06710 Sicherheitsrelevante Charakteristiken von Produktionsautomatisierungssystemen
Die fortschreitende vertikale Integration innerhalb produzierender Unternehmen macht die Sicherheit der durchgängig vernetzten Automatisierungssysteme des Produktionsbereichs zunehmend zu einem wichtigen Thema [1]- [2] . Wegen der besonderen Bedeutung für die Ausfallsicherheit wie auch für die von der Anlage ausgehenden Gefahren müssen sowohl IT-Sicherheitsverantwortliche als auch die Verantwortlichen aus Automatisierung, Produktion, Instandhaltung und Leitwarten an einem Strang ziehen. Auch ist die enge Kooperation zwischen den Herstellern des Automatisierungssystems und seiner Komponenten, den involvierten Systemintegratoren sowie dem Betreiber des Automatisierungssystems notwendig. Und dies nicht nur während Systemausschreibung, -entwurf und -implementierung, sondern über die gesamte Lebensphase hinweg [3] .
Der vorliegende Text erläutert die speziellen Eigenschaften und Anforderungen industrieller Rechnersysteme, die für eine Sicherheitsarchitektur berücksichtigt werden müssen. Damit bietet er eine gemeinsame Basis für alle an der Sicherheitsdiskussion beteiligten Parteien. von: |
1.1 Motivation und Problembeschreibung
Ausgangslage
IT-Sicherheit wird in vielen Industrieunternehmen, die Produktionsanlagen oder andere kritische Infrastrukturen betreiben, auch heute noch immer nicht ausreichend beachtet. In Expertenkreisen wird das Thema seit einigen Jahren mehr und mehr diskutiert. Einige Bemühungen, durch Industriestandards das Sicherheitsniveau der Branche im Allgemeinen zu verbessern, sind bereits auf gutem Wege, allerdings noch nicht vollständig [4] , [5] . Breite Erfahrung in der Anwendung der Standards fehlt noch; eine breite Akzeptanz des Themas sowie die entsprechende Priorisierung in Ausschreibungen und im Betrieb von Anlagen sind noch eher die Ausnahme denn die Regel.
IT-Sicherheit wird in vielen Industrieunternehmen, die Produktionsanlagen oder andere kritische Infrastrukturen betreiben, auch heute noch immer nicht ausreichend beachtet. In Expertenkreisen wird das Thema seit einigen Jahren mehr und mehr diskutiert. Einige Bemühungen, durch Industriestandards das Sicherheitsniveau der Branche im Allgemeinen zu verbessern, sind bereits auf gutem Wege, allerdings noch nicht vollständig [4] , [5] . Breite Erfahrung in der Anwendung der Standards fehlt noch; eine breite Akzeptanz des Themas sowie die entsprechende Priorisierung in Ausschreibungen und im Betrieb von Anlagen sind noch eher die Ausnahme denn die Regel.
Solide Datenbasis fehlt
Dies mag unter anderem daran liegen, dass trotz jahrelanger Arbeit von Wissenschaft und Experten eine solide Datenbasis fehlt, die den Umfang des Problems auch in für das Management relevanten Zahlen ausdrücken kann. Informationen zu Vorfällen, die auf IT-Sicherheitsprobleme zurückzuführen sind, werden in aller Regel nur sehr spärlich veröffentlicht. Oftmals wird auch die forensische Analyse von Vorfällen im Sinne der IT-Sicherheit gar nicht oder nicht ausreichend durchgeführt. So lassen sich keine verlässlichen Aussagen darüber treffen, ob ein Vorfall im Kern durch ein IT-Sicherheitsproblem ausgelöst wurde oder nicht [6] .
Dies mag unter anderem daran liegen, dass trotz jahrelanger Arbeit von Wissenschaft und Experten eine solide Datenbasis fehlt, die den Umfang des Problems auch in für das Management relevanten Zahlen ausdrücken kann. Informationen zu Vorfällen, die auf IT-Sicherheitsprobleme zurückzuführen sind, werden in aller Regel nur sehr spärlich veröffentlicht. Oftmals wird auch die forensische Analyse von Vorfällen im Sinne der IT-Sicherheit gar nicht oder nicht ausreichend durchgeführt. So lassen sich keine verlässlichen Aussagen darüber treffen, ob ein Vorfall im Kern durch ein IT-Sicherheitsproblem ausgelöst wurde oder nicht [6] .
Bewusstsein schaffen
Ein wichtiger Teil der Aufgabe von IT-Sicherheitsverantwortlichen ist es deshalb, das Bewusstsein für die Wichtigkeit der IT-Sicherheit in industriellen Automtatisierungssystemen zu wecken. Die nachfolgenden Ausführungen geben einen guten Überblick über Ansätze zur Adressierung des Problems.
Ein wichtiger Teil der Aufgabe von IT-Sicherheitsverantwortlichen ist es deshalb, das Bewusstsein für die Wichtigkeit der IT-Sicherheit in industriellen Automtatisierungssystemen zu wecken. Die nachfolgenden Ausführungen geben einen guten Überblick über Ansätze zur Adressierung des Problems.