Antonius Sommer,
TÜV Informationstechnik GmbH, Essen
Unternehmensgruppe TÜV NORD, Hannover
- Begriffsbestimmung
1.1. Industrie 4.0 aus ITK-Sicht
Mit dem Begriff Industrie 4.0 wird die Vernetzung und Kommunikation aller Produktionskomponenten innerhalb eines Unternehmens, aber auch die Vernetzung und die Kommunikation mit anderen Unternehmen zwecks Arbeitsteilung verstanden. Das bedeutet, dass alle beteiligten Objekte einer Produktion über eine gewisse Intelligenz im Sinne von Software und über Kommunikationseinheiten verfügen müssen. Darüber hinaus spielen Cloud-Dienste und das Sammeln und Auswerten von Daten (Big Data) eine entscheidende Rolle.
1.2. Datensicherheit
Unter dem Begriff Datensicherheit wird allgemein die Vertraulichkeit, Integrität und Verfügbarkeit von Daten verstanden. Die Anforderungen an die Datensicherheit in der Produktion sind jedoch anders als in der allgemeinen Unternehmenssicherheit, der so genannten Office IT oder klassischen IT. Im Bild 1 wird die Divergenz der Schutzziele schematisch aufgeführt. Damit wird deutlich, dass die klassischen Sicherheitskonzepte nicht einfach übernommen werden können.
Unter Industrie 4.0 treffen somit divergierende Schutzziele aufeinander, die aber in Einklang zu bringen sind.
1.3. Datenschutz
Unter dem Begriff des Datenschutzes wird das Recht eines Individuums auf die informelle Selbstbestimmung, die durch Gesetze festgelegt sind, verstanden. Das bedeutet, dass die Erhebung, Speicherung, Verarbeitung und Übertragung von Personen bezogenen oder beziehbaren Daten einer strengen gesetzlichen Regelung unterliegt.
1.4. Zusammenhang Datensicherheit und Safety
Datensicherheit ist primär ausgelegt auf den Schutz der Informationstechnik (IT) selber und die durch sie gespeicherten oder verarbeiteten Informationen z.B. Forschungsergebnisse, Produktionskennzahlen und Preise, die zu den unternehmenskritischen Daten gehören und somit die Intellectual Property Rights eines Unternehmens darstellen sowie auf den Schutz und die Unversehrtheit der Kommunikation. Darüber hinaus ist die Datensicherheit mehr und mehr mit der Sicherheit im Sinne von Safety verknüpft. Unter Safety wird der Schutz des Menschen gegen die Gefahren der Technik für Leib und Leben verstanden sowie der Schutz der Produktionsanlagen, der so genannten Assets. Durch eine erfolgreiche Verletzung der Datensicherheit kann eine konkrete Bedrohung für Leib und Leben von Menschen und die Sabotage der Produktionsanlagen herbeigeführt werden.
- Bedrohungen
Die Bedrohungen im Themenbereich der I 4.0 sind grundsätzlich die gleichen wie in der Office IT jedoch mit unterschiedlicher Schwerpunktbildung. So können die Bedrohungen einerseits von außen direkt über das Internet oder über Partnerfirmen und andererseits aus der eigenen Mitarbeiterschaft kommen. Die Unternehmen müssen das geforderte Sicherheitsniveau aus der Office IT auf die Produktion IT übertragen unter Berücksichtigung der besonderen Anforderungen. So sollten alle Objekte mit einer starken Identität ausgestatten sein, um sich identifizieren und authentisieren zu können. Die Kommunikation sollte, wenn immer möglich, verschlüsselt erfolgen. Der Zugriff auf Daten sollte nur berechtigten Subjekten gestattet sein.
Bei der Nutzung von Cloud-Diensten sollten die einschlägigen Sicherheitsmaßnahmen getroffen werden, um einen Abfluss oder eine Veränderung von Daten zu verhindern.
Die Vernetzung mit anderen Partnerunternehmen sollte vertraglich so gestaltet werden, dass das Sicherheitsniveau zwischen den Partnern auf dem gleichen Niveau ist.
Die Bedrohungen zu Thema Datenschutz können in der Produktion im Wesentlichen auf den Mitarbeiterdatenschutz reduziert werden. Wenn mal allerdings I4.0 als Teil des Internet of Things (IoT) sieht, ergeben sind naturgemäß sehr viele Personen bezogene oder beziehbare Daten, deren Erhebung, Verarbeitung und Übermittlung von nationalem und Europäischem Recht geschützt wird. Hierbei sind besonders der Zweck der Verarbeitung und das Einverständnis zur Verarbeitung der Daten von herausragender Bedeutung.
- Standardisierung
Für Industrie 4.0 ist es eine zwingende Notwendigkeit auf den verschieden Ebenen zu standardisieren und die Standardisierung weltweit voran zu treiben. Das beinhaltet auch die Standardisierung im Bereich der Datensicherheit. Dabei sollte auf vorhandene nationale und internationale Standards zurückgegriffen werden.
3.1. Die Referenzarchitektur RAMI 4.0 der Plattform Industrie 4.0
Die deutsche Plattform Industrie 4.0 hat das unten stehende dreidimensionale Referenzmodell entwickelt. Dieses Referenzmodell muss mit entsprechenden Standards ausgefüllt werden (Informationen dazu unter [1]). Für die Datensicherheit könnten und sollten die Standards der Serie ISO/IEC 2700x für die Unternehmenssicherheit und z.B. die IEC 62443 für die Sicherheit in der Automation Verwendung finden.
3.2. Das Referenzmodell des Industrial Internet Consortium (IIC)
Das von US-amerikanischen IT-Firmen gegründete Konsortium IIC hat ebenfalls ein Referenzmodell entwickelt, das stark durch die IT geprägt ist und die Aspekte Security, Trust & Privacy eine hohe Priorität einräumt (Referenzmodell dazu unter [2]).
- Zusammenfassung
Industrie 4.0 kann und wird nur erfolgreich sein, wenn auch die Datensicherheit und der Datenschutz nachhaltig in die Unternehmen und ebenfalls in die Produktion eingeführt werden. In die Komponenten der I 4.0 sollte die Datensicherheit und der Datenschutz schon in der Entwicklung nach den Prinzipien des Security by Design und Datenschutz by Design sowie Datenschutz by Default berücksichtigt werden.
Auf der tiefen technischen Ebene sollten standardisierte Protokolle mit Sicherheitsfunktionalitäten Berücksichtigung finden, um so die Vertrauenswürdigkeit der Kommunikation sicher zu stellen.
[1] http://www.zvei.org/Themen/CyberSicherheit/Seiten/Mission-Statement-Cyber-Sicherheit.aspx