23. Juni 2016 | pArtikel drucken | kKommentieren
5 Leitsätze zur Anlagensicherheit

„Keine Industrie 4.0 ohne Industrial Security“

Industrie 4.0 – auf sie zielen IT-getriebene Modernisierungen in der Produktion klar ab. Virtuelle und reale Welten sollen zusammenwachsen. Ohne Sicherheitsmaßnahmen verkehren sich Chancen jedoch schnell in ihr Gegenteil. Lesen Sie hier die fünf Leitsätze zur Anlagensicherheit.

+ Whitepaper „Industrial Security. Basis für die Industrie 4.0“ gratis downloaden

Über die Hälfte aller Industrieunternehmen in Deutschland verfügt über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben.

Gleichzeitig steigt der Digitalisierungsdruck. Die vierte industrielle Revolution, kurz Industrie 4.0, mit vernetzten Produkten, Maschinen, Sensoren und Prozessen, ist allgegenwärtig. Doch sogar Firmen, die Sicherheitsmaßnahmen bei der Modernisierung berücksichtigen, sind Gefahren ausgesetzt, wie ein Szenario aus der Automobilindustrie zeigt.

Industrial Security

Werner Schwarz, Vice President CANCOM Security Competence Center

„Produktionsfirmen unterliegen einem enormen Zeitdruck, auch bei der Implementierung neuer IT-Systeme. Dies kann dazu führen, Verstöße gegen die IT-Sicherheit hinzunehmen, damit es zu keinen Verzögerungen bei der Produktion kommt. Solche Zielkonflikte zwischen Verfügbarkeit, Vertraulichkeit und Integrität der Daten können und müssen durch ein entsprechendes Sicherheitsmanagement gelöst werden“, sagt Werner Schwarz, Vice President des Security Competence Centers von CANCOM.

CANCOM.info sammelt hier fünf Leitsätze zur Anlagensicherheit. Als Leser haben Sie zudem die Möglichkeit, kostenlos das Whitepaper „Industrial Security. Basis für die Industrie 4.0“ herunterzuladen.

Leitsatz 1: Keine Industrie 4.0 ohne IT-Security

Das Bundesministerium für Wirtschaft und Energie (BMWi) berichtet im seinem Abschlussbericht „IT-Sicherheit für die Industrie 4.0“ im Januar 2016 von einem fiktiven Beispielszenario eines Automobilherstellers. Ein ganzes Gewerk sollte modernisiert und automatisiert werden. Auch ein Leitsystem zur Absicherung war geplant.

Kurz gesagt: Durch Verzögerungen entstand Zeitdruck. Damit die Produktion wie geplant ablaufen konnte, wurde auf eine notwendige Sicherheitseinstellung der Firewall verzichtet. Hier sollte in kurzer Zeit nachgebessert werden, was allerdings lange Zeit nicht geschah.

Die Folge: Massive Sicherheitsrisiken bis hin zur Manipulierbarkeit der Anlage. Es bestand sozusagen keine Trennung mehr zwischen Produktions- und Unternehmensnetzwerk. Diese Durchgängigkeit ist heute eines der größten Gefahren für die Industrie. Gerade kleine und mittlere Unternehmen haben hierfür heute noch keinerlei Sicherungssysteme im Einsatz, obwohl Anlagen zum Teil schon vernetzt sind.

Leitsatz 2: Produktionssicherheit als Teil der gesamten Unternehmenssicherheit

Mit welchen konkreten Bedrohungen wäre im Falle des unzureichend abgesicherten Automobilherstellers zu rechnen?

Durch die Schwachstelle im Netzwerk hätten Angreifer faktisch Daten direkt aus der Produktionsanlagen abgreifen können. Zudem hätten Angreifer die Anlage manipulieren können. Produktionsstillstand und im schlimmsten Fall Personenschäden sind zu befürchten.

Ein unternehmerisch gefährliches Unterfangen, das sich auf sämtliche Produktionsstätten, von Chemie bis Lebensmittelhersteller übertragen lässt. Schließlich liegen Produktionsgeheimnisse offen.

industrial Security

Hersteller sind am stärksten von Cyberspionage betroffen. Quelle: Verizon.

Fehler bei der Implementierung hin oder her. Unzureichende Absicherung kann unterschiedliche Ursachen haben. Fest steht, dass Hersteller heute am stärksten gefährdet sind für Cyberangriffe. Schadsoftware, häufig über externe Hardware eingeschleust, Social Engineering, Sabotage und Einbruch über Fernwartungszugänge sind die größten Bedrohungen für die Industrie.


Folgen durch unzureichende Sicherheitsmaßnahmen:

➤  Auswirkungen auf Produktion & Unternehmen
➤  Diebstahl von KnowHow
➤  Produktionsausfälle
➤  Konventionalstrafen
➤  Zerstörung realer Maschinen
➤  Brandschäden

Jetzt im Whitepaper zu „Industrial Security“ informieren und Sicherheitsstrategie neu justieren.


Leitsatz 3: Definition von Verantwortlichkeiten, Organisation & Prozessen

Sieht man genauer hin, lag beim genannten Beispiel aus der Automobilindustrie der Grund für die unzureichende Absicherung bei den Verantwortlichen des Modernisierungsprojektes. Der Projektleiter auf Kundenseite bestand auf die termingenaue Umsetzung. Die Angst vor dem Produktionsausfall bestimmte dann das weitere Vorgehen, sodass die notwendige Verbesserung auf Eis lag.

Es gibt kaum Standards um Verantwortlichkeiten, Organisationen und Prozesse fest zu definieren. IT-Sicherheit sollte daher zur Aufgabe der Geschäftsleitung erklärt und in das Gesamtrisikomanagement des Unternehmens aufgenommen werden.

Leitsatz 4: Ganzheitliche IT-Security Architektur im Sinne eines „Security by Design“

„IT-Security findet heute auf allen Ebenen des Unternehmens statt. Wie die DNA der Produktion sollte sie in den Zielen verankert, an alle Mitarbeiter kommuniziert werden und sich über die gesamte IT-Architektur, die Prozesse und genutzten Technologien erstrecken“, so Schwarz.

„Security by Design“ für die Industrie ist das Zauberwort. Erfahren Sie im Whitepaper „Industrial Security. Basis für die Industrie 4.0“, wie IT-Security Teil aller Ebenen und Prozesse im Unternehmen wird.

Leitsatz 5: Gezielte Maßnahmen zur Steigerung der Produktionssicherheit

Grundsätzlich sollte sich der Maßnahmenkatalog an einem sogenannten „Security in Depth“-Ansatz orientieren. Dabei spielen Anlagen-, Netzwerksicherheit und Systemintegrität zusammen. Anhand von festgelegten Sicherheitsrichtlinien folgen dann einzelne Industrial Security Maßnahmen.

Allen voran steht hier das Thema „Netzwerktrennung“ von Office-IT und Produktions-IT (genau der Aspekt, der durch die fehlende Sicherheitseinstellung der Firewall beim Automobilhersteller nicht vorgenommen wurde).

Durch Netzwerktrennung und -Segmentierung kann verhindert werden, dass sich Schadsoftware und Viren im Produktionsnetz unbemerkt ausbreiten. Die Implementierung einer Demilitarisierten Zone (DMZ) mit mehreren Firewalls dient dazu, das „unsichere“ Enterprise Netzwerk von der „sicheren“ Produktions-Zone zu trennen.

Welche weiteren Industrial Security Maßnahmen Sie durchführen sollten, erfahren Sie im Whitepaper  „Industrial Security. Basis für die Industrie 4.0“.


Das Whitepaper:Industrial Security

Erhalten Sie einen Überblick über Chancen & Risiken der Industrie 4.0
➤  Managen Sie das Spannungsfeld zwischen Verfügbarkeit, Vertraulichkeit und Integrität

Inklusive Empfehlungen zu: 

➤  IT-Security Strategien
➤  Risikomanagement
➤  Ganzheitlichen Security-Strukturen

Jetzt kostenlos anfordern


Quelle Titelbild: CANCOM.

Hier schreibt Doris Breitenreuter für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info