Industrie 4.0: Sicherheit als Erfolgsfaktor

Die europäische „New Economy“ ist heute größer als die gesamte belgische Volkswirtschaft und wächst schneller als die chinesische. In wenigen Jahren wird die „New Economy“ annähernd fünf Prozent des europäischen Bruttoinlandsprodukts betragen.
IT_Industry Industrie 4.0
©fotohansel - fotolia.com

Vor- und Nachteile der digitalen Welt sind mittlerweile hinreichend bekannt: Freier, schneller, universaler Austausch von Informationen und Meinungen einerseits, Missbrauch, Kriminalität und Terrorismus andererseits – der digitale Informationsaustausch ist die Basis sowohl jeder modernen Unternehmensstrategie als auch gesellschaftliche Lebensgrundlage ganzer Volkswirtschaften. Vor allem in Europa suchen gegenwärtig viele Wirtschaftsbranchen nach innovativen Lösungen, um sich im weltweiten Wettbewerb behaupten zu können. Dabei ist es Deutschland in den vergangenen Jahren gelungen, die Produktivität der Industriewirtschaft zu halten, indem frühzeitig technologische Entwicklungen in Produkte und Prozesse eingebunden wurden.

Nach der Einführung mechanischer Produktionsanlagen Ende des 18.Jahrhunderts, dem Übergang zur arbeitsteiligen Massenproduktion und der angesprochenen Automatisierung von Produktionsprozessen, steht nun das Internet der Dinge als vierte, revolutionäre Phase der Industriegeschichte in den Startlöchern. Sie wird die Entwicklung ressourcensparender, hocheffizienter Produktionsverfahren und heute noch unbekannter Geschäftsmodelle ermöglichen. Die aktuelle Herausforderung liegt in der intelligenten Kombination der „realen“ und „virtuellen“ Welt in cyber-physische Systeme (CPS). Vor diesem Hintergrund hatte der VdTÜV e.V. im Sommer 2012 zu einer öffentlichen Diskussionsveranstaltung mit dem Titel „‚Reale Virtualität?‘ – Das digitale Europa 2020. Strategien für eine nachhaltige Daten- und Internetsicherheit“ in die bayerische Landesvertretung nach Brüssel eingeladen.

Internet der Dinge als Grundlage für die Industrie 4.0

Sowohl der europäische und deutsche Gesetzgeber als auch Wirtschaft und Zivilgesellschaft hatten in den vergangenen Jahren auf den evolutionären Trend der Industriewirtschaft verwiesen. Die Europäische Union verabschiedete im Jahr 2009 einen entsprechenden Aktionsplan (KOM( 2009)278) und förderte diesen durch eine Vielzahl von Forschungsprojekten. Auf Initiative der Bundesregierung (BMBF, BMWi) haben Experten ebenfalls 2009 eine „Nationale Roadmap Embedded Systems“ vorgelegt. Im Januar 2012 wurde zudem der Arbeitskreis Industrie 4.0 mit Vertretern aus Wissenschaft und Wirtschaft als Zukunftsprojekt der Hightech-Strategie der Bundesregierung eingesetzt. Bereits während der deutschen EU-Ratspräsidentschaft im Jahr 2007 wurde dazu eine erste Definition entwickelt, wonach das Internet der Dinge als Grundlage einer Industrie 4.0 „die technische Vision ist, Objekte jeder Art in ein universales digitales Netz zu integrieren.“ Diese Objekte sind dazu einer eindeutigen Identität im weltweiten Internet zugewiesen, mit der sie in einer intelligenten Umgebung, beispielsweise in einer Smart City, geortet werden können. Auf diese Weise wird die Verschmelzung der physischen Realität des Objekts mit der Virtualität der Daten Wirklichkeit. In einer realisierbaren Vision können somit zukünftig alle Alltagsgegenstände vom Fahrzeug über Medizinprodukte bis hin zu Kleidungsstücken oder Lebensmitteln und des Kühlschranks mithilfe integrierter Mikroprozessoren und Sensoren digital gesteuert werden und miteinander kommunizieren. Den Objekten selbst wird eine „digitale Intelligenz“ implementiert, mit der sie ihre Umgebung erfassen, interpretieren und entsprechend in Interaktion treten können, um wiederum das Verhalten anderer Geräte, Dinge und Dienste zu steuern. Eine neue Generation industrieller Assistenzsysteme wird in der Lage sein, die verbale und nonverbale Kommunikation, wie Gestik, Mimik und Sprache egal welcher Herkunft der Fabrikarbeiter, zu interpretieren und mit ihnen zielgerecht zu kooperieren. Im Gegensatz zu existierenden Computern und Netzwerkgeräten weisen diese cyber physischen Objekte folgende neue Qualitäten auf: Die IT-Technik wird durch die Integration in Alltagsgegenstände allgegenwärtig. Der Mensch kann sie nicht ohne Weiteres visuell wahrnehmen, sie sind für das bloße Auge unsichtbar. Zudem handeln diese Objekte weitestgehend unabhängig, ohne direkten Eingriff des Nutzers.


Technische Herausforderungen für die Industrie 4.0

Vom Stand der Realisierung ist das Internet der Dinge vielmehr eine Vision als Wirklichkeit. Lediglich Vorstufen der neuen Möglichkeiten des Internets der Dinge für die Industrie 4.0 sind heute in einigen Anwendungsbereichen erkennbar. So ist es vor allem dank der Radio Frequency Identification (RFID) als intelligenter Lokalisierungstechnik möglich, dass in der Logistik Containersendungen bis zu hin zu kleinen Paketen global über das Internet gesteuert werden können. Ebenfalls bekannt ist der Einsatz intelligenter Strom- und Gaszähler („Smart Meters“), die Ausdifferenzierung der Energieversorgungslandschaft durch „Smart Grid“ oder altersgerechte Assistenzsysteme („Ambient Assisted Living“). Zur Realisierung der neuen Technologie für eine Industrie 4.0 muss diese zwangsläufig mit einer eigenen Adresse mit dem Internet verbunden werden. Prognosen gehen davon aus, dass bis 2050 mehr als 50 Milliarden Geräte mit einer IP-Adresse existieren werden. Vor diesem Hintergrund bedarf es als technische Voraussetzung zunächst einer dringenden Verbreitung der neuen Version des Internetprotokolls IPv6. Das derzeit verwendete Protokoll IPv4 mit seinen circa 4 Milliarden Internetdressen ist bereits weitestgehend aufgebraucht.


Sicherheitsrelevante Herausforderungen für die Industrie 4.0

Die Weiterentwicklung der Industrie, das heißt die Auf- und Umrüstung der Fabriken zu CPS-Produktsystemen birgt zudem ganz neue Sicherheitsanforderungen. Sowohl die IT-Kommunikationsstruktur der Industrie 4.0 als auch die Betriebssicherheit zur Errichtung neuer produktionstechnischer Anlagen unterliegen mannigfaltigen Gefährdungs- und Missbrauchspotenzialen. Wesentlich mehr Akteure sind entlang der Wertschöpfungskette beteiligt, sodass sich vollkommen neue Fragestellungen in Bezug auf Betriebssicherheit („safety“) und Angriffssicherheit („security“) stellen. Spätestens die Entdeckung des Computervirus „Flame“ oder die „Stuxnet“-Attacke haben gezeigt, wie verwundbar offene Systeme durch Angriffe, Manipulationen und Industriespionage sind. IT-Sicherheitskonzepte für CPS-Produkttionssysteme müssen von vornherein ein hohes Maß an Vertraulichkeit, Integrität und Verfügbarkeit aufweisen. Dazu gehören Sicherheitslösungen zum Schutz des digitalen geistigen Eigentums (Know-how) und der Daten jedes einzelnen Herstellers und Betreibers in der Wertschöpfungskette vor unberechtigten Zugriffen. Die Betriebssicherheit (funktionale Sicherheit) von CPS-Produktionssystemen kann sich nicht nur auf die eigenen Komponenten beschränken, sondern muss diese auch im Zusammenspiel mit fremden Komponenten entlang der Wertschöpfungskette aufrechterhalten können. Der Erfolg von Industrie 4.0 kann also nur realisiert werden, wenn ihre Sicherheit immer als Gesamtsystem betrachtet wird. Angriffssicherheit und Betriebssicherheit müssen viel stärker als bisher intelligent zusammengedacht werden.


Sicherheitsrelevante Handlungsempfehlungen für eine Industrie 4.0

Die TÜV-Gesellschaften gewährleisten die Sicherheit und Zuverlässigkeit in einer automatisierten Welt durch die Konformitätsprüfung von einzelnen Komponenten, die Prüfung der Kommunikation zwischen Geräten (Interoperabilität) bis hin zum Sicherheitskonzept des Gesamtsystems (Security for Safety). IT-Security darf nicht auf Kosten von Safety gehen, genauso wie umgekehrt. Die Wahrnehmungen und Erfahrungen aus dem operativen Geschäft der TÜV zeigen allerdings heute bereits deutlich, dass die Anforderungen an die IT-Sicherheit in der Automations- und Leittechnik verbessert werden muss. Zu typischen Schwachstellen gehört dabei, dass ein Sicherheitsmanagement nur teilweise existiert, wichtige Daten und Informationen nur unzureichend definiert sind und der Schutz gegen Malware nicht ausreicht. Darüber hinaus werden regelmäßige Audits nicht ausgeführt und das Thema IT-Sicherheit gegenüber Geschäftspartnern nicht hinreichend problematisiert. Angesichts der zunehmenden Vernetzung und Kooperation mehrerer Partner in Wertschöpfungsnetzen in einer Industrie 4.0 müssen ein Umdenken und eine höhere Sensibilität im Sicherheitsbewusstsein von Beginn des Produktionskreislaufs an erfolgen. Denn ein nachträgliches Implementieren von Sicherheitslösungen ist kostenintensiv und oftmals nicht mit dem gewünschten Beseitigen von Sicherheitsproblemen verbunden. Der Schutz von Industrieunternehmen vor IT-Risiken und Bedrohungen kann daher nur durch die Implementierung standardisierter Managementprozesse realisiert werden, wie es in IEC62443 (CSMS – Cyber-Security-Management-System) und ISO/IEC 27001 (ISMS – Information-Security-Management-System) vorgeschlagen wird. Die TÜV führen im Auftrag der Unternehmen den Prozess einer unabhängigen Sicherheitsanalyse und den Aufbau eines Risikomanagements unter Rückgriff auf Erkenntnisse aus dem Bereich der Betriebssicherheit (Safety – zum Beispiel des Standards IEC 61508) aus. Inakzeptable Risiken werden somit erkannt, Maßnahmen zur Reduzierung entsprechend eingeleitet. Zu Beginn dieses Prozesses steht allerdings das Unternehmen selbst, das zunächst zu analysieren hat, welche ihrer Daten und Informationen besonders schutzbedürftig sind. Die TÜV-Gesellschaften unterstützen dann im weiteren Verlauf die Unternehmen mit regelmäßigen Audits und Penetrationstests kritischer Komponenten in geeigneten unabhängigen Testlabors zur Evaluierung der implementierten Sicherheitsmaßnahmen. Zudem muss gleichzeitig in den Unternehmen das Bewusstsein reifen, dass die reine Implementierung von Sicherheitslösungen unzureichend ist, solange nicht dazu parallel die aus- und innerbetriebliche Weiterbildung der Mitarbeiter vom Fabrikarbeiter bis hin zum Softwareentwickler in geeigneter Weise konsequent umgesetzt wird.

Deutschland hat die Chance, mittelfristig zum Leitanbieter für CPS zu werden. Vor allem die mittelständische industrielle Basis verfügt dafür über die notwendigen Kompetenzen. So genießen deutsche Sicherheitsexperten bei Lösungen für komplexe IT-Sicherheit und beim Thema Safety einen erstklassigen Ruf. Die TÜV-Gesellschaften haben jedoch erkannt, dass sich Deutschland für eine erfolgreiche Implementierung von cyber-physischen Systemen und Produkten ebenfalls über eine eigene Security-Industrie für eine Migration hin zu einer Industrie 4.0 stärker aufbauen muss. Die umfangreichen Handlungsempfehlungen für eine nachhaltige IT-Sicherheit in einer zunehmend automatisierten Welt machen dies deutlich. Der VdTÜV e. V. und seine Mitglieder begleiten dieses Vorhaben aktiv, damit sich Produktions- und Automationsprozesse sowie „Embedded Systems“ als Wettbewerbsvorteil für die deutsche Industrie auszahlen können und Deutschland einen weltweiten Standortvorteil verschafft.

Zusatzinformationen:

Sicherheit im Kontext der Industrie 4.0

Sicherheit im Kontext der Industrie4.0 beleuchtet immer zwei Perspektiven von Sicherheit, die den Begriff der Gesamtsicherheit eines Systems beschreiben und die zusammenge dacht werden müssen. Zum einen das technische System, von dem keine Gefährdung von Mensch und Umgebung ausgehen soll (Betriebssicherheit) und zum anderen der Schutz des Systems vor Missbrauch und unbefugtem Zugriff (Angriffssicherheit).

Betriebssicherheit (Safety)

Betriebssicherheit beschreibt „die Freiheit unvertretbarer Risiken und Gefahren für Menschen und Umgebung durch den Betrieb des Systems“ (IEC 61508 ). Voraussetzungen dafür sind die funktionale Sicherheit und eine hohe Zuverlässigkeit. Als weitere Aspekte können der Strahlenschutz, der Ausschluss von mechanischen und elektrischen Gefährdungen oder durch Dampf und Druck hinzukommen.

Angriffssicherheit (Security/IT Securiy/Cyber Security)

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeiten­ den und lagernden Systemen, die die Vertraulichkeit, Verfügbarkeit und Integrität sicher stellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Sie bildet die Grundlage für den Datenschutz, also den Schutz des Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts hinsichtlich personenbezogener Daten und für den Schutz des Geistigen Eigentums (Know how).

Ansprechpartner

Leiter des Geschäftsbereichs Fahrzeug und Mobilität
T +49 30 760095-350