IT-Sicherheit für Industrie 4.0

Recommendations

Info

10 4 FALLBEISPIELE, IDENTIFIZIERTE RISIKEN UND HERAUSFORDERUNGEN werke (in Gegensatz zu heute auch dauerhaft) ausgetauscht und ausgewertet werden. Die Fernwartung von Maschinen, die zwar bereits heute vielfach praktiziert wird, wird damit aus Sicht der IT-Sicherheit vielschichtiger und kritischer. Fallbeispiel aus der chemischen Industrie In den Produktionsprozessen der chemischen Industrie sind heute schon häufig Anlagen über verschiedene Ebenen der Wertschöpfungskette miteinander verbunden. Als Schutzmechanismus ist das Netzwerk, über welches die Anlagen miteinander kommunizieren, in verschiedene IT-Sicherheitszellen unterteilt mit Regeln, welche Komponenten aus welchem Netzsegment mit welchen anderen Komponenten in einem anderen Netzsegment kommunizieren dürfen. Die Regelung der Netzwerksegmentierung erfordert neue Technologien, wenn im Rahmen von I4.0 die Systeme unternehmensübergreifend und über alle Schritte der Produktion hinweg miteinander vernetzt werden sollen. Zudem wird der „Defense In Depth“-Ansatz, also, dass Schutzmechanismen auf verschiedenen Ebenen, rund um die Produktionssysteme diese absichern, vermutlich nicht mehr ausreichen. Stattdessen werden neue IT-Sicherheitsmechanismen und -konzepte direkt in den Produktions-/ Automatisierungssystemen notwendig. Fallbeispiel grenzüberschreitende Logistik-Prozesse In der Verpackungsindustrie (hier konkret: Wellpappenherstellung und -verarbeitung) herrscht ein extrem hoher Kostendruck, der dazu führt, dass Produktion und Logistik in hohem Maße durchautomatisiert sind. I4.0-Relevanz: Diese Querschnittsindustrie nimmt für Unternehmen von der Lebensmittelindustrie bis zum Maschinenbau eine wichtige Rolle bei der Optimierung von deren Logistikprozessen ein. Bei den hierbei zwischen Unternehmen auch grenzüberschreitend ausgetauschten Daten lassen sich bei Verletzung der Vertraulichkeit sensitive Informationen z. B. über die geschäftliche Situation der Kunden (Auslastung), Kostenstrukturen, geplante Marketing-Kampagnen oder Kunden gewinnen. Zudem kann bei Verletzung der Datenintegrität ein hoher Schaden bei Hersteller oder beim Kunden z. B. durch verfälschte Stückzahlen oder verfälschtes Timing (Folgen wäre z. B. Blockierungen des Produktionsprozesses durch leere Verpackungsmateriallager bzw. Vergeudung von Ressourcen durch Überproduktion), irreführende Auszeichnung beim Bedrucken der Verpackungen oder unnötige Transportkosten entstehen. Identifizierte Risiken und Herausforderungen Obwohl die Vision I4.0 bisher in noch keinem Unternehmen voll verwirklicht ist, können zukünftige Szenarien basierend auf existierenden Publikationen zu I4.0 in Richtung weiter zunehmender Vernetzung über Länder-, Standort-, und Unternehmensgrenzen, zunehmender autonomer Abläufe in Produktion und Logistik und zunehmender Verfügbarkeit von großen und teils sensitiven Datenbeständen „extrapoliert“ werden. Schon die Ausgangssituation für I4.0, der aktuelle Zustand der Industrie 3.x, weist erhebliche Defizite in der IT-Sicherheit auf. Es muss daher bei allen weiteren Betrachtungen immer im Auge behalten werden, dass für die Lösung von durch I4.0 neu entstehenden Herausforderungen, Bedrohungen und Risiken zunächst ein sicheres Fundament durch die Adressierung dieser bereits existierenden Probleme erforderlich ist. Für I4.0 werden sich nun aber, wie in den Fallbeispielen in der Langfassung der Studie illustriert wird, zusätzliche Herausforderungen ergeben, die in der gegenwärtigen Situation noch gänzlich unbekannt sind. Es sind im Wesentlichen drei Eigenschaften der I4.0, aus denen neue, zentrale Herausforderungen im Kontext der IT-Sicherheit entstehen: 1. Die Vernetzung von Industrieanlagen und deren Komponenten wird künftig nicht nur organisations- und jurisdiktionsübergreifender, sondern vor allem auch dynamischer stattfinden als bisher. Die konkreten Teilnehmer an einem IT-Prozess in einer I4.0-Wertschöpfungskette sind nicht mehr im Voraus fest planbar. Um die IT-Sicherheit in einem solchen Szenario zu gewährleisten, muss eine belastbare Grundlage von Vertrauen und Verlässlichkeit geschaffen werden, die sich über alle Teilnehmer der Wertschöpfungskette erstreckt. Die Herstellung solcher Vertrauensbeziehungen kann nicht erst in dem Moment in Angriff genommen werden, indem sich aufgrund dynamischer Abläufe eine neue Kommu-
4 FALLBEISPIELE, IDENTIFIZIERTE RISIKEN UND HERAUSFORDERUNGEN 11 nikationsbeziehung über Unternehmens- und Ländergrenzen hinweg ergibt. Die Herausforderung besteht hier vor allem in der Definition von Mindestsicherheitsstandards, denen alle potentiellen Teilnehmer an den I4.0-Prozessen genügen müssen, beziehungsweise zu deren Einhaltung diese sich verbindlich verpflichten. Da diese Standards für Teilnehmer jeder Größe, also auch für KMU, mit zumutbarem Aufwand umsetzbar sein müssen und ihre Einhaltung nachweisbar sein muss, ergibt sich als weitere Herausforderung, hier auf internationaler Ebene ein schlankes, auf das Wesentliche beschränkte Rahmenwerk aus technischen und organisatorischen Maßnahmen zu konzipieren, das diesen Zweck erfüllt. Eine detaillierte Diskussion der identifizierten Risiken und Herausforderungen findet sich in den Kapiteln 4.3 bis 4.5 des Abschlussberichtes. 2. Die Menge an Daten, die von einem Teilnehmer einem anderen Teilnehmer aus funktionalen Gründen absichtlich mitgeteilt oder zugänglich gemacht werden, nimmt zu. Darunter befinden sich insbesondere auch solche Daten, die nicht nur aus Sicht eines einzelnen Unternehmens als Geschäftsgeheimnis gelten, sondern an die aufgrund staatlicher Gesetze eine besonders hohe Anforderung an die Vertraulichkeit besteht (z. B. Schutz von Personendaten). Verschärfend kommt hinzu, dass derjenige, der solche Daten anderen bereitstellt, oft nicht wissen kann, wer die Teilnehmer im weiteren Verlauf der Wertschöpfungskette genau sein werden, denen diese Daten bekannt gegeben werden müssen, um ihre Funktion in einem I4.0-Prozess zu erfüllen. Jeder Teilnehmer trägt damit nicht nur eine Verantwortung für die Sicherheit seiner eigenen Daten, sondern auch für die Sicherheit der Daten seiner Prozesspartner. Umgekehrt muss jeder Teilnehmer darauf vertrauen können, dass Daten, die er im Verlauf von I4.0-Prozessen im Rahmen eines Wertschöpfungsnetzwerkes seinen Kommunikationspartnern überlässt, von diesen angemessen geschützt werden. 3. Entscheidungen werden bei I4.0 zunehmend autonom von Maschinen (das heißt von Software-Programmen) getroffen. Diese Entscheidungen und die daraus resultierenden Änderungen von Abläufen und Teilnehmer-Konfigurationen können sich aufgrund von Ereignissen aus unterschiedlichsten Domänen und Partnersystemen ergeben sowie aus der Analyse von Daten aus unterschiedlichsten Quellen. Erfolgsentscheidend für diesen Aspekt von I4.0 ist sowohl die Integrität als auch die Authentizität der verwendeten Daten und Datenquellen.
Page 1 and 2: Studie im Auftrag des Bundesministe
Page 3 and 4: Inhalt Inhalt .....................
Page 5 and 6: 3 Expertenbeirat Stefan Bauer, WITR
Page 7 and 8: 5 1 Motivation und Zielsetzung der
Page 9 and 10: 7 2 Studienbeteiligte und Beirat An
Page 11: 9 4 Fallbeispiele, identifizierte R
Page 15 and 16: 13 6 Vorhandene und neue Konzepte u
Page 17 and 18: 6 VORHANDENE UND NEUE KONZEPTE UND
Page 19 and 20: 17 8 Interessenslagen, Positionen u
Page 21 and 22: 9 HANDLUNGSVORSCHLÄGE 19 Tabelle 9
Page 23 and 24: 9 HANDLUNGSVORSCHLÄGE 21 zunehmend
Page 25 and 26: 9 HANDLUNGSVORSCHLÄGE 23 angehen,
Page 27 and 28: 9 HANDLUNGSVORSCHLÄGE 25 Betriebsz
Page 29 and 30: 9 HANDLUNGSVORSCHLÄGE 27 16) SECUR
Page 31 and 32: 9 HANDLUNGSVORSCHLÄGE 29 Tabelle 9
Page 33 and 34: 9 HANDLUNGSVORSCHLÄGE 31 21) KONZE
Page 35 and 36: 9 HANDLUNGSVORSCHLÄGE 33 ist insow
Page 37 and 38: 9 HANDLUNGSVORSCHLÄGE 35 sieht ber
Page 39 and 40: 9 HANDLUNGSVORSCHLÄGE 37 Internet-

IT-Sicherheit für Industrie 4.0

Create successful ePaper yourself

Delete template?

Save as template?