Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Pragmatische Lösungen gefragt

Security-Konzepte für Automatisierung und Produktion

Beitrag drucken


Beim Vergleich von Bedrohungsklassen im Hinblick auf Eintritts-wahrscheinlichkeit und ‘gefühlte’ Bedrohung zeigt sich: In der Realität sollte das Augenmerk viel stärker auf die einfachen Bedrohungsklassen gelegt werden.
Bild: CAT

Die passende Strategie

Erkennen die Betroffenen das mögliche Auftreten von Bedrohungen und die damit verbundenen Schadenspotenziale, stellt sich die Frage, was im jeweiligen Kontext für die Informationssicherheit getan werden soll. Da jede Maßnahme mit Kosten verbunden ist, besteht die Aufgabe darin, nicht zu viel, nicht zu wenig, sondern das Richtige zu tun.

A) Das Bewusstsein der Beteiligten schärfen
Das Bewusstsein für das Security-Thema wird zunächst mit einer realistischen Beschreibung der Bedrohungslage für einen konkreten Betrachtungsgegenstand − Gerät, Maschine, Anlage − geschärft. Eine Hilfe bei der Einschätzung sind die oben erwähnten Bedrohungsklassen und verfügbare Bedrohungskataloge, wie sie etwa vom Bundesamt für Sicherheit in der Informationstechnik zur Verfügung gestellt werden. Eine weitere Orientierung bieten Gesetze und Richtlinien. Gesetze zeigen auf, dass ein konkreter Handlungsbedarf besteht, Richtlinien bieten Orientierungshilfen, wie Informationssicherheit erreicht werden kann. Im Bereich der Automatisierung sind zwei Richtlinien erwähnenswert:

  • I EC62443/ISA 99 ‘Industrial Network and System Security’: Dies ist eine sehr umfangreiche und noch in Arbeit befindliche internationale Richtlinie.
  • VDI/VDE 2182 Blatt 1 ‘Informationssicherheit in der industriellen Automatisierung’: Diese deutsche Richtlinie ist verabschiedet und beschreibt in nur 13 Seiten Text, wie Informationssicherheit prinzipiell erreicht werden kann. In der VDI/VDE 2182 ist unter anderem auch die Abhängigkeit zwischen Geräteherstellern, Maschinenbauern bzw. Systemintegratoren und Betreibern beschrieben. Diese Abhängigkeiten sind ebenfalls zu berücksichtigen (Bild1).

Weiterhin ist im Team abzustimmen, anhand welcher Richtlinie vorgegangen werden soll. Dafür bietet sich die Richtlinie VDI/VDE 2182 als Vorlage an. Sie beschreibt, welche Maßnahmen zunächst getroffen werden müssen, um dann das Vorgehensmodell zur Verbesserung der Security- Eigenschaften zu durchlaufen.

B) Eine konkrete Analyse vorbereiten
Nachdem die Grundlagen und Randbedingungen für eine Security-Betrachtung gelegt sind, ist es sinnvoll, eine konkrete Anwendung als Pilotprojekt auszuwählen. Dies kann ein Gerät, eine Maschine oder eine Anlage sein. Danach sind die für die anstehende Aufgabe erforderlichen Akteure und Know-how- Träger zu bestimmen , welche die konkrete Bearbeitung durchführen. Das Abarbeiten des Vorgehensmodells ist in mehrere Schritte unterteilt. Die Ergebnisse jedes einzelnen Schrittes sind zu dokumentieren. Im Besonderen ist festzuhalten, auf welchen Grundlagen die Beteiligten zu den jeweiligen Einschätzungen gekommen sind. Dies führt zu vielen Informationen, die strukturiert dokumentiert werden müssen, um sie bei einer geänderten Bedrohungslage wiederverwenden zu können. Eine sehr gute Hilfe kann hierfür ein prozessbegleitendes Tool sein.

C) Richtlinie VDI/VDE 2182 anwenden
Wird die Richtlinie auf einen konkreten Betrachtungsgegenstand angewendet, kann die Untersuchung wertvolle Ergebnisse liefern. Die systematische Vorgehensweise ermöglicht, den security-relevanten Zustand des untersuchten Produktes oder der Anwendung zu beschreiben. Darin werden unter anderem die aktuell relevanten Bedrohungen, geeignete Schutzmaßnahmen und die Priorisierung dieser Schutzmaßnahmen festgehalten. Neben der prozessbegleitenden Dokumentation entsteht eine Dokumentation für Anwender mit den Security-Eigenschaften des Betrachtungsgegenstandes sowie für Lieferanten eine Aufstellung von Security-Anforderungen. Neben diesen technischen Aspekten liefert die Anwendung der Richtlinie vor allem aber Erfahrungen, wie gut diese im jeweiligen Kontext angewendet werden kann. Außerdem wird eine Abschätzung möglich, welche finanziellen und personellen Konsequenzen sich für die Behandlung weiterer Produkte und Anwendungen ergeben.

Aktionismus vermeiden

Bei der Lösung der aktuellen Security-Anforderung in Automatisierung und Produktion ist blinder Aktionismus fehl am Platz. Er kostet viel und birgt die Gefahr, das eigentliche Ziel zu verfehlen. Nichts zu tun ist genauso falsch, weil die bestehenden Herausforderungen nicht gemeistert werden. Wichtig ist eine klar strukturierte Vorgehensweise auf der Grundlage einer verbindlichen Richtlinie zu wählen und diese dann konsequent anzuwenden. Konkrete Anwendungen zeigen, dass die Aufwendungen für konkret zu untersuchende Betrachtungsgegenstände überschaubar sind und dass sich diese Investitionen in Form von besserer Kenntnis des untersuchten Produktes beziehungsweise der untersuchten Anwendung und verbesserten Security-Eigenschaften lohnen.


Das könnte Sie auch interessieren:

Der Aufbau einer kabelgebundenen Ortungsinfrastruktur auf großen Flächen wie Lagerhallen, Baustellen oder in der Prozessindustrie ist kostspielig und zeitaufwendig.‣ weiterlesen

KI-getriebene Convolutional Neuronal Networks in selbstfahrenden Autos sollen andere Verkehrsteilnehmer erkennen. Dabei gilt: Je selbstständiger das Auto, desto komplexer der Algorithmus und undurchschaubarer dessen Weg zur getroffenen Entscheidung. Ein Validierungs-Tool soll helfen, diesen besser zu verstehen.‣ weiterlesen

Erfolgreiche KI-Projekte kombinieren das Domänenwissen von Prozessbeteiligten mit der Expertise von Datenanalysten und IT-Spezialistinnen. Da nicht jedes Maschinenbauunternehmen über diese drei wichtigen Kompetenzfelder verfügt, sind Kooperationen wichtige Bestandteile von KI-Projekten.‣ weiterlesen

Extreme Networks hat die Verfügbarkeit des Wi-Fi 6E Access Point bekanntgegeben. Als Wireless-Plattform erweitert der Zugangspunkt den Einsatzbereich auf das 6GHz-Frequenzband. Das Gerät wurde für Umgebungen mit hohen Anforderungen an Bandbreite und Nutzerdichte entwickelt und zeichnet sich Anbieterangaben zufolge durch seine Perfomance, Funktionalität und Sicherheit aus.‣ weiterlesen

Die Ersatzteilversorgung in der Automobilindustrie besitzt einen sehr kurzfristigen Charakter. Anwendungen zum Abbilden solcher Prozesse sind S/4Hana Supply Chain Management sowie S/4Hana-Automotive-Ersatzteilmanagement. Die wichtigen Zielgrößen für die Versorgungsqualität sind Lieferservicegrad und Time-to-Delivery.‣ weiterlesen

Im Cloud-Projekt Gaia-X entstehen Infrastruktur-Angebote, mit denen Hersteller digitale und vernetzte Produkte entwickeln können, ohne in Abhängigkeit zu Technologiekonzernen zu geraten. Die Strukturen dafür sind bereits etabliert. Jetzt ist es an den Produzenten, durch ihre Mitwirkung aus dem Projekt eine europäische Erfolgsgeschichte zu machen.‣ weiterlesen

Werma bietet ein neues Ruf- und Meldesystem zur Prozessoptimierung in Fertigung, Logistik und an manuellen Arbeitsplätzen an. Mit dem Andon WirelessSet lassen sich Probleme bei der Produktion per Knopfdruck melden, um die Behebung zu beschleunigen.‣ weiterlesen

Alle Werte einer Lieferkette im Blick zu behalten, ist eine Mammutaufgabe - können diese doch schnell in die Millionen gehen. Behälter mit benötigten Materialien müssen nicht mal verschwinden, schon der falsche Lagerplatz im Werk kann die Produktion ausbremsen. Tracker können dafür sorgen, dass nichts Wichtiges aus dem Blick gerät.‣ weiterlesen

Siemens und Zscaler arbeiten zusammen, um Kunden den sicheren Zugriff vom Arbeitsplatz im Büro oder mobil auf Operational-Technology(OT)-Systeme und -Anwendungen im Produktionsnetzwerk zu ermöglichen.‣ weiterlesen

Der österreichische Ableger von Bechtle hat Open Networks erworben. Die neuen Spezialisten bringen insbesondere Erfahrung in den Bereichen Application Services, Datacenter, Security und Netzwerk mit. Die Firma betreut rund 250 Kunden im Alpenstaat.‣ weiterlesen

Viele Konzepte etwa für Modern Workplaces und Digitalisierung hinterfragen Unternehmenskonzepte, die auf traditionelle Strukturen und Hierarchien setzen. Robert Lindner, Senior Regional Director & Country Manager Germany bei Red Hat, hat vier zentrale Grundsätze herausgearbeitet, wie sich Innovation befördern lässt, insbesondere als ein Unternehmen im Open-Sorce-Softwaremarkt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige