Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Pragmatische Lösungen gefragt

Security-Konzepte für Automatisierung und Produktion

Das Thema Security ist in der Automatisierung und Produktion angekommen. Doch vielfach werden punktuelle Aspekte und Maßnahmen fokussiert. Die Herausforderung bei der Sicherstellung der Informationssicherheit besteht jedoch darin, in einer gesamthaften Betrachtung möglichst alle Schwachstellen gegen potenzielle Bedrohungen zu schließen.



Bild: CAT

Beim Erstellen umfassender Sicherheitskonzepte stellt sich immer die Frage, wie Hersteller und Anwender der Automatisierungstechnik das Richtige tun können, um die Schutzziele zu erreichen. Dazu ist es zunächst notwendig, die Betroffenen zu identifizieren, realistische Bedrohungen zu erkennen und auf Basis dieser Informationen das vorhandene Schadenspotenzial abzuschätzen:

1. Betroffene identifizieren

An erster Stelle der Betroffenen stehen die Betreiber von Anlagen. Sie müssen schließlich sicherstellen, dass die Anlagen störungsfrei laufen. Das Problem vieler Betreiber besteht darin, dass sie keine oder wenige Informationen über Security-Eigenschaften der Maschinen und Produkte ihrer Zulieferer haben und sich damit die Absicherung der Anlagen oft als Sisyphus-Arbeit herausstellt. Mittlerweile steigen aber die Anforderungen an zuliefernde Maschinenbauer und Systemintegratoren, Security-Eigenschaften in ihre Gewerke einzubauen und darüber zu informieren. Am Anfang der Wirkungskette stehen die Produktlieferanten, die sich ebenfalls dem Security-Thema stellen müssen, indem sie ihre Produkte geeignet schützen und Maschinenbauer und Systemintegratoren über ihre implementierten Schutzmaßnahmen informieren. Nur wenn alle Beteiligten ihren jeweiligen Beitrag zur Security-Lösung leisten, sind die Lasten sinnvoll verteilt und die Maßnahmen finanzierbar (Bild 1).

2. Bedrohungen erkennen

Bei typischen Bedrohungen fallen sofort die bekannten Gefährdungen durch Viren, Würmer, Trojaner, Hacker oder Phishing ein. In der Automatisierungswelt sorgten in den vergangenen Jahren etwa Stuxnet, Duqu und Flame für Aufmerksamkeit. Einerseits stärkten diese Schadprogramme das Bewusstsein für Security in der Automatisierungstechnik und in den Produktionsbetrieben, andererseits wurden diese Angriffe zum Teil als ‘politische’ Attacken eingeordnet, welche die ‘normale’, produzierende Industrie nicht betreffen würden. Bei der Klassifizierung von Bedrohungen, auf die Betriebe ihre Aufmerksamkeit richten sollten, bietet unter anderem das Regelwerk der IEC62443, in der Security-Level definiert sind, Hilfestellung für Klassifizierung und Risikobetrachtung. Folgende Bedrohungsklassen lassen sich davon ableiten (Bild 2):

  • Gelegentliche und zufällige Bedrohungen: Dazu zählen etwa der Ausfall einer Festplatte, falsche Adressierung im Netzwerk, nicht autorisierter Remote-Zugriff.
  • Absichtliche Bedrohungen bei Verwendung einfacher Mittel: Beispiele sind der nicht autorisierte Zugriff über ein geratenes Passwort oder die Beeinflussung einer Anlage mittels Insider-Wissen.
  • Absichtliche Bedrohungen bei Verwendung hochentwickelter Mittel: Hierzu zählt etwa für wenig Geld kaufbare Schadsoftware, die für konkrete Anwendungsfälle konfiguriert werden kann.
  • Absichtliche Bedrohungen bei Verwendung hochentwickelter Mittel mit erweiterten Ressourcen: In diese Klasse fallen dann die eingangs erwähnten Schadprogramme wie Stuxnet, Flame oder Duqu.

Schadenspotenzial ermitteln

In der Security-Diskussion werden oft die spektakulären Fälle diskutiert, die allerdings den kleinsten Teil in der Bedrohungslandschaft ausmachen. Die gelegentlichen und zufälligen Bedrohungen erzeugen hingegen den größten Schaden. Die Schadenspotenziale sind sicherlich bei den Betreibern am größten. Neben dem finanziellen Schaden eines Produktionsausfalles kann sich bei dem Bekanntwerden eines Vorfalls zusätzlich ein gravierender Image-Schaden ergeben. Bei Maschinenbauern, Systemintegratoren und Herstellern steht aktuell an erster Stelle der Image-Schaden. Deswegen sind zum Beispiel Hersteller sehr bestrebt, beim Bekanntwerden von Schwachstellen in ihren Produkten diese möglichst schnell zu schließen.


Das könnte Sie auch interessieren:

Jan C. Wendenburg übernimmt die Leitung von IoT Inspector der Analyse-Plattform für Sicherheit im Internet der Dinge (IoT). Er kommt von Cergate zum IoT-Spezialisten.‣ weiterlesen

Das DFKI erweitert seinen Standort in Bremen. Die zusätzlichen Räumlichkeiten für die Forschungsbereiche Robotics Innovation Center und Cyber-Physical Systems sollen Ende 2021 fertiggestellt sein.‣ weiterlesen

Die Branchenverbände IBU, IMU, DSV und VDFI sehen in einem gemeinsam veröffentlichten Brandbrief den „Standort Deutschland gefährdet“. Die Lieferkette der Automobilindustrie stehe vor dem Kollaps, heißt es darin.‣ weiterlesen

Im Forschungsprojekt ’GeMeKI’ entwickelt das Fraunhofer-Institut für Produktiontsechnologie IPT aus Aachen gemeinsam mit elf Partnern drei KI-gestützte Assistenzsysteme für das Fügen, Trennen und Umformen, die komplexes menschliches Expertenwissen in ihre laufende Verbesserung einbeziehen. Neue Regelkreise sollen wechselseitiges Lernen zwischen Mensch und Maschine ermöglichen, sodass sich Qualität und Effizienz von Produktionsprozessen deutlich verbessern können.‣ weiterlesen

Mit einem Rückgang um 4,2 Punkte verzeichnet die ZEW-Konjunkturumfrage im Oktober den fünften Rückgang in Folge. Erstmals seit Februar verschlechtert sich auch die Einschätzung der aktuellen konjunkturellen Lage.‣ weiterlesen

Die Onoff AG eröffnet einen Standort in Erlangen und will damit zukünftig auch den Bereich digitales Engineering mit Echtzeitsimulation bedienen.‣ weiterlesen

Bei physischen Produkten sind Mängel in der Regel schnell festzustellen, oft reicht schon ein Blick. Anders sieht es bei KI-Systemen aus. Wie bei diesen Systemen ein Mangel aussehen kann und wie Unternehmen möglichen Mängeln vorbeugen können, berichtet Rechtsanwalt Kay Diedrich.‣ weiterlesen

Viele Unternehmen setzen auf offene IoT-Plattformen, um freie Bahn bei der Wahl der Cloudinfrastrukturen, der unterstützten Standards und Hardware zu haben. Doch ab wann eine IoT-Plattform als offen gelten kann, ist in keinem Standard geregelt.‣ weiterlesen

Im September ist die Richtlinie VDI-EE 4300 Blatt 14 'Messen von Innenraumluftverunreinigungen - Anforderungen an mobile Luftreiniger zur Reduktion der aerosolgebundenen Übertragung von Infektionskrankheiten' erschienen.‣ weiterlesen

Anfang des Jahres hat Bosch CyberCompare eine digitale Plattform gestartet, die Industrieunternehmen und IT-Security-Anbieter zusammenbringen soll. Schon mehr als 100 Anbieter lassen sich auf dem Portal vergleichen, in einem für Anwender kostenlosen Prozess.‣ weiterlesen

Die Allianz geht davon aus, dass sich Ransomware-Angriffe vermehrt gegen Lieferketten richten könnten. Der Versicherer sieht dabei hauptsächlich IT-Dienstleister im Visier von Hackern. Und auch die Höhe der Lösegeldforderungen steigt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige