IT-Sicherheit für Industrie 4.0
1TyWisu
1TyWisu
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
9 HANDLUNGSVORSCHLÄGE<br />
37<br />
Internet-Welt berücksichtigt werden genauso wie die entstehenden<br />
I<strong>4.0</strong>-Referenzarchitekturen, abgeleitet aus dem<br />
RAMI <strong>4.0</strong> und den existierenden Referenzmodellen <strong>für</strong> ICS.<br />
Feststellung: Standards im Bereich „Bewertung“ und<br />
„Richtlinien“ sind losgelöst von den technischen Standards.<br />
Standardisierungsgremien (wie z. B. DIN und DKE) und<br />
Branchenverbände (wie z. B. B<strong>IT</strong>KOM) sollten hier mittelfristig<br />
etwas umsetzen und diese Lücke schließen. Hindernis<br />
ist hier lediglich die zeitaufwendige Standardisierung.<br />
Details: Kapitel 7.4.3.3 des Abschlussberichtes.<br />
36) ENGINEERING VON SICHEREN <strong>IT</strong>-SYSTEMEN<br />
Vorschlag: Erarbeitung einer Richtlinie <strong>für</strong> eine IACS-bezogenen<br />
Analyse- und Design-Methode unter besonderer<br />
Berücksichtigung der <strong>IT</strong>-<strong>Sicherheit</strong>smanagement-anforderungen<br />
nach ISO/IEC 27001 in Verbindung mit ISO/IEC<br />
27002, VDI/VDE 2182, BDSG und BSI-Grundschutz sowie<br />
der Fähigkeiten der zu der jeweiligen Wertschöpfungskette<br />
passenden technischen Referenzarchitektur und deren<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sstandards.<br />
9.4 Resümee<br />
Die o. g. Handlungsvorschläge helfen den Anwendern<br />
von I<strong>4.0</strong> und der Politik dabei, <strong>für</strong> konkrete Szenarien zu<br />
erkennen, an welchen kritischen Stellen Handlungsbedarf<br />
besteht. Zudem unterstützen die Handlungsvorschläge bei<br />
der Identifizierung und Etablierung von Maßnahmen, um<br />
vorhandenen Risiken und Bedrohungen sowie rechtlichen<br />
und organisatorischen Hemmnissen zu begegnen. Eine<br />
Vielzahl von Handlungsvorschlägen muss kurzfristig 35 ,<br />
d. h. im Zeitraum von wenigen Jahren, angegangen werden.<br />
Hier sind sowohl die Wirtschafts-, Technologie- und Förderpolitik,<br />
Standardisierungsorganisationen als auch die<br />
Unternehmen selbst, ungeachtet ihrer Betriebsgröße, sowie<br />
ihre jeweiligen Branchenverbände gefragt, welche in vielen<br />
Bereichen eng bzw. noch enger zusammenarbeiten müssen<br />
oder in vielen Fällen auch voneinander abhängig sind. Es<br />
besteht insbesondere seitens der Politik erheblicher regulatorischer<br />
Handlungsbedarf und die Auseinandersetzung<br />
der verschiedenen Interessenslagen muss vorangetrieben<br />
werden.<br />
Feststellung 34 : <strong>IT</strong>-<strong>Sicherheit</strong>sstandards sollten einfließen in<br />
das Engineering von <strong>IT</strong>-Systemen („security and privacy by<br />
design“). Standardisierungsgremien wie z. B. DIN, DKE oder<br />
internationale Pendants sowie Verbände wie B<strong>IT</strong>KOM, VDI/<br />
VDE, VDMA und ZVEI unter differentieller Berücksichtigung<br />
von Anforderungen verschiedener Branchen und Unternehmensgrößen<br />
sind hier gefragt. Wegen der Fülle von Anforderungen<br />
erscheint dieses Ziel nur langfristig erreichbar.<br />
Details: Kapitel 7.4.3.4 des Abschlussberichtes.<br />
34 Vgl. auch Kapitel 6.4 des Abschlussberichtes.<br />
35 Die vorgeschlagenen Umsetzungszeithorizonte der Handlungsvorschläge unterscheiden sich nach kurzfristig (ein bis zwei Jahre),<br />
mittelfristig (drei bis fünf Jahre) und langfristig (sechs bis zehn Jahre).