IT&Production: Wie sollten Anwender dabei vorgehen – insbesondere angesichts der steigenden Bedeutung der Integration und damit durchgängiger Datenwege?
Mischkovsky: Es gibt keine generische Ausganslage und somit auch keinen ‚Blueprint‘ für die Anlagensicherheit. Wichtig ist, das Thema gezielt anzugehen. Anhand einer Entscheidungsmatrix sollte aufgezeigt werden, welchen Bedrohungen wie begegnet werden kann. Sicherlich sind Ansätze und Schutzmaßnahmen wie Firewalls, Antiviren-Software, Whitelisting oder Penetrations-Tests per se sinnvoll. Am wichtigsten ist aber, sich klar zu sein, dass wir nicht auf alles eine Antwort haben. Das ist der große Unterschied zur ‚klassischen‘ IT-Landschaft: Wir müssen mehr miteinander sprechen, und auch Unternehmensbereiche im Hinblick auf Sicherheit eng integrieren. Security muss für alle Hersteller ein Thema werden, muss von Anfang an im Produkt dabei sein. Wichtig ist in jedem Fall, nicht zu sehr auf Technologie zu vertrauen: Der Benutzer ist eines der größten Probleme, teils auch durch Unwissenheit. Dabei sollte auch das Angriffsziel nicht außer Acht gelassen werden: Die Grundmotive können wirtschaftlicher oder politischer Natur sein, dabei spielt neben Cyberbedrohung zu Sabotagezwecken zunehmend Know-how-Diebstahl oder auch schlichte Erpressung eine Rolle. Und die Bedrohungen werden zunehmend vielschichtiger. Um erneut auf das Beispiel Conficker zurückzukommen: Wenn auf dem Rechner ein ‚Command & Control‘-Modul läuft, bringt das nicht unbedingt die Produktion zum Stocken. Angesichts der zunehmenden Vernetzung lässt sich aber auf diese Weise über das Netzwerk die Infrastruktur für spätere Angriffe ausspionieren. Gegenmaßnahmen müssen entsprechend breit gefächert sein. Und angesichts der Forderung nach einer immer agileren Produktion ist der vielzitierte ‚Air Gap‘, also die Abschottung der Produktions-IT, kein Allheilmittel mehr. Denn die klare Unterteilung in Zonen wird sowohl durch den zunehmenden Bedarf nach Datentransfer, etwa durch den Einsatz von TCP/IP und HTTP, als auch den mobilen Zugriff etwa durch Techniker in der Anlage aufgeweicht.
IT&Production: Für den Produktionsbereich stehen akzeptierte Safety-Klassifizierungen zur Verfügung. Doch der Einfluss entsprechender Regelwerke im Sicherheitsbereich – etwa der IEC 62443 oder VDI 2182 – ist noch schwer abzuschätzen. Zu welchem Vorgaben raten Sie Verantwortlichen im Hinblick auf Sicherheitszertifikate? Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Mischkovsky: Ganz klar zur Verwendung der IEC 62443. Mit diesem Regelwerk wird die Grundlage für eine umfassende Zertifizierung geschaffen. Auch wenn das Zertifizierungsthema sicherlich schwierig ist, kann das Werk als sehr hilfreich eingestuft werden. Zudem arbeiten Konzerne wie Siemens an der Norm mit, deren Markteinfluss die Akzeptanz des Standards nicht unerheblich vorantreibt. Im Hinblick auf die Anwendbarkeit ist sicherlich zu bedenken, dass der Entwurf derzeit mehr als 1.000 Seiten umfasst. Doch nicht jeder Fertigungsbetrieb muss sich mit dem kompletten Regelwerk auseinandersetzen – das wird eine Aufgabe für Betreiber, Produzenten und Integratoren gleichermaßen. Hier wird sich auch sicherlich ein praxistauglicher ‚Roter Faden‘ herauskristallisieren, der nicht nur für Akademiker verständlich ist. Denn bei der Entwicklung steht die Anwendbarkeit in der Praxis im Vordergrund. Als Hersteller muss ich sogar sagen: Wir hätten das Regelwerk gerne noch detaillierter. Doch Standards müssen generischer Natur sein, die nötige Genauigkeit im Betrieb wird dann der Integrator oder Lösungsanbieter abbilden müssen. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
IT&Production: Stichwort ‚integrierte Sicherheitskonzepte‘: Welche Herangehensweise empfehlen Sie? Durch die verteilten Zuständigkeiten zur Absicherung von Anlage, Komponenten und Netzwerk entsteht hoher Abstimmungsbedarf …
Mischkovsky: Cyberangriffe sind insgesamt ein Problem, das zunehmend nicht nur eine Ebene betrifft. Der Hersteller kennt sein System am besten, dafür hat der Betreiber den übergeordneten Blick. Entsprechend findet niemand alleine eine Antwort: Prozesse müssen genauso geklärt werden wie Budgets und Verantwortlichkeit für die IT-Security. Dabei sind individuelle Konzepte je nach Betrieb gefragt. Die Maxime sollte ’schützen bis zum schwächsten Glied‘ lauten, das gilt für Hersteller und Betreiber genauso wie für den Integrator, von der SPS bis in die Unternehmens-IT. Denn eine Steuerungsgeneration etabliert sich aufgrund der vielen Bestandssysteme erst in zehn bis 15 Jahren, während Unternehmenssysteme einem vergleichsweise rasanten Wandel unterliegen. Dieses Vorgehen wird in der VDI 2182 sehr hilfreich beschrieben, und die Umsetzung von Schutzmaßnahmen in einem zyklischen Prozess empfohlen. Es gibt keine generische Ausgangslage, und somit auch kein Patentrezept für sichere Systeme. Zudem müssen auch nach der Etablierung eines Sicherheitskonzepts Bedrohungslage und Gegenmaßnahmen immer wieder geprüft und angepasst werden, das gilt inzwischen besonders für Produzenten. Schließlich entwickeln die Angreifer ebenfalls ihre Methoden kontinuierlich weiter.
