In der vernetzten Industrie muss IT-Sicherheit ein Vorstandsthema werden. Nur so lassen sich die gebotenen Zuständigkeiten und Notwendigkeiten verankern, fordern Fachleute. Doch Security-Konzepte berücksichtigen oftmals IOT-Geräte in der Fertigung noch gar nicht.

In der vernetzten Industrie werden massiv IOT-Sensoren eingesetzt. Selbst in Geräten, bei denen man es gar nicht erwartet. Ein industrieller Akkuschrauber weiß heute, ob gerade die passende Schraube an der richtigen Stelle eingesetzt wird, und stellt das Drehmoment automatisch entsprechend ein. Die neuen Möglichkeiten erlauben es, jederzeit über Output und Wartungszustand einer Fabrikationsanlage informiert zu sein. Frühzeitig kann dadurch eingegriffen werden, wenn Probleme auftreten.

Noch mehr Trends zum Thema IT-Security finden Sie im Newsroom der it-sa

Doch mit den neuen Möglichkeiten entstehen neue Gefahren. Oftmals geraten mit der Vernetzung Maschinen ungewollt ins Internet - sei es, weil ein Fernwartungszugang für den Hersteller vorhanden ist oder weil dieser Nutzungsstatistiken sammelt. Spätestens dann sind die Geräte angreifbar und es existieren jede Menge Tools, um im Internet danach zu suchen.

Wie das Beispiel Stuxnet 2010 zeigte, können jedoch selbst bei nicht vernetzten Maschinen Angriffe erfolgen. Etwa über USB-Sticks, die zum Installieren von Updates verwendet werden oder über Laptops, die für Wartungsmaßnahmen angeschlossen werden. Stuxnet drang über USB-Sticks in iranische Nuklearzentrifugen ein und richtete schwere Schäden an.

IT-Sicherheit ist damit Grundvoraussetzung für die Industrie 4.0, sind sich auch Politiker, wie beispielsweise Ulrich Nussbaum sicher. Der Staatssekretär im Bundeswirtschaftsministerium hob das kürzlich bei einer Veranstaltung zu Industrie 4.0 hervor. Doch zugleich beklagen Fachleute: Das Thema Security ist immer noch nicht im Management angekommen. Während in der Office-Welt Security fester Bestandteil der IT-Planung ist, gilt dies nicht in der Fertigung. Das liegt unter anderem daran, dass hier andere Prioritäten und andere Zuständigkeiten gelten. So ist der IT-Sicherheitsbeauftragte oftmals nur für Büro-PCs, Internet-Dienste oder das Rechenzentrum zuständig, jedoch nicht für Produktionsanlagen.

Während in der IT Systeme redundant gehalten werden, um Ausfallsicherheit zu gewährleisten, kann in der Produktion nicht einfach eine zweite Fertigungsstraße installiert werden.

Permanente Verfügbarkeit steht also im Zentrum der Produktion, weshalb Betriebsstörungen um jeden Preis vermieden werden. Wer sich um Sicherheitsfragen jedoch keine Gedanken macht, kann schnell in eine unkontrolliert eskalierende Situation geraten.

Gerade in der Industrie 4.0 muss IT-Sicherheit deshalb zum Management-Thema werden und sollte direkt unterhalb der Geschäftsführung verantwortet werden, lautet die Empfehlung von Sicherheitsberatern. Denn es steht viel auf dem Spiel, wenn Angreifer aus der Ferne Produktionsanlagen steuern können, um beim Beispiel Stuxnet zu bleiben.

Sicherheitsvorkehrungen werden jedoch Investitionen erfordern und Anpassungen der Abläufe notwendig machen, die nur auf der Ebene des oberen Managements beschlossen werden können. Dazu zählen insbesondere Notfallplanungen und -übungen und die Etablierung von Alarmketten. Letztere muss immer wieder aktualisiert werden, denn Telefonnummern ändern sich. Fällt erst bei einer Störung auf, dass jemand nicht erreicht werden kann, kann es ganz schnell zum Notfall kommen.