Laut einer aktuellen VDMA-Studie sind über 70 Prozent der befragten Unternehmen in Deutschland von Produktpiraterie betroffen – das ist Höchststand seit Beginn der Umfrage. Dabei sind Wettbewerber die häufigsten Plagiateure, rund ein Viertel der Plagiate kommt aus Deutschland.
Diese Fakten sind erschreckend, aber nicht verwunderlich. Denn es wird zunehmend einfacher, an vertrauliche Daten zu gelangen. So liegen etwa Fabrikationsdaten meist ungesichert auf den computergestützten Fertigungsmaschinen. Bislang war das unproblematisch.
Werden solche Maschinen oder Anlagen jedoch mit dem Internet verbunden, wie das immer häufiger der Fall ist, können Profis über ungesicherte Netzwerke einfach auf sie zugreifen. Damit lassen sich Daten nicht nur ausspähen, sondern auch manipulieren – das hat Stuxnet eindrucksvoll bewiesen.
So kann durch die Verbindung mit dem Internet oder anderen Systemen jedes bisher unbedenkliche Gerät zum Einfalltor werden in ein Mega-System vernetzter Subsysteme mit einer Vielzahl an teils autonom interagierenden, heterogenen IT-Systemen, Maschinen und Anlagen. Solche Systeme entstehen derzeit innerhalb des Internet of Things (IoT) in vielen Bereichen, seien es Smart Homes, Smart Grids oder Smart Factories, die sich im System der Industrie 4.0 verbinden.
Hier genügt es nicht mehr, Sicherheitsfunktionen nachträglich hinzu zu fügen. Vielmehr müssen alle Sicherheitsaspekte nach dem Prinzip „Security by Design“ von Grund auf berücksichtigt werden.
Kosten auf zwei Seiten
Sicherheit hat ihren Preis – und zwar auf zwei Seiten: Wenn sie erhöht wird und wenn sie fehlt. Die goldene Mitte zwischen akzeptablen Kosten für Sicherheitsmaßnahmen und akzeptablen Risiko für mögliche Schäden und Verlusten liegt für jedes Unternehmen woanders. Bei unternehmensübergreifenden Systemen innerhalb der Industrie 4.0 kann diese Mitte jedoch nicht mehr ein Unternehmen für sich bestimmen.
Um Hilfestellung bei der Bewältigung dieser Herausforderungen zu leisten, hat der Arbeitskreis Industrie 4.0 in Zusammenarbeit mit Fachexperten acht Bereiche zur Sicherheit identifiziert:
1. Integrierte Sicherheitskonzepte, -architekturen und -standards für Safety (Betriebssicherheit) und Security (Angriffssicherheit) könnten auf einem „Wissenspool“ basieren, in den Methoden aus Prozessautomatisierung, Maschinenbau und Elektrotechnik sowie aus der IT-Industrie, Automotive oder Aerospace einfließen. Im Gegensatz zu bestehenden Konzepten müssen sie die Sicherheit offener, kooperierender Teilsysteme verschiedener Hersteller und Betreiber beschreiben. Ausgangspunkt können nach wie vor Bedrohungsszenarien einzelner Branchen sein. Diese sind dann jedoch branchenübergreifend zu definieren und mit anderen Projekten der Sicherheitsforschung, zum Beispiel sichere Identitätsnachweise, Cyber-Security oder ähnliche, abzustimmen. Mit Hilfe dieser Konzepte können Sicherheitsarchitekturen für die Industrie 4.0 definiert werden, die abwärtskompatibel zur Industrie 3.0 sein sollten. Eine solche Referenzarchitektur erlaubt neben der notwendigen Standardisierung der Konzepte und Verfahren auch die Definition von Testverfahren und die Errichtung von Testeinrichtungen, mit denen die Gesamtsicherheit der Systeme auf allen Ebenen überprüft werden kann.
2. Eindeutige und sichere Identitätsnachweise für Produkte, Prozesse und Maschinen sind zwingende Voraussetzung für einen sicheren Informationsaustausch entlang des Produktionsprozesses. Dieser ist unabdingbar für die Akzeptanz und das Funktionieren von Industrie 4.0.
3. Migrationsstrategie von Industrie 3.0 zu Industrie 4.0: Die bestehenden Industrie-3.0-Anlagen sollen schrittweise sicherer gemacht und für Industrie 4.0 vorbereitet werden. Um individuelle Sicherheitslösungen pragmatisch, schnell und kostengünstig implementieren zu können, bedarf es eines standardisierten Prozessmodells. Dies wird jedoch erschwert durch die Heterogenität, Langlebigkeit und Individualität der Anlagen. Die Lösung könnte laut Arbeitskreis darin bestehen, existierende IT-Sicherheitsprozesse anzupassen.
4. Benutzerfreundliche Sicherheitslösungen sind Pflicht. Denn was schwierig, unangenehm oder unhandlich ist, wird nach Möglichkeit umgangen.
5. Sicherheit aus betriebswirtschaftlicher Perspektive: Um die Risiken und damit die Wirtschaftlichkeit von Sicherheitslösungen kalkulieren zu können, bedarf es neuer Berechnungsmethoden, die auf Industrie 4.0 angepasst sind.
6. Sicherer Schutz vor Produktpiraterie: Die Frage, wie Vertrauen und Transparenz innerhalb der Plattform sichergestellt werden können, ohne dass unternehmenskritisches Know-how verloren geht, ist sowohl auf technischer als auch auf Unternehmens- und wettbewerbsrechtlicher Ebene zu beantworten.
7. Aus- und (innerbetriebliche) Weiterbildung: Die reine Implementierung technischer Produkte reicht nicht aus. Sensibilisierungskampagnen tragen dazu bei, die Mitarbeiter auf die Sicherheitsanforderungen zu schulen.
8. „Community-Building“ für Datenschutz: Mit Industrie 4.0 lassen sich Informationen, zum Beispiel zum Gesundheitszustand eines Beschäftigten an einer Maschine, erfassen und auswerten. Um festzulegen, wie sich der Datenschutz aufrechterhalten lässt, rät der Arbeitskreis Industrie 4.0 zur engen Abstimmung mit dem Zukunftsprojekt „Sichere Identitäten“, dem Bundesamt für Sicherheit in der Informationstechnik (BSI), den Datenschutzbeauftragten sowie den Gewerkschaften und Betriebsräten.
Generell gilt laut Ansicht des Arbeitskreises: Neben der Absicherung der Kommunikation zwischen Maschinen und Komponenten gilt es, die inhärente Sicherheit der Maschine nicht aus den Augen zu verlieren. Und pragmatische Lösungen, die frühzeitig in bestehende Anlagen implementiert werden können, sollten Vorrang haben vor einer Ideal-Lösung, die auf sich warten lässt.
Unterstützung von Distributoren
Technologien für Sicherheitslösungen auf verschiedenen Ebenen stehen längst zur Verfügung. Distributoren leisten bei der Umsetzung umfassende, Technologie- und Hersteller-übergreifende Unterstützung. Denn sie sind mit ihrem Geschäftsmodell naturgemäß in viele Teilprozesse von Industrie 4.0 eingebunden.
So steht auch Rutronik für ein Netzwerk von unterschiedlichen Dienstleistungen, Engineering-Aufgaben der FAEs, Unterstützung bei der Vermarktung innerhalb des Systems aus Entwicklungsdienstleister, Auftragsfertiger und Endkunden, sowie die ganzheitliche Abstimmung aller Geschäftsprozesse durch den Einsatz des richtigen Bauelements. Dazu gehören auch vielfältige Sicherheitslösungen wie Hardware-basierte Verschlüsselungssysteme und verschlüsselte Wireless-Protokolle sowie robuste Systeme, die den SIL-Standards entsprechen.
Sichere Tunnelverbindungen stellen sicher, dass ausschließlich berechtigte Sender und Empfänger auf die Daten zugreifen können. Auch der Einsatz ausreichend großer Speicher trägt zur Datensicherheit bei. So ist Rutronik der Technologie-Partner bei der Umsetzung von Industrie 4.0.
