Sicherheits- und Automationstechnik: 3. Fachkongress "Sicherheit + Automation". Sicherheits- und Automatisierungstechnik bilden die Grundlage für eine reibungslose und effiziente Produktion. Um aktuelles Anwendungswissen aus diesen sich dynamisch entwickelnden Bereichen zu vermitteln, trafen sich Fachleute und Interessierte Ende März 2007 auf dem 3. Fachkongress "Sicherheit + Automation". Dabei gab es gegenüber den Vorjahren eine Neuerung: eine Podiumsdiskussion zum Thema Safety und Security. Erstmals behandelte der Fachkongress in diesem Jahr das Thema IT-Sicherheit und wie sich diese Security-Anforderungen auf die Maschinensicherheit (Safety) auswirken.

Diskutiert wurde dies im Rahmen der Podiumsdiskussion "Safety und Security – Getrennte Welten oder potenzierte Gefahr?" von Harald Hauff von der TÜV Automative GmbH in München, Prof. Dr. Frithjof Klasen vom Institut für Automation & Industrial IT an der FH Köln sowie Dr. Wolfgang Morr von der Bayer Technology Services GmbH in Leverkusen. Themen waren u.a. die Bedeutung und die geeignete Umsetzung der IT-Sicherheit im Produktionsumfeld, insbesondere in Zusammenhang mit dem Einsatz von Industrial Ethernet, sowie der Nutzen und der Stand entsprechender Normen bzw. Standards.

Der Titel der Podiumsdiskussion, war gleichzeitig die Einstiegsfrage für die Runde der Fachgrößen. Das Wort hatte zuerst Harald Hauff vom TÜV SÜD. Er sprach von zwei Seiten einer Medaille: „Security ist eine notwendige Bedingung (Enabler) für die Benutzung offener Netze im Bereich der Sicherheitsanwendungen (Safety). Die Maßnahmen zur Aufrechterhaltung der Security benötigen Ressourcen (z. B. Rechenleistung und Speicherbereiche), die damit den Anwendungsbereich für Safety beschränken. Die Maßnahmen der Security sind somit limitierende Faktoren für die Safety-Anwendung.“ Prof. Dr. Klasen antwortete darauf ein lockeres „Safety und Security sind in der Fachwelt getrennte Communities – Verschmelzung ist erforderlich,“ und stellte damit klar, dass zwei Bereiche, die bislang wenig miteinander zu tun hatten, durch ihre Verknüpfung Sicherheitsanforderungen von ganz neuer Dimension erfüllen müssen.

Sicherheitsanforderungen ergeben sich insbesondere auch durch den Einsatz von Standard-Informationstechnologien aus der Bürowelt. Schnell wird hierbei über Web-Technologien gesprochen, die unter Security-Aspekten kritisch erscheinen. Tatsächlich sind sie aber nur eine Untermenge der IT-Anwendungen, die für die Automation relevant sind. Lösungen müssen daher umfassend konzipiert werden – nicht nur für einzelne Technologien. Um die Angreifbarkeit von Systemen bei Fernzugriffen zu verringern, lassen sich Web-Technologien sogar gezielt als Schutzmechanismus einsetzen.

Verständlich, dass Dr. Morr für sich die Aussage traf: „Ich bin konservativ, was den Einsatz von Web-Technologien in Automatisierung betrifft. Was sich als günstiger Weg herausstellt, muss man immer sehen“. Erhebliche Vorteile, so Dr. Morr, hat man mit durchgängigen Infrastrukturen in abgeschlossenen Automatisierungs-Netzen.

Geschlossene Netze können nach außen durch Firewall und Verschlüsselungstechnik abgesichert werden, so Hauff, dies schütze jedoch nicht vor einem internen Angriff. Von Fehlbedienung bis Spionage sei hier alles möglich und, wie im Anschluss an die Diskussion aus dem Publikum ergänzt wurde: Der menschliche Faktor, nicht der technische, sei das eigentliche Risiko.

Erkennen des Sicherheitsrisikos, Schulung des Personals und ein verträgliches Arbeitsklima, in dem Mitarbeiter sich wohl fühlen, könne langfristig der Schlüssel zum Erfolg sein. Der VDI beschäftigt sich in einem Arbeitskreis mit neuen Richtlinien, die Übersicht und Klarheit in einem Bereich schaffen sollen, der derzeit noch eine relativ geringe Bedrohung darstellt. Noch seien die häufigsten Gründe für Automationsausfälle Systemprobleme und Bedienfehler, so Dr. Morr. Dies würde jedoch nicht so bleiben, wenn man sich nicht um die IT-Security kümmern würde.

Problematisch für die Zukunft sah Klasen die organisatorische Trennung von klassischer Office-IT und Automation und fragte provokant: „Wird diese Trennung noch lange leben?“ Die technischen Entwicklungen erfordern einen gemeinsamen Ansatz – auch in der Organisation. Dr. Morr parierte und setzte noch eins drauf: „Die Organisationsform der produzierenden Firmen hat Auswirkungen auf die Art, wie sie mit der Automations-IT und der Schnittstelle zur Office-IT umgehen. Eine kleine Firma kann sich gar keine getrennten Abteilungen für beide Bereiche leisten, deswegen hängt die Lösung der Frage auch davon ab, „wie die Firmen aussehen“.

Auf die abschießende Frage, wie viel IT-Security sich eine Firma leisten müsse, gaben die Autoritäten dem interessierten Fachpublikum folgende Antworten mit auf den Weg: „Es gibt allgemeine Festlegungen“ und es bedürfe einer Risikoanalyse und regelmäßigen Monitorings um den Stand zu wahren, informierte Dr. Morr. „Man kann nicht alle Punkte erfüllen, die heute in einem IT-Security Katalog gefordert werden“, müsse sich aber über die Konsequenzen klar sein, ergänzte Hauff.

Abschließend antwortete Prof. Klasen: „Die technischen Maßnahmen sind nur ein Teil der Lösung“ und diese müssen in ein organisatorisches Gesamtkonzept eingebettet sein. Um eine wirkliche Sicherheitskultur im Unternehmen aufbauen zu können, müssen viele Aspekte beachtet werden, die IT-Security ist ein Aspekt. Allerdings zählen hierbei nicht nur die technischen Lösungen, vielmehr auch die Bereitschaft, Strukturen und Denkweisen zu verändern. Während der Podiumsdiskussion und der anschließenden Fragen und Ergänzungen aus dem Publikum wurde ersichtlich, dass sich Verantwortliche, Spezialisten und Betroffene auf den richtigen Weg begeben haben.