Hightech-Manufacturing: ICS-Security zwischen Risikomanagement und Wertschöpfung

Autor/Redakteur: Horst Pleines, Project Manager bei Airbus Defence & Space CyberSecurity/gg

Wer künftig am Wertschöpfungspotenzial von Smart-Industry-Lösungen partizipieren möchte, muss in punkto Sicherheit umdenken. Denn mit zunehmender Komplexität des Lieferketten-Ökosystems steigen auch die potenziellen Risiken. Cybersecurity ist damit längst kein Selbstzweck mehr, sondern eine der entscheidenden unternehmerischen Voraussetzungen für den Erhalt der Wettbewerbsfähigkeit in Zeiten der digitalen Transformation.

Wenn es um die Digitalisierung der Wirtschaft geht, überschlagen sich inzwischen die Wachstumsprognosen. Folgt man führenden Wirtschaftsexperten, so warten auf die deutsche Industrie brachliegende Wertschöpfungspotenziale im dreistelligen Milliardenbereich. Eine 2014 durchgeführte Studie des BITKOM-Verbandes schätzt etwa, dass sich durch Industrie 4.0 allein in den Fertigungsbereichen Automotive, Maschinenbau und Elektronik bis zum Jahr 2025 eine zusätzliche Wertschöpfung in Höhe von rund 50 Milliarden Euro ergeben könnte. Handlungsbedarf ist indessen noch nicht in allen Wirtschaftsbereichen in gleichem Maße gegeben. Die Industrie, im speziellen die Hightech-Fertigung, sieht sich bereits heute einem enormen Digitalisierungszwang ausgesetzt. Denn immer kürzer werdende Produktzyklen und steigender Wettbewerbsdruck machen die digitale Fabrik schon allein aufgrund ihres hohen Optimierungspotenzials für die immer komplexer werdenden Lieferketten zu einem der entscheidenden Zukunftsfaktoren. Zumal der Produktionsprozess eines Flugzeugs, Automobils oder die Herstellung eines Smartphones heute nicht mehr aus einer einzelnen Lieferkette besteht, sondern vielmehr die Summe aus hunderten von verzahnten, exakt aufeinander abgestimmten Wertschöpfungsprozessen und Fertigungsschritten darstellt. Unter diesen Vorzeichen auf Industrie 4.0 zu verzichten, hieße, hart erarbeitete Technologievorsprünge preiszugeben und damit langsam aber sicher seine Marktrelevanz zu verlieren.

Auch wenn jeder Technologiehersteller im Rahmen der digitalen Transformation seine ganz eigenen Strategien entwickeln und umsetzen muss, so teilen alle Smart-Industry-Konzepte letztlich ein gemeinsames Paradigma: Die Fertigung der Zukunft ist datengetrieben, vernetzt und transparent. Produktionsprozess, Materialfluss und ERP-Informationen verschmelzen, gleichzeitig wächst die Anzahl von Echtzeitdatenströmen und Verbindungen exponentiell an – und damit auch die Zahl möglicher Sicherheitslücken. Schon jetzt zeigt sich, dass „klassische“ Sicherheitskonzepte, die hauptsächlich auf einer Trennung von Produktionssystemen und Office-IT beruhen, den Herausforderungen der digitalen Fabrik nicht mehr standhalten werden. Eine Strategie des digitalen Wandels muss deshalb auch die Voraussetzungen für den sicheren Betrieb neuer Technologien einschließen, bei denen die Grenzen zwischen IT-Ebene und Produktionssystemen zunehmend verschwinden. Die technologische Neuausrichtung bietet hierbei einen perfekten Einstiegspunkt für eine grundlegende sicherheitstechnische Bestandsaufnahme und die Bewertung möglicher Sicherheitsrisiken, gerade im Hinblick auf die Planung der eigenen digitalen Agenda.

Gewachsene Strukturen werden zum Sicherheitsproblem

Auch wenn die industrielle Digitalisierung oftmals als Revolution dargestellt wird, so gleicht sie im Prinzip einem kontinuierlichen Prozess, der bereits in den achtziger und neunziger Jahren begonnen hat. Als die moderne Automatisierungstechnik ihren Anfang nahm, steckte das Internet noch in den Kinderschuhen. Niemand hat seinerzeit ernsthaft an die Möglichkeit gedacht, Produktionssysteme mit dem Internet zu verbinden. Industriesteuersysteme wurden als isolierte Einheit betrachtet – Sicherheitsfunktionen wie Authentifizierungsmechanismen, Passwortmanagement oder Zugriffsbeschränkungen waren demnach nicht notwendig und auf Protokollebene schlichtweg nicht vorgesehen. Für ein Produktions-Subsystem genügte es, per Zweidrahtleitung oder Funk an eine höhere Hierarchie wie beispielsweise ein SPS-System angeschlossen zu sein, denn praktische Vorteile wie Echtzeitfähigkeit und Zuverlässigkeit waren die entscheidenden Parameter im Produktionsverbund.

Doch trotz der hohen Echtzeitanforderungen ist das Zeitalter des Internets nicht spurlos an der Fertigungsebene vorbeigezogen. Wo die Flexibilität von TCP/IP von Nutzen war oder Kosten eingespart werden konnten, wurden in den vergangenen Jahren viele Verbindungen auf das IP-Protokoll umgestellt – jedoch nicht immer mit der notwendigen Systematik und nur selten mit dem entsprechenden IT-Sicherheitsbewusstsein. Einer der Haupttreiber war dabei die Bereitstellung von Fernzugängen. Technikern und Wartungspersonal von Anlagen-Herstellern sollte ein schneller Zugriff auf die Managementoberflächen von Produktionssystemen ermöglicht werden, um Konfigurationsänderungen vorzunehmen, den Status von Maschinen einzusehen oder wichtige Updates einzuspielen – und dies, ohne dabei hohe Arbeits- oder Anreisekosten zu verursachen. Als Folge entstanden so organisch gewachsene Vernetzungsstrukturen mit einer heterogenen Architektur aus industriespezifischen Protokollen, lokalen Netzknoten mit Anbindung an die Office-IT und mehr oder weniger offenen Internet-Zugängen – meist mäßig dokumentiert, unzureichend segmentiert und mangels verfügbarer Richtlinien auch ohne einheitliche Standards für Zugriffsmanagement und Passwortsicherheit.