Industrie 4.0 krankt an Expertenmangel

Ingenieure für Produktionsanlagen ausgebildet, jedoch nicht für OT-Sicherheit

Wenn es um IT-Sicherheit geht, mangele es in der Produktion an Kenntnissen. Die Ingenieure seien zwar für Produktionsanlagen ausgebildet, jedoch nicht für Cyber-Attacken. Der Leitfaden einer Expertengruppe soll demnach nun Abhilfe schaffen, wie datensicherheit.de aktuell informierte.
Der Begriff „Industrie 4.0“ sei noch jung, doch schon jede vierte Maschine der inländischen Fertigungsindustrie sei mit dem Internet verbunden, so das Ergebnis einer Umfrage des IT-Branchenverbandes Bitkom:

„Danach haben zehn Prozent der befragten Unternehmen sogar mehr als die Hälfte ihrer Maschinen am Internet.“

Fachleute derzeit schwer zu finden und Fortbildungen brauchen Zeit

Bei diesen Unternehmen bekomme Cyber-Security eine neue Relevanz, doch viele wüssten nicht, wie sie sich dem Thema nähern sollen. Dabei gebe es bereits gravierende Sicherheitsvorfälle in der OT (Operational Technology).

„Die Ingenieure kennen zwar ihre Anlagen bestens, doch fehlt es häufig an Fach-Know-how für IT-Security in der Produktion, insbesondere im Mittelstand.“

Fachleute seien derzeit schwer zu finden und Fortbildungen dauerten eine Weile. Ratgeber könnten das Problem lindern, doch bisher mangelte es an praxisorientierten Hilfestellungen. Dem möchte das industrial internet Consortium (IIC) mit der Publikation

„IoT Security Maturity Model: Practitioner’s Guide Version 1.0“

nun Abhilfe schaffen.

Einheitliche Standardlösungen kommen häufig nicht in Frage

Gemeinsam mit Partnerunternehmen habe das IIC eine Expertengruppe gebildet,

„welche über zwei Jahre gängige Sicherheitspraktiken in realen IoT-Anwendungen, wie sie in der OT standardmäßig zum Einsatz kommen, untersuchte“.

Das herausfordernde Problem für die Gruppe sei nach eigener Aussage die Anwendungsbreite in der Industrie gewesen.
Sie hätten viele unterschiedliche Einsatzformen verschiedener, jeweils von den vorhandenen Produktionsanlagen abhängiger Komponenten vorgefunden.

„Damit kommen einheitliche Standardlösungen häufig nicht in Frage.“

Außerdem unterschieden sich die Anlagen in ihrer Signifikanz für das Geschäftsmodell. Damit erforderten sie je nach Relevanz verschiedene Sicherheitsstufen.

Praxishandbuch für Betreiber industrieller Anlagen zur Einschätzung ihres Sicherheitslevels

Ergebnis dieser Anforderungen ist demnach der Leitfaden „Security Maturity Model (SMM) Practioner’s Guide“ (s.u.). Das Praxishandbuch solle Betreiber industrieller Anlagen bei der Einschätzung ihres aktuellen Sicherheitslevels und notwendigen Maßnahmen unterstützen. Anhand von 36 Parametern könnten Anlagen und Anwendungsbereiche unterschieden und somit eine individuelle Bedarfsabschätzung erreicht werden. Auf dieser Basis empfiehlt die Expertengruppe

„geeignete Schritte zur Optimierung des IoT-Sicherheitsniveaus“.

Hervorzuheben seien drei ergänzende Fallbeispiele, die beispielsweise dem Management einen Überblick über geeignete Sicherheitsmodelle und -verfahren im praktischen Einsatz geben könnten. Die Spannbreite reiche vom vernetzten datengesteuerten Abfüllsystem bis zur Steuerung von Updates für vernetzte Autos,

„die diese Updates verbindungslos Over-the-Air (OTA) erhalten“.

NIST-Ratgeber als ideale Ergänzung zum IIC-Praxishandbuch

Wem das nicht ausreichen sollte, der könne auf den schon etwas älteren Praxisratgeber der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology) zurückgreifen:

Der „Guide to Industrial Control Systems (ICS) Security“

verfolge einen etwas anderen Ansatz –

„er erklärt die für Industrieanlagen typischen Bedrohungen und erörtert passende Schutzformen“.

Nach der Darstellung einer industrietypischen Risikoanalyse gehe der Ratgeber ausführlich auf anlagentaugliche Sicherheitsarchitekturen ein. Die Spezifik moderner IoT-Komponenten komme dabei jedoch etwas zu kurz, ebenso aktuelle IT-Verfahren wie drahtlose Updates über Funkverbindungen (OTA).

„Von daher empfiehlt sich der NIST-Ratgeber eher als ideale Ergänzung zum IIC-Praxishandbuch.“