Compliance und Security ist Managementverantwortung in Zeiten von Industrie 4.0 und Digitalisierung

Im Rahmen von Industrie 4.0 ist die Vernetzung von Industrieanlagen, Prozessen und Kommunikation auf Basis von durchgängiger Digitalisierung elementare Voraussetzung. Es werden wichtige Daten für neue Benutzergruppen sichtbar und in der Fertigung findet ein Datenaustausch/ -abgleich zwischen den Produktionssystemen statt. Die unternehmensübergreifende Kopplung ganzer Fabriken, die sich interaktiv abstimmen, wird in naher Zukunft ein Produktionsfaktor in Industrie 4.0 Lösungen sein. Somit sind diese Umgebungen den gleichen Bedrohungen ausgesetzt, wie die Standard-IT.

Die Herausforderung, Daten zu jeder Zeit, an jedem Ort bedarfsgerecht Usern zur Verfügung zu stellen, erfordert eine fundierte Security-Strategie im Unternehmen. Die Verfügbarkeit von Systemen und der Datenschutz müssen fester Bestandteil des Risk-Managements sein und sind somit Führungsverantwortung.

Haben sich in der Vergangenheit Securitybetrachtungen in der Hauptsache auf die Office-Umgebung und das Datacenter beschränkt, ergeben sich durch die Digitalisierung in der Fertigung völlig neue Betrachtungsfelder. Anforderungen aus der klassischen IT-Security werden nun auch für digitalisierte Produktionssysteme relevant. Eine durchgängige Verfügbarkeit der Anlagen ist ebenso sicherzustellen, wie auch die laufende Aktualisierung der Systemsicherheit über den gesamten Lifecycle. Um diesen Spagat zwischen Verfügbarkeit und Security auf Ebene der Shopfloor-IT effizient zu meistern, sind neuartige Konzepte erforderlich.

Die Einführung neuer Kommunikationswege und den erforderlichen Techniken bedingt eine fundierte Planung. Oftmals stellen die aktuellen Gegebenheiten hohe Hürden dar. Produktionssysteme wurden in der Vergangenheit nicht unbedingt auf dem neuesten Betriebssystem und Patch Level gehalten, sichere und gehärtete Netzwerke finden sich selten in Produktionsumgebungen.

Aus diesem Grund ist eine grundsätzliche Planung aller erforderlichen Kommunikationswege unter genauer Betrachtung der Sicherheitsanforderungen eine unbedingte Notwendigkeit. Neben den grundlegenden IT-Security Anforderungen gem. ISO 7498-2 wie Authentication, Access Control, Data Confidentiality, Data Integrity und Nonrepudiation, sind in Produktionsumgebungen weiterreichendere Betrachtungen erforderlich. Einflüsse von außen auf die Netzwerke wie z. B. EMV erfordern gesonderte Maßnahmen. Der Einsatz von Kamerasystemen für die Steuerung und Kontrolle der Fertigungsanlagen unterliegen Compliance Richtlinien wie z.B. DSGVO. Der Betrieb von sogenannten „unmanaged Devices“ wie Smartphone oder Tablet muss genauestens geplant und umgesetzt werden.

Zukünftige Fernwartungslösungen überwachen Produktionsmaschinen in Echtzeit und übermitteln Daten an Leitstände oder als Mobility-Lösung an das Wartungspersonal. Datenerhebung über Auslastung, Durchlaufzeiten oder aber individuelle Steuerung setzen sichere Verbindungen und Umgebungen voraus.

Grundlage für eine Secure Umgebung ist eine fundierte Risikoanalyse, die erforderliche Verfügbarkeiten genauso betrachtet, wie mögliche Bedrohungsszenarien. Eine Risikoanalyse umfasst die aktuellen Gegebenheiten und erforderliche Maßnahmen über den gesamten Lifecycle der Umgebung. Security ist keine statische Maßnahme sondern erfordert kontinuierliche Betrachtung und Kontrolle.

Ausgangssituation

Heutzutage agieren Produktionssysteme meistens autark ohne Verbindung zu anderen Systemen und sind nicht in Netzwerkumgebungen integriert. In einem erfolgreichen Industrie 4.0 Projekt müssen jedoch diese Systeme miteinander kommunizieren. Unabhängig, ob diese Zustandsinformationen im digitalen Produktionsumfeld an einen Leitstand übermittelt werden, Koordinationen mit nachfolgenden Produktionssystemen erfolgen oder Datenbereitstellung für eine Analyse betreffen, die Daten müssen interpretierbar und verbindlich sein. Eine Klassifizierung der Daten nach Schutzbedarf ist vorzunehmen und entsprechende Maßnahmen zu planen.

Ein weiterer wesentlicher Punkt ist fehlendes Know-How und Verständnis im Unternehmen. Hier ist gesondertes Augenmerk auf die Entwicklung der Kompetenzen der Mitarbeiter durch z.B. Schulungen zu richten.

Vorgehensmodell

Security und Compliance-Maßnahmen sind als paralleles Ziel in jedem Digitalisierungsprojekt durchzuführen.

Es empfiehlt sich ein dreistufiges Vorgehensmodell:

1. Phase 1 – Planung vor der Inbetriebnahme

  • Ermitteln der Kommunikationsanforderungen und –wege
    • Datenaustausch von und zu Systemen / Usern
    • Verschlüsselungen
    • Fernwartung
  • Erfassen der Netzwerkstruktur und Segmentierungsanforderungen
  • Erfassen der sicherheitsrelevanten Gefährdungen – Risikobetrachtung der IST-Situation (schutzbedürftige Werte/Daten)
  • Erstellen eines Maßnahmenkatalogs
    • Allgemeiner IT Grundschutz (BSI)
    • Rechte und Rollen Konzept
    • Besondere Maßnahmen im Produktionsumfeld (VDI VDE 2182 Informationssicherheit in der industriellen Automatisierung)
    • Verfügbarkeitsanforderungen
  • Definition, Priorisierung und Umsetzung des Maßnahmenkatalogs
  • Erstellen einer Security Richtlinie
  • Definition einer Security Richtlinie für Lieferanten und Zulieferer
    • Kommunikationswege
    • Konformitätsprüfung der Lieferkomponenten
  • Etablieren Security Monitoring / Leitstand (SIEM-System - Security Information and Event Monitoring)
  • Planung und Umsetzung einer Backup-Strategie /-system
  • Ernennung eines Security Managers
  • Schulung
  • Dokumentation
    • Security Konzept / Policy
    • Sicherheitsrelevante Organisatorische und technische Prozesse
    • Maschineninventar mit aktuellen Patch- und Versionsständen

2. Phase 2 - Security Management im laufenden Betrieb

  • Regelmäßige Auditierung der Vorgaben
  • Durchführung von Anpassungen
  • Monitoring der Daten- und Protokollströme auf Anomalien in Echtzeit
  • Regelmäßige Schulung

3. Phase 3 - Kontinuierliche Wartung der Umgebung

  • Regelmäßige Audits und Penetration Tests
  • Regelmäßige/ zeitnahe Patch- und Update Maßnahmen über den gesamten Lifecycle
  • Aktualisierung der Security Umgebung bei Veränderung der Bedrohungslage
  • Integration von neuen Geräten, Sensoren/Aktoren und Applikationen gem. Security-Richtlinie
  • Bei Produktionsumstellung Überprüfung der gesamten Security Umfänge
  • Regelmäßige Kontrolle der Backup-Systeme / -strategie

Case Study

©MONOPOLY919/shutterstock.com

End-to-End-Digitalisierung

Mit einem weltweit vertretenen Betten-Hersteller realisierte ROI ein Projekt zur „End-to-End-Digitalisierung“, das alle relevanten Stationen der Wertschöpfung berücksichtigte: vom Kundenerlebnis über die Bestellung bis hin zur Fertigung und Logistik.

Case Study

Bild eines Monitors der das Haus steuert
©zhu difeng/shutterstock.com

Transformation durch Smart Products Entwicklung

Bei einem Hersteller von Haushaltsgeräten verbuchte eine starke Entwicklungsmannschaft solide Erfolge. Doch jetzt wollen die Kunden im „Smart Home“ Küchenmaschinen, Kühlschränke und Mixer vernetzen. ROI etablierte ein „I-Team“ mit dem frischen Blick von „Digital Natives“ und begleitete den internen Change.

Case Study

Mann vor einem Laptop mit Digital Twin am Bildschirm
©FERNANDO BLANCO CALZADA/shutterstock.com

Aufbau eines Digital Twins zur Steigerung von Qualität und Produktivität

In einer Fertigungsanlage für Armaturentafeln verbesserte ein Automobilzulieferer die Transparenz von Arbeits- und Organisationsprozessen.

Mit einem „Digital Process Twin“ von ROI senkte das Unternehmen die Ausschussrate und machte Verbesserungspotenziale in seinen Wertschöpfungsnetzwerken sichtbar.

Case Study

Zwei sitzende Frauen klatschen
Lean Digital Manager ©S_L/shutterstock.com

Lean Digital Manager

Das ROI Zertifizierungsprogramm zum „Lean Digital Manager“ zeigt, wie eine Digitalisierung der schlanken Produktion funktioniert. Dazu kombiniert es Lean Management Strategien mit Technologien der Industrie 4.0.

Case Study

Zwei Männer vor einem Computer
©Alessandro Romagnoli/shutterstock.com

Agile Methoden der Softwareentwicklung

Ein Energieversorgungsunternehmen wollte die Leistungsfähigkeit seiner weltweiten F&E-Organisation auf ein neues Level bringen. Dazu verschaffte es sich im ersten Schritt gemeinsam mit ROI einen Gesamtüberblick über den jeweiligen Agilisierungsgrad der verschiedenen F&E-Units und -prozesse.