Diese Website verwendet Cookies, um das Angebot nutzerfreundlicher und effektiver zu machen. Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen über die Verwendung von Cookies und die Möglichkeit der Verwendung von Cookies zu widersprechen, finden Sie hier.

Use #itsa19

6. - 8. Oktober 2020 // Nürnberg

it-sa Newsroom

Industrie 4.0: Wer kümmert sich um die IT-Sicherheit?

Management

© istockphoto.com/chinaface

Wenn es um IT-Sicherheit geht, mangelt es in der Produktion an Kenntnissen. Die Ingenieure sind zwar für Produktionsanlagen ausgebildet, jedoch nicht für Cyber-Attacken. Der Leitfaden einer Expertengruppe will Abhilfe schaffen.

Der Begriff „Industrie 4.0“ ist noch jung, doch schon ist jede vierte Maschine der inländischen Fertigungsindustrie mit dem Internet verbunden. Das ergab eine Umfrage des IT-Branchenverbandes Bitkom. Danach haben zehn Prozent der befragten Unternehmen sogar mehr als die Hälfte ihrer Maschinen am Internet.

Bei diesen Unternehmen bekommt Cyber-Security eine neue Relevanz, doch viele wissen nicht, wie sie sich dem Thema nähern sollen. Dabei gab es bereits gravierende Sicherheitsvorfälle in der OT (Operational Technology). Die Ingenieure kennen zwar ihre Anlagen bestens, doch fehlt es häufig an Fach-Know-how für IT-Security in der Produktion, insbesondere im Mittelstand. Fachleute sind derzeit schwer zu finden und Fortbildungen dauern eine Weile. Ratgeber könnten das Problem lindern, doch bisher mangelte es an praxisorientierten Hilfestellungen. Dem will das Industrial Internet Consortium (IIC) nun Abhilfe schaffen.

Industrial Internet Consortium (IIC) kümmert sich um IT-Sicherheit

Gemeinsam mit Partnerunternehmen bildete das IIC eine Expertengruppe, die über zwei Jahre gängige Sicherheitspraktiken in realen IoT-Anwendungen, wie sie in der OT standardmäßig zum Einsatz kommen, untersuchte. Das Problem, mit dem sich die Gruppe konfrontiert sah, war nach eigener Aussage die Anwendungsbreite in der Industrie. Sie fanden viele unterschiedliche Einsatzformen verschiedener Komponenten vor, die jeweils von den vorhandenen Produktionsanlagen abhängig sind. Damit kommen einheitliche Standardlösungen häufig nicht in Frage. Außerdem unterscheiden sich die Anlagen in ihrer Signifikanz für das Geschäftsmodell. Damit erfordern sie je nach Relevanz verschiedene Sicherheitsstufen.

Ergebnis dieser Anforderungen ist der Leitfaden „Security Maturity Model (SMM) Practioner’s Guide“. Das Praxishandbuch soll Betreiber industrieller Anlagen, bei der Einschätzung ihres aktuellen Sicherheitslevels und notwendiger Maßnahmen unterstützen. Anhand von 36 Parametern können Anlagen und Anwendungsbereiche unterschieden und somit eine individuelle Bedarfsabschätzung erreicht werden. Auf dieser Basis empfiehlt die Expertengruppe geeignete Schritte zur Optimierung des IoT-Sicherheitsniveaus.

Hervorzuheben sind drei ergänzende Fallbeispiele, die beispielsweise dem Management einen Überblick über geeignete Sicherheitsmodelle und -verfahren im praktischen Einsatz geben können. Die Spannbreite reicht vom vernetzten datengesteuerten Abfüllsystem bis zur Steuerung von Updates für vernetzte Autos, die diese Updates verbindungslos Over-the-Air (OTA) erhalten.

US-amerikanische Standardisierungsbehörde liefert Hilfestellung für die Industrie 4.0

Wem das nicht ausreichen sollte, der kann auf den schon etwas älteren Praxisratgeber der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology) zurückgreifen. Der „Guide to Industrial Control Systems (ICS) Security“ verfolgt einen etwas anderen Ansatz, er erklärt die für Industrieanlagen typischen Bedrohungen und erörtert passende Schutzformen. Nach der Darstellung einer industrietypischen Risikoanalyse geht der Ratgeber ausführlich auf anlagentaugliche Sicherheitsarchitekturen ein. Die Spezifik moderner IoT-Komponenten kommt jedoch etwas zu kurz, ebenso aktuelle IT-Verfahren wie drahtlose Updates über Funkverbindungen (OTA). Von daher empfiehlt sich der NIST-Ratgeber eher als ideale Ergänzung zum IIC-Praxishandbuch.

_____________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Hier geht es zur Newsletter-Anmeldung

top