Thought Leadership
Die digitale Transformation bringt für produzierende Unternehmen eine Vielzahl an Chancen mit sich. Doch mit der Vernetzung steigt auch das Risiko für Cyberangriffe. Ein ganzheitliches Sicherheitskonzept nach IEC 62443 zur Absicherung der Produktion anzuwenden, ist erfolgskritisch – und die gemeinsame Verantwortung von Fach- und Führungskräften. Die Fraunhofer Academy stellt hier in Zusammenarbeit mit dem Fraunhofer IOSB und dem Fraunhofer IOSB-INA das passende Weiterbildungsangebot bereit.
Ganz gleich, ob vernetzte Produktionsanlagen, Fernwartung oder cloudbasierte Planungssysteme – die Digitalisierung eröffnet Unternehmen zahlreiche Ansätze für Innovationen und Effizienz. Mehrwertdienste, wie zum Beispiel Condition Monitoring, überwachen Produktionsanlagen – und Assistenzsysteme ermöglichen mit Hilfe von AR/VR eine neue Art der Fernwartung. Dadurch können Anlagenbetreiber und Servicemitarbeiter aus der Distanz auf Produktionssysteme zugreifen und Fehler beheben. Was sich zunehmend entwickelt, ist nicht nur ein hocheffizientes, sondern gleichzeitig ein immer angreifbareres Produktionssystem – durch die Anzahl der neuen Schnittstellen entstehen zusätzliche Angriffsflächen für Cyberkriminelle. Über die Netzwerkverbindungen könnten diese auch von außen in die Anlage eindringen, sie manipulieren, mit Schadcode infizieren, Trojaner einschleusen sowie essenzielle Daten verschlüsseln. Die fatale Konsequenz: Wenn Kommunikationssysteme ausfallen, steht in der vernetzten Anlage die Produktion still. Die Folge sind materielle und im Zweifel auch physische Schäden. Industrie 4.0 benötigt deshalb ein ganzheitliches Sicherheitskonzept nach beispielsweise IEC 62443, das gegen diese Art von Angriffen schützt. In der industriellen Produktion gilt es daher, IT-Sicherheit entlang der horizontalen und vertikalen Integration zu realisieren, da sie andere Anforderung als die klassische IT-Sicherheit aufweist.
Aktuelle Situation
Der Status Quo zur Cybersicherheit in der industriellen Produktion weist sehr unterschiedliche Reifegrade auf – von extrem hohen bis hin zu kaum existenten Sicherheitsniveaus. Normreihen und gesetzliche Rahmenbedingungen wie die Normreihe IEC 62443, das IT-Sicherheitsgesetzes 2.0 oder die europäische Maschinenrichtlinie treiben die Entwicklung allerdings positiv an. Hinzu kommt die Medienberichterstattung zu erfolgten Cyberangriffen. Auch diese Ereignisse rufen IT-Sicherheit verstärkt auf die Agenda von produzierenden Unternehmen.
Herausforderungen bei IT-Security in der Produktion
Wollen Anlagenbetreiber, Maschinenbauer, Komponentenhersteller und Dienstleister aber ein entsprechendes Schutzniveau erreichen, müssen sie eine Reihe spezifischer Anforderungen betrachten. Beispielsweise beläuft sich die Lebenszeit von Produktionsanlagen oft auf Jahrzehnte – ältere Anlagen können so die bisweilen aktuellen Anforderungen an Cybersicherheit nicht erfüllen. Darüber hinaus ist die Vernetzung der Anlagen oft weitaus umfassender, als den Betreibern bewusst ist. Etwa, dass Maschinenlieferanten für die Fernwartung ebenfalls angebunden sind. Für Produktionsumgebungen gilt es daher, überarbeitete Strategien und Prozesse anzuwenden, damit IT-Sicherheit in der Praxis zum Erfolg wird.
Zusammenspiel der relevanten Akteure
Dazu müssen allerdings alle beteiligten Akteure an einem Strang ziehen. Tatsächlich kristallisiert sich jedoch im Bereich Cybersicherheit oftmals ein Spannungsfeld zwischen den Abteilungen Operational Technology (OT), also den Teams, die für die Technologie und industriellen Systeme für den Herstellungspro-zess verantwortlich sind, und der IT heraus. Beide Akteursgruppen haben
unterschiedliche Anforderungen an die Produktionsanlagen: Während beispielsweise das Aufspielen von Updates für die IT-Abteilung eine notwendige Maßnahme im Rahmen einer IT-Security-Strategie bedeutet, heißt dies gegebenenfalls für das Team OT, dass die Produktion für eine bestimmte Zeit stillsteht. Diese Interessen müssen zusammengebracht werden. Schulungen bilden hierfür den geeigneten Rahmen. Dort bekommen beide Gruppen die Gelegenheit, sich über die jeweiligen Anforderungen und Bedürfnisse auszutauschen. Beispielsweise erhalten die Akteure bei den Schulungen im Lernlabor Cybersicherheit unter anderem die Aufgabe, in die Rolle des anderen zu schlüpfen. Das stärkt das gegenseitige Verständnis der Verantwortlichen.
Bewusstsein für Wert der IT
Die Schulungen der Fraunhofer Academy vermitteln außerdem ein konkretes Bewusstsein dafür, was die IT für die Produktion bedeutet – und was geschieht, wenn diese ausfällt. Kein mittelständisches Unternehmen und kein Konzern kann es sich heutzutage leisten, dass die Produktion für mehrere Stunden stillsteht. Zudem gilt es, innerhalb der jeweiligen Unternehmen auf verschiedenen Ebenen Verständnis für die Gefahren zu schaffen. Auf Entwicklerebene steht die sichere Softwareentwicklung im Mittelpunkt, während es im Management um Awareness und Verantwortlichkeiten geht.
Praxisnahe Schulungskonzepte
Einen Ansatzpunkt für Führungskräfte bietet beispielsweise die Schulung IT-Sicherheit für Industrie 4.0 – Bedrohungslage und Handlungsbedarf. Das Seminar verschafft einen Überblick zur Bedrohungslage für industrielle Produktionsanlagen. Die Teilnehmenden erhalten neben Informationen zu den Grundbegriffen der IT-Sicherheit viele Praxisbeispiele zu anwendbaren Standards und Richtli-
nien sowie konkrete Schritte in Richtung eines Cybersecurity Management Systems nach IEC 62443. Das Seminar IT-Sicherheit in der Automatisierungstechnik bietet Fachkräften eine Vertiefung in die Kommunikations- und Automatisierungstechnik. Bevor der Weg zur Industrie 4.0 beschritten werden kann, muss die Industrie 3.0 zunächst vollständig verstanden sein. Demnach müssen die Werte der kritischen Systeme und Anlagen analysiert werden, um geeignete Schutzmaßnahmen ergreifen zu können. Das Seminar bietet eine praxisnahe Einführung in die Anwendung eines ganzheitlichen Sicherheitskonzeptes nach IEC 62443. Unternehmen müssen auf dem Weg der digitalen Transformation ihre kritischen Systeme, Anlagen und Werte kennen, um die passenden Schutzmaßnahmen zu treffen. Dazu zählt, Schwachstellen in Design und Risiken der Implementierung in eingebetteten Systemen sowie industriellen Komponenten zu kennen – und zu erkennen. Darüber hinaus gilt es auch, aktuelle Entwicklungen bei Kommunikationsprotokollen und Sicherheitsfunktionen sowie der Entwicklung sicherer Software in den Produktionsanlagen umzusetzen. IT-Sicherheit herzustellen, ist also ein dauerhafter Prozess: Immer neue Taktiken der Angreifer aber auch die technologische Weiterentwicklung erfordern ein kontinuierliches Anpassen der Schutzmaßnahmen, um effektiven Schutz zu gewährleisten.
Dr.-Ing. Christian Haas, Gruppenleiter Sichere vernetzte Systeme, Fraunhofer IOSB
Jens Otto, Gruppenleiter Cybersicherheit in der Produktion, Fraunhofer IOSB-INA
