ObjectForum

NEO2014 – Der Innovationspreis der TechnologieRegion Karlsruhe und Vortrag "Industrie 4.0 - Wenn IT-Sicherheit nicht schaden darf"

ObjektForum , 14. Oktober 2014 18:00 - 22:00

NEO2014 – Der Innovationspreis der TechnologieRegion Karlsruhe und Vortrag "Industrie 4.0 - Wenn IT-Sicherheit nicht schaden darf"

14. Oktober 2014 18:00 - 22:00

Inhalt

Bei diesem ObjektForum Special wird es einen Fachvortrag von Prof. Dr. Müller-Quade geben. Außerdem wird der "NEO 2014 - Innovationspreis der Technologieregion Karlsruhe" verliehen.

 

Abstract zum Fachvortrag "Industrie 4.0 - Wenn IT-Sicherheit nicht schaden darf":

Industrie 4.0, d.h. Vernetzung, völlige Transparenz der Produktionsprozesse und die Möglichkeit eine Fabrik als ganzes zu steuern und zu optimieren, verspricht viele Vorteile. Vieles wird flexibler, kostengünstiger oder überhaupt erst möglich, wie etwa große virtuelle Fabriken zu denen sich mehrere kleinere Produktionsstandorte schnell und flexibel zusammenschließen können.

Diese Vernetzung und Öffnung bringt aber auch Nachteile, insbesondere die Möglichkeit von Cyberangriffen. Leider hilft es nicht, dass wir mit Cyberangriffen schon Erfahrungen haben, denn die etablierten Lösungen aus dem Office-Bereich reichen bei weitem nicht aus:

1. Office-Lösungen haben zu hohe Fehlerraten. Dies ist für Industrielle Anwendungen nicht akzeptabel: „False Positives" behindern Prozesse und Abläufe unnötigerweise oder führen dazu, dass Anzeichen für Angriffe ignoriert werden. "False Negatives" bergen ein im Vergleich zum Office-Bereich größeres (auch physisches) Schadenspotential.
2. Die zusätzlichen Maßnahmen, Maschinen und Programme, die die Fabrik schützen sollen, führen manchmal selbst zu Verzögerungen, Verklemmungen und Ausfällen, die schaden können, selbst wenn gerade überhaupt kein Angriff stattfindet.
3. IT-Sicherheitsmaßnahmen erhöhen die Komplexität der Prozesse nicht unerheblich und gefährden damit die Beherrschbarkeit der Fabrik

Wenn wir die IT-Sicherheit in der Fabrik falsch machen, z.B. diese einfach aus der Office-Welt übernehmen, kann es sein, dass diese Maßnahmen mehr schaden als nutzen.

Konsequenterweise muss das Risikomanagement der IT-Sicherheit einen sehr hohen Stellenwert einräumen. IT-Sicherheit darf nicht einfach nachgerüstet werden, sondern muss schon am Anfang des Übergangs zu Industrie 4.0 mitgedacht werden. Einfach nur aus Schadensfällen zu lernen und anschließend das Notwendige zu flicken, ist hier der falsche Weg.

Insbesondere braucht Industrie 4.0 durchdachte, mehrstufige Rückfalllösungen um Realzeitgarantien einhalten zu können. Anders als bisherige Betrachtungen zum Realzeitverhalten, wo Ausfälle und Verzögerungen konkrete Wahrscheinlichkeiten haben, sind nun Realzeitgarantien nötig, die trotz eines intelligenten Angreifers gelten. Hierzu muss man Prioritäten setzen, wenn Sicherheitsziele im Konflikt stehen und für Industrie 4.0 brauchen wir "Availability First“.

Die Beherrschbarkeit der Komplexität ist wahrscheinlich nur durch einen konsequent modularen Aufbau möglich, der es erlaubt die jeweils gerade nicht betrachteten Teilsysteme zu vereinfachen und zu idealisieren. Ein solcher Ansatz erlaubt eine mathematische Modellierung der Fabrik und damit überhaupt erst eine klare Formulierung der konkreten Sicherheitsziele. Eine solche mathematische Modellierung ist insbesondere notwendig für eine rigorose Analyse der Sicherheitsmechanismen, sonst werden wir immer nur auf bekannte Angriffe hin testen können.