Bild: Am plattformzentrierten Geschäftsmodell der Desma Schuhmaschinen GmbH machte CEO Christian Decker die Herausforderungen und Lösungsansätze für eine sichere, vernetzte Industrie greifbar (Quelle: Security Plattform Industrie 4.0)
Rund 140 internationale Entscheidungsträger aus Unternehmen und Politik reisten Mitte Mai nach Berlin, um IT Sicherheit in der Produktion aus politischer, regulatorischer und technischer Perspektive zu diskutieren. Hier wurden auch technische Aspekte von Security bezüglich einer grenzüberschreitenden Sicherheitsarchitektur für Wertschöpfungsnetzwerke, Bedingungen für sichere Kommunikation und sichere Identitäten sowie zur Bewertung von Vertrauenswürdigkeit ausgetauscht. Die Plattform stellte als Diskussionsgrundlage ihre Konzepte in den vier Handlungsfeldern in vier Sessions vor. Eine Kurzfassung sowie Einschätzungen der Akteure:
Sichere Ökosysteme: Globale Wertschöpfungsnetzwerke setzen umfangreiche Sicherheitsarchitekturen voraus, die allen Teilnehmenden, egal aus welchem Land, Schutz gewähren. Die Unversehrtheit von Prozessen, Maschinen und Produkten muss über den gesamten Produktionsprozess sichergestellt werden. Um dies zu gewährleisten und um grenzüberschreitend erfolgreich zusammenarbeiten zu können, sind ein allgemein anerkannter Sicherheitsansatz, interoperable Sicherheitsstrategien und ein gemeinsamer Regulierungsrahmen erforderlich. Als ein Schritt auf dem Weg zu sicheren Ökosystemen wird Security-by-Design angegeben. Sicherheitsmaßnahmen können in Industrieanwendungen integriert werden und Ende-zu-Ende-Security-Lösungen unterstützen. Gleiches sollte auch für das digitale Modell gelten: Sicherheit für physische Systeme, den digitalen Zwilling und deren jeweiligen Interaktionen müssen in einem abgestimmten Rahmen stattfinden. Für den sicheren grenzüberschreitenden Datentransfer zwischen Maschinen sind Zertifizierungsstellen oder „Trust Centers“ notwendig. Die „Trust Centers“ fungieren als vertrauenswürdige neutrale Instanzen und stellen Zertifikate in Sicherheitsdomänen aus. Vergabe und Aufhebung von Rechten muss von der jeweiligen Domäne erteilt werden. Damit dies auch außerhalb von nationalen Grenzen funktioniert, müssen „Trust Centers“ Verträge miteinander abschließen und so Voraussetzungen für eine sichere Kommunikation schaffen, die nationalen Anforderungen entspricht. Es gibt bisher keine Beispiele. Konzept und Umsetzung könnten auf Identitätsmanagement und Roaming-Verträgen bestehen, die Mobilfunkanbieter bereitstellen.
Sichere Kommunikation: Eine sichere unternehmensübergreifende Kommunikation in internationalen Wertschöpfungsnetzwerken muss Sicherheitsbedürfnisse von allen Stakeholdern berücksichtigen und synchronisieren. Der sichere Austausch von Daten zwischen Unternehmen und über Ländergrenzen hinweg setzt interoperable Sicherheitsstrategien sowie transparente Strukturen zur Zuordnung von Identitäten voraus. Authentizität, Integrität und Vertrauenswürdigkeit der Kommunikationspartner können damit überprüft werden. Sowohl die Vertraulichkeit der Information als auch die Überprüfung der Kommunikation muss beachtet werden.
Sichere Identität: Wenn Menschen, Maschinen und Software miteinander kommunizieren, müssen sie wissen, mit wem sie sprechen. Im Industrie-4.0-Kontext müssen die Assets mit sicheren Identitäten ausgestattet werden. Innerhalb eines Unternehmens kann eine Zertifizierungsstelle oder „Certification Authority“ (CA) diese sicheren Identitäten bereitstellen. Eine vertrauenswürdige Zertifizierungsstelle kann als Sicherheitsmanager die Identitäten aller Instanzen einer Sicherheitsdomain verwalten. Aus heutiger Sicht stellt eine Public-Key- Infrastruktur (PKI) eine mögliche Lösung dar.
Vertrauenswürdigkeit: Um einen erfolgreichen Datenaustausch zu gewährleisten, muss Vertrauen seitens der Kommunikationspartner in die Kommunikationsinfrastruktur und die Verarbeitung der Daten bestehen. Abgesehen von der technischen Komponente, ist der sichere Austausch von Daten auch davon abhängig, dass Partner über ein gut integriertes, zuverlässiges und überprüfbares Sicherheitskonzept verfügen. Wenn die Kooperation mit neuen Partnern startet, sollten organisatorische und technische Lösungen aufgesetzt werden, um den Grad der Vertrauenswürdigkeit zu evaluieren und gegebenenfalls automatisiert auf die möglichen Partner zu übertragen (vergleichbar mit intelligentem Scoring und Rating bei Amazon etc.). Der Begriff Vertrauenswürdigkeit („trustworthiness“) beschreibt die Qualität von bestehenden und zukünftigen Beziehungen zwischen Unternehmen, Menschen, Systemen und Komponenten. Die fünf Kriterien der Vertrauenswürdigkeit sind: Security, Safety, Privacy, Reliabilty und Resilience. Integrität ist ein wichtiges Kernelement aller fünf Kriterien der Vertrauenswürdigkeit. Ohne Integrität gerät die Vertrauenswürdigkeit ins Wanken, da keine Aussage zur voraussichtlichen Handlung der Einheit getroffen werden kann. Dieses Konzept gilt sowohl für „Operational Technology“ (OT) als auch für „Information Technology“ (IT) – kontextabhängig mit unterschiedlichen Gewichtungen der fünf Kategorien.