VDMA formuliert Mindestanforderungen für Maschinen und Anlagen in einem Leitfaden
26.10.2016 -
Der zuverlässige und dauerhaft sichere Betrieb von weltweit vernetzten Maschinen und Anlagen ist eine elementare Herausforderung für eine erfolgreiche Umsetzung von Industrie 4.0. Unter dem Begriff „Security“ wird grundsätzlich die Absicherung von IT-Systemen verstanden, unabhängig von ihrem Einsatzzweck und -ort. Im Maschinen- und Anlagenbau sprechen wir beim Verband jedoch speziell über die Absicherung von Informationstechnik in industriellen Produktionsanlagen, Maschinen und Systemen unter dem Fachbegriff der „Industrial Security“.
Werden industrielle Systeme durch die Integration von Industrie 4.0 (IIoT) vernetzt, so müssen sich sowohl Hersteller dieser Produktionssysteme als auch Betreiber der Anlagen Gedanken darübermachen, wie sich solch eine Unternehmen übergreifende Vernetzung dauerhaft sicher (im Sinne von „secure“) gewährleisten lässt. Denn nur mit einer zuverlässigen Absicherung moderner Produktions- und Prozesssysteme wird eine erfolgreiche Transformation der Industrie ermöglicht. Und dafür müssen alle am Prozess beteiligten Kreise an einem Strang ziehen. Das ist der Kern von „Industrie 4.0 Security“.
Durch eine Einordnung des Industrie 4.0-Securitybegriffs wird auch deutlich, dass die ehemals (und noch immer) propagierten Systemgrenzen und Netztrennungen, sowohl in der Entwicklung als auch im Anlagenbetrieb, zwischen Officefloor und Shopfloor verschwimmen. Insbesondere die (zukünftige) übergreifende Nutzung von großen Datenmengen der Produktionssysteme bis hinunter auf Sensorebene („Smart Data“) benötigt Konzepte zur sicheren Vernetzung dessen, was vorher nicht zusammenwachsen durfte.
Ziel der „Industrie 4.0 Security“ ist es, die Sicherheit von zukünftigen Maschinen und Anlagen über den gesamten Lebenszyklus gewährleisten zu können, statt wie aktuell ein nachgeschaltetes Hinzufügen („Anflanschen“) einer Security-Funktionalität notwendig zu machen. Die Betrachtung der Security muss künftig als integraler Aspekt bereits von Beginn an in den gesamten Produktentwicklungsprozess seitens der Hersteller mit einfließen („Security by Design“).
Die im VDMA Leitfaden beschriebenen Maßnahmen dienen vor allem Herstellern und Integratoren als Einstieg und Orientierungshilfe, welche Themenbereiche, Technologien und Prozesse für eine Erhöhung der Security komplexer Anlagen berücksichtigt werden sollten. Zusätzlich werden Anforderungen an notwendige Eigenschaften oder Funktionen beschrieben, die zukünftig durch Lieferanten/Zulieferer bereitgestellt werden müssen. Die Fokussierung auf den Blickwinkel des Herstellers/Integrators ermöglicht eine angemessene Abdeckung des Anforderungsspektrums und bietet den notwendigen Tiefgang, um konkrete Handlungsoptionen in der Kürze beschreiben zu können.
Weiterführend umfassen die im Leitfaden zu beschreibenden Anforderungen an „Industrie 4.0 Security“ eine Betrachtung von Gefährdungen und Risiken vor Inbetriebnahme, ein Management von Cyberrisiken während des Betriebs und eine Aufrechterhaltung der Securityfunktion im gesamten Produktlebenszyklus von vernetzten Maschinen und Anlagen.
Die natürlich grundsätzlich am Beginn des Prozesses stehende Risikobetrachtung bereitet Hersteller und Integratoren auf aktuelle und zukünftig zu erwartende Bedrohungslagen vor. Mit Maßnahmen zur Inbetriebnahme soll dem Betreiber gegenüber zudem ein Mindestmaß an Security erklärt werden, auch wenn es nur eine zeitlich eingeschränkte Aussage hat. Schlussendlich wird im Leitfaden während des gesamten Produktlebenszyklus die Etablierung eines nachhaltigen Prozesses zur Annahme, Beurteilung und Reaktion auf relevante Securitybedrohungen durch den Hersteller/Integrator empfohlen.
Der Leitfaden ist beim VDMA für Mitglieder kostenfrei erhältlich und wird durch einen Online-Lernkurs sowie einem Self-Assessment-Fragebogen digital ergänzt. (op)