Security by Design

Sicherheit von Anfang an

Von Hartmut Schuhmacher · 2015

Je vernetzter Fabriken sind, desto empfindlicher sind sie gegenüber digitalen Angriffen. Da reicht es nicht mehr aus, die Produktionsanlagen erst dann durch Sicherheitsfunktionen zu ergänzen, wenn es bereits zu Vorfälle gekommen ist. Stattdessen müssen die Hersteller von Industrie-Software Sicherheitsanforderungen schon von Beginn der Entwicklung an berücksichtigen.

In den smarten Fabriken der Industrie 4.0 fließen wesentlich mehr Informationen als in herkömmlichen Anlagen – sowohl zwischen einzelnen Fabrikationsmaschinen und Werkstücken als auch zwischen Auftraggebern und Herstellern. Das sorgt für größere Aktualität und Flexibilität, birgt aber auch Risiken: „Mit der Anbindung bisher autonom agierender Systeme ans Internet entstehen neue Angriffspunkte. Sicherheit und Datenschutz müssen daher einen noch größeren Stellenwert in der Industrie bekommen“, warnte bereits im Jahr 2012 der damalige bitkom-Vizepräsident Volker Smid. Das Ziel solcher Angriffe kann im Datendiebstahl aber auch in der Sabotage der Produktion liegen. Die Vereinigung der Bayerischen Wirtschaft schätzt den Schaden, der deutschen Firmen durch derartige Angriffe entsteht, auf knapp 44 Milliarden Euro jährlich.

Sicherheit nicht erst nachträglich

Grundlegend für die Abwehr solcher Bedrohungen ist nach Ansicht von Experten „Security by Design“. Dabei handelt es sich nicht um eine konkrete Programmiertechnik, sondern um ein Prinzip, demzufolge Sicherheitsanforderungen bereits zu Beginn der Produktentwicklung berücksichtigt werden müssen. Denn wenn Sicherheitsvorkehrungen einem System erst nachträglich hinzugefügt werden, so wird das schwieriger und teurer – und unter Umständen auch weniger sicher. Zu den Sicherheitsprozeduren, die von Anfang an berücksichtigt werden müssen, zählen die Authentifizierung von Mitarbeitern und Geräten sowie das sichere Speichern von Daten.

Reaktionen in Echtzeit

Die deutsche Industrie entwickelt bereits Konzepte für Security by Design in Fabrikationsanlagen. „Die etablierten it-Sicherheitsmethoden lassen sich prinzipiell auf die Produktions-it übertragen“, erklärt Michael Waidner, der Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. „Im Detail zeigen sich aber deutliche Unterschiede zwischen den beiden Welten und damit Anpassungsbedarf. So müssen zum Beispiel in industriellen Infrastrukturen anders als in der Unternehmens-it Reaktionen in Echtzeit erfolgen.“ Hinzu kommt, dass die Lebenszyklen von Anlagen in der Industrie Jahrzehnte betragen können – statt den überschaubaren Lebenszyklen von einigen Jahren in der Unternehmens-IT. „IT-Sicherheit darf etwas kosten, muss aber im Markt auch belohnt werden“, so Bundesinnenminister Thomas de Maizière. Und der Aufwand, der durch Security by Design entsteht, lohnt sich – nicht nur wegen der Vorteile bezüglich höherer Datensicherheit: Eine konsequente Umsetzung von Security by Design in smarten Industrieanlagen kann für Deutschland zudem einen großen Standortvorteil bedeuten. Folgerichtig fördert das Bundesministerium für Bildung und Forschung seit 2011 drei Kompetenzzentren, die sich mit it-Sicherheitsforschung und konkret mit Security by Design beschäftigen.