Das Thema Security by Design ist ja in diesem Umfeld auch sehr wichtig. Haben Sie hier Tipps für Konstrukteure, wie sie bei der Entwicklung eines neuen Produkts an Security denken?
Es kommt darauf an, mit welchen Teilnehmern der Konstrukteur zu tun hat. Im Maschinenbau ist es der Hersteller, der die Komponenten zur Verfügung stellt, und der Betreiber einer Maschine, der Endkunde. Diese drei Rollen, der Betreiber, der Integrator und der Maschinenbauer, sind klassisch im industriellen Umfeld, wenn man über Security spricht.

Zwischen diesen Parteien muss klar sein, wer welche Verantwortlichkeiten hat. Ein Konstrukteur wird eine gewisse Erwartungshaltung gegenüber seinen Komponenten-Herstellern haben. Das heißt, dass zum Beispiel eine Komponente so entwickelt wurde, dass sie auf Sicherheitslücken getestet worden ist; dass er kontinuierlich für die verwendeten Komponenten entsprechende Updates bekommt und dass State-of-the-Art-Security-Mechanismen berücksichtigt worden sind.

Auf der anderen Seite hat der Konstrukteur eine gewisse Erwartungshaltung gegenüber den Betreibern, also seinen Kunden. Zum Beispiel, dass er das Passwort in regelmäßigen Abständen ändert, einen Virenscanner installiert und definiert, wer zuständig ist. Das alles muss auf eine Vertrauensbasis basieren.

Auch Hersteller wie Siemens sind gefordert. Dazu setzt Siemens konkret auf IEC 62443 und hat als erster Hersteller zusammen mit dem TÜV-Süd eine Zertifizierung für den Entwicklungsprozess seiner relevanten Automatisierungsprodukte durchgeführt. Das heißt, dass Siemens der Produktentwicklungsprozess basierend auf IEC 62443-4-1 zertifiziert wurde. Der Standard ist noch nicht komplett verabschiedet, allerdings wird sich der Inhalt kaum ändern. Damit sind wir als Hersteller transparent und vermitteln dem Konstrukteur konkret, was er von uns erwarten kann.

„Bring Your Own Device“ ist ein weiterer Trend in den Werkhallen. Also dass Maschinenbetreiber mit ihren eigenen Smartphones auf die Maschine zugreifen können. Wie sicherheitskritisch schätzen Sie das ein?
Im Zweifelsfall gelten immer die Need-to-Connect-Prinzipien. Muss ich eine Konnektivität wirklich herstellen? Aber im Sinne einer Digital Enterprise ist die horizontal und vertikale Datenintegration wichtig. Und aus Security-Sicht ist das möglich, wenn man die entsprechenden Maßnahmen trifft.

Eine 100prozentige Sicherheit gibt es nicht, aber um ein hohes Niveau an Sicherheit zu gewähren, sind Themen wie „Bring Your Own Device“ mit entsprechenden Security-Maßnahmen zu versehen. Zum Beispiel mit einer Secure Cell. Das ist ein sicherer Bereich, indem solche potenziell unsicheren Geräte betrieben werden können. Dazu gehört, dass ich zum Beispiel Smart-Apps mit denen ich auf einen Controller zugreifen will, schon mit Security-Funktionen ausstatte.

Das Passwort, mit dem ich auf meinen Controller zugreife, wird dann beispielsweise auf dem Handy zusätzlich verschlüsselt gespeichert. Oder man prüft vorab, ob ein iPhone gebrochen wurde. Das heißt, ob das iPhone so manipuliert wurde, dass potenziell Malware darauf betrieben werden kann. Solche Prüfungen haben wir als Hersteller zum Beispiel schon in unseren Apps integriert. Hier greifen wir wieder unsere Verantwortung als Hersteller auf.

Als Betreiber muss man einen Plan für Security-Themen haben und man muss Maßnahmen implementieren und gegebenenfalls auch wieder nachjustieren. Durch solch eine Kombination, auch mit horizontaler und vertikaler Datenintegration, ist ein hohes Sicherheitsniveau möglich.

Neben der Sicherung der Geräte, müssen auch Mitarbeiter sensibilisiert sein. Denn mit Pishing-Aktionen werden diese gezielt angegriffen. Wie muss man die Mitarbeiter hier einbinden?
Letztendlich ist die Security ein Baustein der Digitalisierung und der Umsetzung von Industrie 4.0. Hier ist es wichtig die Mitarbeiter mitzunehmen, die auch ein konkretes Angriffsziel sein können. Security kann man trainieren. Wir stellen unseren Kunden heute schon ein Web-based-Training zur Verfügung, in dem das Thema Security näher gebracht wird.

Generell ist es wichtig die Awareness, auch im Zusammenhang mit der IEC, zu schärfen. Das heißt, dass das Thema Security kein komplexes Thema sein muss, wie es vielleicht durch den Standard allein wahrgenommen wird. Deswegen haben wir zum Beispiel mit Dr. Pierre Kobes und unseren Vertretern der IEC das Thema IEC 62443 in einem Buch auf 60 Seiten zusammengefasst.

In der Industrie 4.0 werden riesige Datenmengen gesammelt. Eine Möglichkeit diese zu speichern, bieten Clouds. Wie schätzen Sie die Sicherheitslage von Clouds ein?

Generell ist die Cloud nicht unsicherer als eine bestehende Lösung. Auf der einen Seite gibt es die Meinung, dass eine Cloud sicherer ist, weil es eine zentrale Datenverwaltung hat und wesentlich weniger Angriffspunkte bietet.

Von Seiten des BSI gibt es Empfehlungen bezüglich Cloud und Sicherheitsstandards, die viele Cloud-Anbieter verwenden. Wenn es darum geht Daten abzuspeichern, muss man auch Vertrauen haben. Unsere Kunden senden uns seit 20 Jahren ihre Engineering-Projekte zu.

Wir korrigieren sie bei kleinen Fehlern oder migrieren sie auf neuere Versionen. Das heißt, uns liegt das Know-how vor. Bei einer Cloud muss es ein ähnliches Vertrauensverhältnis geben, gerade für industrielle Daten. Aber wenn man sich an Standardvorgaben hält, hat die Cloud ein sehr hohes Sicherheitsniveau.

Wie würden Sie die weitere Entwicklung in der Security sehen?
Auf der Angreiferseite gibt es den Trend, dass nach Standardlösungen gesucht und versucht wird diese zu hacken. Im Fokus liegen dabei besonders Geräte, wo Know-how geteilt wird und wo viel Geld im Spiel ist. Im „Darknet“ gibt es bereits einen Markt für Sicherheitslücken. Das wird sich weiter verstärken.

Gegenwärtig ist es außerdem so, dass immer mehr Öko-Systeme Schnittstellen zu übergreifenden Netzen, zum Beispiel dem Internet, bekommen und hier Begehrlichkeiten geweckt werden. Deswegen müssen Standard-Technologien weiter geschützt werden, aber gleichzeitig muss das Engineering leicht sein. Das heißt, dass eine hochkomplexe Security-Lösung keine Akzeptanz finden wird.

Security muss einfach erlebbar für den Anwender werden und darf nicht die Komplexität eines Serverbetriebsystem-Handbuchs von über 1000 Seiten umfassen. Zum Beispiel haben wir schon erste Security-Funktionen in unser TIA-Portal, unser Standard-Engineering Framework für Automatisierungstechnik, integriert.

Hier können viele Security-Funktionen mit einfachen anhaken in der Checkbox direkt für die Automatisierungslösung projektiert werden. Diesen Weg gehen wir, damit Security für jeden Automatisierungstechniker und für jeden Konstrukteur einfach ein Standardwerkzeug wird.

Kostenlose Registrierung

Newsletter
Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

*) Pflichtfeld

Sie sind bereits registriert?