Vernetzte Fabriken

Industrie 4.0 – mehr Risiko als Chance?

Seite: 2/2

Firma zum Thema

Entkopplung schafft nur bedingt Sicherheit

Genau genommen bildet auch diese Trennung keine wirkliche Grenze, wie Stuxnet eindrücklich demonstriert hat, weil Informationen über Speichermedien auch über diese Grenze transportiert werden (müssen). Ohne „air gap“ wird allerdings alles noch einfacher. Die hier entstehenden Risiken dürfen nicht unterschätzt werden.

Gefährlich sind dabei nicht unbedingt die eindrucksvollen Angriffe, bei denen vielleicht die Produktion unterbrochen wird und die Roboter „tanzen“. Kritisch sind die langlaufenden Angriffe, mit denen entweder wertvolles geistiges Eigentum abgezogen wird (Industriespionage) oder – noch viel schlimmer – über längere Zeiträume kleine Fehler produziert werden. Man stelle sich vor, dass über Wochen oder Monate Autos mit Fertigungsfehlern vom Band laufen, die sich erst mittelfristig bemerkbar machen und nicht oder nur mit hohen Kosten zu beheben sind.

Die Risiken von Industrie 4.0 dürfen nicht unterschätzt werden. Nur bei einer realistischen Bewertung der Risiken und entsprechenden Gegenmaßnahmen – also einer massiven Verringerung der Risiken – wird man die Chancen auch nutzen können. Deshalb muss Sicherheit ein Kernthema bei Industrie 4.0 sein.

Auch organisatorisch Hand anlegen

Unternehmen müssen die Risiken verstehen und Gegenmaßnahmen ergreifen – bei der Vernetzung, bei der Sicherheit der Produktions-IT, in der damit vernetzten Business-IT, bei den Dingen und so weiter. Sicherheit darf hier auch nicht als bremsender Faktor verstanden werden, sondern als ein notwendiges Element, das aber auch zu einem Wettbewerbsvorteil werden kann.

Neben einer Vielzahl möglicher technischer Maßnahmen, von der Einführung von Privilege-Management-Lösungen für die Produktions-IT bis hin zu Real Time Security Intelligence für die permanente Überwachung komplexer Umgebungen und die Erkennung abweichender Nutzungs- und damit Angriffsmuster, muss auch die Organisation überdacht werden.

Das gilt sowohl für die Hersteller von vernetzten Dingen und vernetzten Maschinen, bei denen die Sicherheitsexperten Teil der Entwicklungs- und Produktionsteams werden müssen, als auch für die Anwenderunternehmen. Die heute noch typische Trennung zwischen der Business-IT und der Produktions-IT muss verschwinden.

Wenn man die Bereiche vernetzt, muss der CISO die Zuständigkeit für die gesamte Sicherheit haben, ebenso wie die operationalen Sicherheitsteams vernetzt werden. Nur dann wird es gelingen, die Chancen von Industrie 4.0 zu nutzen und nicht an der Sicherheit zu scheitern.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43495616)