Compliance und Security

Im Rahmen von Industrie 4.0 ist die Vernetzung von Industrieanlagen, Prozessen und Kommunikation auf Basis von durchgängiger Digitalisierung elementare Voraussetzung. Es werden wichtige Daten für neue Benutzergruppen sichtbar und in der Fertigung findet ein Datenaustausch/ -abgleich zwischen den Produktionssystemen statt. Die unternehmensübergreifende Kopplung ganzer Fabriken, die sich interaktiv abstimmen, wird in naher Zukunft ein Produktionsfaktor in Industrie 4.0 Lösungen sein. Somit sind diese Umgebungen den gleichen Bedrohungen ausgesetzt, wie die Standard-IT.

Die Herausforderung, Daten zu jeder Zeit, an jedem Ort bedarfsgerecht Usern zur Verfügung zu stellen, erfordert eine fundierte Security-Strategie im Unternehmen. Die Verfügbarkeit von Systemen und der Datenschutz müssen fester Bestandteil des Risk-Managements sein und sind somit Führungsverantwortung.

Haben sich in der Vergangenheit Securitybetrachtungen in der Hauptsache auf die Office-Umgebung und das Datacenter beschränkt, ergeben sich durch die Digitalisierung in der Fertigung völlig neue Betrachtungsfelder. Anforderungen aus der klassischen IT-Security werden nun auch für digitalisierte Produktionssysteme relevant. Eine durchgängige Verfügbarkeit der Anlagen ist ebenso sicherzustellen, wie auch die laufende Aktualisierung der Systemsicherheit über den gesamten Lifecycle. Um diesen Spagat zwischen Verfügbarkeit und Security auf Ebene der Shopfloor-IT effizient zu meistern, sind neuartige Konzepte erforderlich.

Die Einführung neuer Kommunikationswege und den erforderlichen Techniken bedingt eine fundierte Planung. Oftmals stellen die aktuellen Gegebenheiten hohe Hürden dar. Produktionssysteme wurden in der Vergangenheit nicht unbedingt auf dem neuesten Betriebssystem und Patch Level gehalten, sichere und gehärtete Netzwerke finden sich selten in Produktionsumgebungen.

Aus diesem Grund ist eine grundsätzliche Planung aller erforderlichen Kommunikationswege unter genauer Betrachtung der Sicherheitsanforderungen eine unbedingte Notwendigkeit. Neben den grundlegenden IT-Security Anforderungen gem. ISO 7498-2 wie Authentication, Access Control, Data Confidentiality, Data Integrity und Nonrepudiation, sind in Produktionsumgebungen weiterreichendere Betrachtungen erforderlich. Einflüsse von außen auf die Netzwerke wie z. B. EMV erfordern gesonderte Maßnahmen. Der Einsatz von Kamerasystemen für die Steuerung und Kontrolle der Fertigungsanlagen unterliegen Compliance Richtlinien wie z.B. DSGVO. Der Betrieb von sogenannten „unmanaged Devices“ wie Smartphone oder Tablet muss genauestens geplant und umgesetzt werden.

Zukünftige Fernwartungslösungen überwachen Produktionsmaschinen in Echtzeit und übermitteln Daten an Leitstände oder als Mobility-Lösung an das Wartungspersonal. Datenerhebung über Auslastung, Durchlaufzeiten oder aber individuelle Steuerung setzen sichere Verbindungen und Umgebungen voraus.

Grundlage für eine Secure Umgebung ist eine fundierte Risikoanalyse, die erforderliche Verfügbarkeiten genauso betrachtet, wie mögliche Bedrohungsszenarien. Eine Risikoanalyse umfasst die aktuellen Gegebenheiten und erforderliche Maßnahmen über den gesamten Lifecycle der Umgebung. Security ist keine statische Maßnahme sondern erfordert kontinuierliche Betrachtung und Kontrolle.

Ausgangssituation

Heutzutage agieren Produktionssysteme meistens autark ohne Verbindung zu anderen Systemen und sind nicht in Netzwerkumgebungen integriert. In einem erfolgreichen Industrie 4.0 Projekt müssen jedoch diese Systeme miteinander kommunizieren. Unabhängig, ob diese Zustandsinformationen im digitalen Produktionsumfeld an einen Leitstand übermittelt werden, Koordinationen mit nachfolgenden Produktionssystemen erfolgen oder Datenbereitstellung für eine Analyse betreffen, die Daten müssen interpretierbar und verbindlich sein. Eine Klassifizierung der Daten nach Schutzbedarf ist vorzunehmen und entsprechende Maßnahmen zu planen.

Ein weiterer wesentlicher Punkt ist fehlendes Know-How und Verständnis im Unternehmen. Hier ist gesondertes Augenmerk auf die Entwicklung der Kompetenzen der Mitarbeiter:innen durch z.B. Schulungen zu richten.

Vorgehensmodell

Security und Compliance-Maßnahmen sind als paralleles Ziel in jedem Digitalisierungsprojekt durchzuführen.

Es empfiehlt sich ein dreistufiges Vorgehensmodell:

1. Phase – Planung vor der Inbetriebnahme

  • Ermitteln der Kommunikationsanforderungen und –wege
    • Datenaustausch von und zu Systemen / Usern
    • Verschlüsselungen
    • Fernwartung
  • Erfassen der Netzwerkstruktur und Segmentierungsanforderungen
  • Erfassen der sicherheitsrelevanten Gefährdungen – Risikobetrachtung der IST-Situation (schutzbedürftige Werte/Daten)
  • Erstellen eines Maßnahmenkatalogs
    • Allgemeiner IT Grundschutz (BSI)
    • Rechte und Rollen Konzept
    • Besondere Maßnahmen im Produktionsumfeld (VDI VDE 2182 Informationssicherheit in der industriellen Automatisierung)
    • Verfügbarkeitsanforderungen
  • Definition, Priorisierung und Umsetzung des Maßnahmenkatalogs
  • Erstellen einer Security Richtlinie
  • Definition einer Security Richtlinie für Lieferanten und Zulieferer
    • Kommunikationswege
    • Konformitätsprüfung der Lieferkomponenten
  • Etablieren Security Monitoring / Leitstand (SIEM-System - Security Information and Event Monitoring)
  • Planung und Umsetzung einer Backup-Strategie /-system
  • Ernennung eines Security Managers
  • Schulung
  • Dokumentation
    • Security Konzept / Policy
    • Sicherheitsrelevante Organisatorische und technische Prozesse
    • Maschineninventar mit aktuellen Patch- und Versionsständen

2. Phase – Security Management im laufenden Betrieb

  • Regelmäßige Auditierung der Vorgaben
  • Durchführung von Anpassungen
  • Monitoring der Daten- und Protokollströme auf Anomalien in Echtzeit
  • Regelmäßige Schulung

3. Phase – Kontinuierliche Wartung der Umgebung

  • Regelmäßige Audits und Penetration Tests
  • Regelmäßige/ zeitnahe Patch- und Update Maßnahmen über den gesamten Lifecycle
  • Aktualisierung der Security Umgebung bei Veränderung der Bedrohungslage
  • Integration von neuen Geräten, Sensoren/Aktoren und Applikationen gem. Security-Richtlinie
  • Bei Produktionsumstellung Überprüfung der gesamten Security Umfänge
  • Regelmäßige Kontrolle der Backup-Systeme / -strategie
Bild eines Monitors der das Haus steuert
©zhu difeng/shutterstock.com
Case Study

Transformation durch Smart Product Entwicklung. Ein Job für das „I-Team“: Bei einem Hersteller von Haushaltsgeräten verbuchte eine starke Entwicklungsmannschaft solide Erfolge. Doch jetzt wollen die Kunden im „Smart Home“ Küchenmaschinen, Kühlschränke und Mixer vernetzen. ROI-EFESO etablierte ein „I-Team“ mit dem frischen Blick von „Digital Natives“ und begleitete den internen Change mit großem Erfolg.

Mann mit futuristischem Tablet in einer Fabrik mit End-to-End Digitalisierung
©MONOPOLY919/shutterstock.com
Case Study

In der Möbelindustrie kann sich der Einsatz digitaler Technologien in mehrfacher Hinsicht rentieren: mit Virtual Reality, Big Data Analytics oder Online-Konfiguratoren. Mit einem weltweit vertretenen Betten-Hersteller realisierte ROI-EFESO ein Projekt zur „End-to-End-Digitalisierung“, das alle relevanten Stationen der Wertschöpfung berücksichtigte: vom Kundenerlebnis über die Bestellung bis hin zur Fertigung und Logistik.

Case Study

In einer Fertigungsanlage für Armaturentafeln verbesserte ein Automobilzulieferer die Transparenz von Arbeits- und Organisationsprozessen. Mit einem „Digital Process Twin“ von ROI-EFESO senkte das Unternehmen die Ausschussrate und machte Verbesserungspotenziale in seinen Wertschöpfungsnetzwerken sichtbar.

Zwei sitzende Frauen klatschen
Lean Digital Manager ©S_L/shutterstock.com
Case Study

Wie lassen sich Lean-Prinzipien mit den Technologien und Möglichkeiten der vernetzten Digitalisierung in Wertschöpfungsnetzwerken verbinden? Indem man Mitarbeiter:innen zu Entscheidern weiterqualifiziert. Das ROI-EFESO Zertifizierungsprogramm zum „Lean Digital Manager“ zeigt, wie eine Digitalisierung der schlanken Produktion funktioniert. Dazu kombiniert es Strategien mit Technologien der Industrie 4.0.

Zwei Maenner vor einem Computer
©Alessandro Romagnoli/shutterstock.com
Case Study

Um auf dem datengetriebenen Energiemarkt der Konkurrenz immer einen Schritt voraus zu sein, ist Beweglichkeit im Denken und Handeln wichtig. Ein Energieversorgungsunternehmen wollte die Leistungsfähigkeit seiner weltweiten F&E-Organisation auf ein neues Level bringen. Dazu verschaffte es sich im ersten Schritt gemeinsam mit ROI-EFESO einen Gesamtüberblick über den jeweiligen Agilisierungsgrad der verschiedenen F&E-Units und -prozesse.