Sicherheit mitgedacht

Die vernetzte Produktion à la Industrie 4.0 bringt neue Sicherheitsrisiken in die Fabriken – die aber zu meistern sind, wenn sich die Firmen rechtzeitig darum kümmern.

Was ist das größte Hemmnis bei der Einführung von Industrie 4.0? Je nach Umfrage fällt die Antwort etwas unterschiedlich aus, zwei Aspekte landen aber immer ganz oben auf der Liste: Standardisierung (s. Seite ??) und Sicherheit. Letztere hat im Bewusstsein der Maschinenbauindustrie nie eine besondere Rolle gespielt. Angriffe auf die Kommunikationsinfrastruktur, um Produktionsausfälle zu provozieren, oder Diebstahl von Know-how passiere immer nur anderen, wozu solle man also in Sicherheit investieren? Steffen Zimmermann, der sich beim Verband der Deutschen Maschinen- und Anlagenbauer mit den Themen Sicherheit und Produktpiraterie befasst, findet diese Einstellung gefährlich. Falsch sei schon die Einstellung vieler Betriebe, Sicherheit als Hindernis zu begreifen. Für den VDMA-Experten ist Sicherheit vielmehr ein Hilfsmittel, neudeutsch: Enabler, für die Digitalisierung der Produktion und für neue Geschäftsmodelle.

Zimmermann ist aber Realist genug um zu wissen, dass sich die 3000 Mitgliedsunternehmen seines Verbands jetzt nicht voller Elan auf das Thema stürzen werden, nur weil einige Verbände und die Politik die Ära der vernetzten Produktion ausgerufen haben. "Das Problem ist bekannt", sagt Zimmermann, "und doch beschäftigen sich die Firmen meist nur auf Zuruf mit der Sicherheit oder wenn das Kind schon in den Brunnen gefallen, also ein Angriff passiert ist." Und so reist der VDMA-Mann zu Messen und Kongressen, um seine Schäfchen vor ihrem eigenen Leichtsinn zu schützen – manchmal mit Erfolg, aber nicht immer.

Sicherheit ist nicht gleich Security

Eine Ursache für die geringe Beachtung des Themas ist die deutsche Sicherheitskultur, die Sicherheit meist mit dem Schutz des Menschen am Arbeitsplatz gleichsetzt. Im Englischen gibt es dafür den Begriff Safety, während Security den Schutz von Informationstechnologie vor Hackern meint. Vielleicht haben die angelsächsischen Länder dank der Begriffstrennung einen Verständnisvorteil, jedenfalls ist das Thema Security insbesondere in den USA höher aufgehängt als in Deutschland.

Das hat auch mit der Struktur der Industrie zu tun. Während in den USA das, was wir in Deutschland Industrie 4.0 nennen, sein Momentum aus der IT-Industrie und aus Themen wie Cloud-Computing und Big Data bezieht, sind in Deutschland die Maschinenbauer die treibende Kraft. Das sind zwei Welten mit völlig unterschiedlichem Sicherheitsverständnis.

Was können Unternehmen tun, um ihren Schutz vor Cyberkriminellen zu verbessern? Erstmal den richtigen Kommunikationsstandard wählen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht derzeit die Sicherheit von OPC UA, das Projekt läuft bis Ende 2015. Holger Junker, Referatsleiter beim BSI: "Die einzige mir derzeit bekannte Kommunikationstechnologie in der Fabrik, die Sicherheitsaspekte mit eingebaut hat und auch Potenzial für die Herausforderungen einer Industrie 4.0 bietet, ist OPC UA." Der Standard bietet zahlreiche Optionen für Vertraulichkeit, Signieren und Authentifizierung. Anhand ihrer Identität können Nutzern zum Beispiel unterschiedliche Zugriffsrechte zugewiesen werden. So hat eine SPS-Steuerung 1.000.000 Variable, die Visualisierung sieht davon 5.000, das System zur Produktionssteuerung aber nur 50, mit unterschiedlichen Lese-Schreib-Zugriffsrechten.

Umdenken nötig

Der wichtigste Rat hat aber nichts mit Technik zu tun. VDMA-Sicherheitsexperte Zimmermann fordert einen Paradigmenwechsel in den Köpfen der Manager in den Unternehmen. Die müssten Sicherheit nicht als Zustand, sondern als Prozess begreifen und als Ansporn, sich immer weiter zu verbessern. Eine entscheidende Rolle könnte hier das Thema Weiterbildung spielen. Denn in Betrieben mit weniger als 500 Mitarbeitern gibt es in der Regel keinen eigenen Securitybeauftragten und auch überhaupt niemand, der Ahnung vom Thema hat. Und in größeren Unternehmen, wo es diese Funktion gibt, kommt die Person meist aus der IT, kennt sich also bestens mit Virenscannern aus, aber nicht, wie diese mit einer Maschine zusammenarbeiten.

Ein Virenscanner, der auf einem PC bestens läuft, kann eine Maschine derart ausbremsen, dass diese die Anforderungen an Durchsatz und Qualität nicht mehr erfüllt. Für die Security in Produktionsbetrieben ist deshalb Spezialwissen nötig, das sich zumindest eine Person aneignen sollte. Weil der Fachkräftemarkt bei den Informatikern und den Ingenieuren abgegrast ist, kann sich Steffen Zimmermann auch den neuen Ausbildungsberuf des Cyber-Mechatronikers vorstellen, der sich um das Thema Sicherheit mit kümmert. In den USA sei die Industrie bei der Bereitstellung von Sicherheitsmaßnahmen schon weiter, doch die deutsche Industrie habe aufgeholt, sagt Zimmermann.

Security sei wichtig, um neue Geschäftsmodelle zu erschließen, das wiederholen Verbände wie Bitkom oder VDMA wie ein Mantra. Oft fehlt den Unternehmen aber die Fantasie, welche Geschäftsmodelle das sein könnten und wo dann die Sicherheit relevant wird. Mit diesen Fragen beschäftigt sich das Karlsruher Unternehmen Wibu-Systems, das Sicherheitssoftware für den industriellen Einsatz entwickelt. Ein Beispiel aus der Bekleidungsbranche: Für einen Hersteller von Stickmaschinen hat Wibu-Systems ein Softwaremodul entwickelt, das in die Konstruktionssoftware der Arbeitsvorbereitung integriert wird und Rechte zur Benutzung der Produktionsdaten in der Maschine vergibt.

So ein Recht könnte zum Beispiel erlauben, das Modell eines T-Shirts auf dieser Maschine 10.000mal herzustellen. Ist das Volumen erreicht, erlischt das Recht für diese Produktionsdaten. Damit kann die Fabrik nicht unbemerkt auf eigene Rechnung zusätzliche Textilien herstellen. Diese Rechteverwaltung ist nicht manipulierbar, vor allem sind die Produktionsdaten zur Steuerung der Maschine so gesichert, dass sie nicht in die Hände der Konkurrenz gelangen können. So könnten Adidas und Nike ihre Shirts auf derselben Maschine produzieren lassen, ohne dass es Bedenken wegen des Know-how-Schutzes geben muss. Das genannte Beispiel ist bereits Realität, die Stickmaschinen werden in Produktionsländern wie Indien oder Vietnam eingesetzt. Richtig wichtig wird diese Art des Rechtemanagements und der Verschlüsselung, wenn Daten versandt werden zum Ausdruck auf 3D-Druckern. Würden sie abgefangen, wäre mit einem Schlag das gesamte Produkt-Know-how in fremden Händen.

Ein Firewall reicht nicht

Für Oliver Winzenried, Vorstand bei Wibu-Systems, führt kein Weg an Security by Design vorbei. Damit ist gemeint, dass Security gleich mit Beginn der Konstruktion und der Entwicklung neuer Produkte und Prozesse mitgedacht wird. Erst hinterher eine Firewall oder eine VPN-Verbindung aufzusetzen, ist riskant, denn hat ein Angreifer diese Hürde erst einmal genommen, kann er sich in dem Firmennetzwerk frei bewegen und Schaden anrichten. Riskant ist das besonders dann, wenn alte Maschinen mit Internetanschluss aufgerüstet werden, um mit der Büro-IT zu kommunizieren. Weil das eher die Regel als die Ausnahme ist, bietet Wibu-Systems für Hersteller von Maschinen und Steuerungen die CodeMeter-Technologie an, damit alle vernetzten Teile einer Maschine eine eigene Identität bekommen und so vertrauenswürdig und sicher miteinander kommunizieren können. Auch wenn ein Angreifer jetzt ins Netzwerk eingedrungen ist, kommt er nicht an die derart gesicherten Anlagen heran – wie ein Einbrecher, der es zwar in den Flur eines Gebäudes schafft, dessen Türen zu den Büros aber alle wie Panzerschränke gesichert sind.

Weil man nie weiß, ob Hacker nicht doch eine Hintertür finden, will Wibu-Systems 2016 einen weltweiten Hacker-Wettbewerb organisieren. Besser die ethischen Hacker finden Lücken als die Cyberkriminellen, die mit ihrer "Arbeit" Geld verdienen wollen. Mittelständlern, die in Industrie 4.0 einsteigen möchten, gibt Oliver Winzenried noch einige Ratschläge: nur in die Cloud geben, was nötig ist, etwa für das Sammeln von Maschinendaten zur Prognose von Verschleiß und zur vorausschauenden Wartung. Und: Die Security muss autark arbeiten, also möglichst in jeder Komponente in einer Fabrik verankert sein. "Deutschland hat derzeit bei Industrie 4.0 noch einen Vorsprung, den es durch neue Geschäftsmodelle und eine Produktion mit integrierter Security zu nutzen gilt", sagt Winzenried.

KMUs mit Nachholbedarf

Auf der Hannover Messe 2016 unternimmt der VDMA einen erneuten Anlauf, das Thema Sicherheit (Security) unter den Unternehmen der Branche auf die Tagesordnung zu heben. Nach einem Handlungsleitfaden, der sich aber hauptsächlich auf neue Geschäftsprozesse konzentrierte, soll zur Messe ein Leitfaden zu Security folgen. Der wird Handlungsempfehlungen für das produzierende Gewerbe sowie Mindestanforderungen für Maschinen und Anlagen enthalten.

Die orientierten sich bisher an Normen, die entweder noch in der Entwicklung sind oder so komplex in der Umsetzung, dass sie für kleine und mittelständische Unternehmen ungeeignet sind. "Deshalb wird sich der neue Handlungsleitfaden besonders an kleinere Unternehmen richten", sagt Steffen Zimmermann. Der Traum von einer völlig sicheren Maschine wird auch damit unerfüllt bleiben, das weiß der VDMA-Experte, "aber wenn wir das Sicherheitsniveau in den Unternehmen von null auf zehn Prozent heben, ist schon viel gewonnen". (bsc)