TH Deggendorf, FH Oberösterreich, FH St.Pölten, FH Technikum Wien und weitere.

Für die Entscheidenden und Sicherheitsverantwortlichen bedarf es vor allem der Aneignung von Wissen über das ganzheitliches Security-Lifecycle Managements durch Ausbildung, Erfahrung und den aktiven Austausch mit Branchenkollegen. Die Fähigkeit, Bedrohungen und Gefahren für individuelle Anwendungsfälle zu erkennen und die selbstständige Erarbeitung und Umsetzung von Sicherheitsstrategien ist essentiell, um künftig Sicherheitsvorfälle zu erkennen bzw. die Auswirkung zu minimieren.

Ein wichtiger erster Schritt, wie sich produzierende KMU richtig aufstellen können. Empfohlen wird eine aktive Auseinandersetzung mit vorhandenen Standards, wie dem BDE Whitepaper, der IEC 62443 und ISIS 12. Jedoch muss klar gestellt werden, dass diese Standards erst durch eine Anpassung an die Unternehmen vernünftig anwendbar sind. Die richtige Auswahl der technischen und organischen Maßnahmen werden im Idealfall von den Geschäftsprozessen und den Unternehmensstrategien und vom Bedrohungsszenario abgeleitet.

Ein interessanter Schritt für KMU könnte laut Alexander Franz die Anwendung von ISIS 12 (kurz für Informations-Sicherheitsmanagement System in 12 Schritten) für die Einführung eines Information Security bzw. Datenschutz Management System sein. In ISIS 12 werden granular die Anforderungen IT-Grundschutz-Kataloge und der ISO/IEC 27001 angewendet, damit mittelständische Unternehmen mit vertretbarem Aufwand Informationssicherheit und Datenschutz systematisch herstellen können.

5. Handlungsfeld: Zusammenarbeit

Die interdisziplinäre Vernetzung von Recht, Technologie und Sicherheit/Privacy wird Digitalisierung ermöglichen.

Hochwertige Produktionsstätten in Deutschland und Österreich werden ihre Vorteile nur nutzen können, wenn Vertrauen zwischen führenden Unternehmen, Universitäten und Fachhochschulen sowie Certs für die künftige Zusammenarbeit aufgebaut wird aber auch für neue Formen der Zusammenarbeit und Ressourcenaustausch genutzt wird.

Das Projekt Enterprise 4.0 des Mechatronik Clusters bzw. die Cyber Security Challenge und der in St. Pölten gegründete Austria IT Security Hub sind enorm wichtige Initiativen mit Leuchtturmcharakter.

Maßgeblich entscheidend für den künftigen digitalen Erfolg sind die gemeinsame Zusammenarbeit der Wertschöpfungsnetzwerke, Initiativen wie ein Industrial Cert, gemeinsame Datacenter oder auch Sharing von Personal zwischen den produzierenden Unternehmen. Aber das ist nur ein kleiner Ausblick, wie unsere erfolgreichen digitalen Wirtschaftsräume in Deutschland und Österreich gestärkt werden.

Autor

Herbert Dirnberger leitet die Arbeitsgruppe „Industrial Control System (ICS) Security“ beim Verein Cyber Security Austria. Bei IoT Austria ist er Rechnungsprüfer. Er hat zudem das IoT Austria Topic Team Industria IoT initiert.

Credits

Dieser Endbericht der Lerngruppe „Safety & Security“ wurde auch veröffentlicht auf Enterprise 4.0, 22.12.2017


IoT Austria Newsfeed