Maßnahmen für fünf Jahre
Die beschriebenen taktischen Maßnahmen in der Produktions-IT sollten den zeitlichen Horizont für die nächsten fünf Jahre abdecken. Danach könnte die Vision einer Industrie 4.0 schrittweise produktive Realität werden. Schon heute ist absehbar, welche Sicherheits-Themen und Technologien relevant werden könnten. Ihre Einführung lässt sich schon jetzt planen und teilweise testen, auch wenn viele Details noch unklar sind. Während Produktionsprozesse heute mehrere Jahre lang weitgehend unverändert laufen, werden sie sich in Zukunft durch selbstregelnde Systeme ständig ändern. Agilität wird dann zum Normalfall, ebenso die systematische Vernetzung mit IPv6 sowie der Einsatz von Cyber-Physischen Systemen zur Unterstützung der Produktion. Daraus lassen sich einige strategische Security-Maßnahmen ableiten, die auch heute schon wirksam sind.
Die Einführung eines ISO 27001-basierten Information Security Management-Systems mit Risk- und Compliance-Management für die Produk-tions-IT scheint zwingend notwendig, um die regulatorischen Security-Anforderungen an die Produktion umzusetzen. Schon heute wirken Vorschriften in bestimmten Branchen in die Produktions-IT hinein. Je stärker sich die Produktion in Richtung Industrie 4.0 entwickelt, umso umfangreicher werden die Compliance-Anforderungen. Die Methoden und Themen der Security Governance in der Produktion werden dabei weitgehend deckungsgleich mit denen der Office-IT sein. Deutliche Unterschiede wird es jedoch in der konkreten Ausgestaltung geben. So kann etwa die Passwort-Richtlinie aus der Office-IT in der Produktions-IT in der Regel nicht umgesetzt werden, ohne die Produktion zu sabotieren. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Nachvollziehbarkeit sichern
Eine technologische Maßnahme, die in vielen Regularien wiederzufinden ist, betrifft das Logging zur Sicherstellung der Nachvollziehbarkeit. Diese kann sich etwa auf System- oder Applikationszugriffe oder auf Qualitätsprozesse beziehen. Mit der zunehmenden regulatorischen Kontrolle steigen auch die Anforderungen an das Logging in der Produk-tions-IT. Weiterhin stellen Logging und Monitoring zwei zentrale Kernfunktionen der Detektion von Angriffen dar. Je vernetzter und agiler die Produktion wird, umso verletzlicher und interessanter als Ziel wird sie. Technologien und Prozesse, die heute in den Office-Welten zur Detektion von und Reaktion auf Sicherheitsvorfälle implementiert werden, sind in Zukunft auch in die Produktions-IT einzuführen. Security Information and Event Management und Vulnerability Management bilden dazu die Grundlage und können in einen vollwertigen
Einzug in die Produktion
Mit Industrie 4.0 wird die agile Prozess-, Technologie- und Sicherheitslandschaft der Office-IT möglicherweise auch in die Produktion einziehen. Dass die Entwicklung etwa zehn bis 15 Jahre hinterherhinkt, kann vor diesem Hintergrund auch als Vorteil gesehen werden, da die Produktion von den umfangreichen Erfahrungen der Office-Welt profitieren und existierende Lösungen anpassen kann. Wer dies heute schon erledigt, ist in puncto Sicherheit gut auf Industrie 4.0 vorbereitet und kann die neuen Technologien dann in die bestehende Sicherheitsumgebung integrieren.
