IT-Sicherheit in Industrie 4.0 E-Book

Moderne Produktion

Herausgegeben von Marion Steven

Annika Selzer, Harald Schöning, Martin Laabs, Siniša Đukanović, Thorsten Henkel

IT-Sicherheit in Industrie 4.0

Mit Bedrohungen und Risiken umgehen

Verlag W. Kohlhammer

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und für die Einspeicherung und Verarbeitung in elektronischen Systemen.

1. Auflage 2020

Alle Rechte vorbehalten

© W. Kohlhammer GmbH, Stuttgart

Gesamtherstellung: W. Kohlhammer GmbH, Stuttgart

Print:

ISBN 978-3-17-033387-1

E-Book-Formate:

pdf:      ISBN 978-3-17-033388-8

epub:   ISBN 978-3-17-033389-5

mobi:   ISBN 978-3-17-033390-1

Für den Inhalt abgedruckter oder verlinkter Websites ist ausschließlich der jeweilige Betreiber verantwortlich. Die W. Kohlhammer GmbH hat keinen Einfluss auf die verknüpften Seiten und übernimmt hierfür keinerlei Haftung.

Inhaltsverzeichnis

1   Einführung

2   Zum Begriff Security im Zusammenhang mit Industrie 4.0

2.1   Paradigmenwechsel in der Produktion

2.1.1   Industrie gestern und heute

2.1.2   Paradigmenwechsel in der Produktion

2.2   Security meets Safety

2.3   Aus Erfahrung lernen

2.3.1   Klassische IT

2.3.2   Produktions-IT

2.3.3   Bestandssysteme

2.4   Warum Konzepte aus der Office-IT nicht einfach auf Industrie 4.0 übertragen werden können

2.5   Wie sicher ist sicher?

2.5.1   Wieso es keine absolute Sicherheit gibt

2.5.2   Sicherheit ist eine momentane Bestandsaufnahme

2.5.3   Sicherheit und Risiko

2.5.4   Funktionale und nichtfunktionale Sicherheitsaspekte

2.5.5   Was bedeutet also nun Sicherheit?

2.6   Sicherheit und RAMI

2.7   Schutzziele der IT-Sicherheit

2.7.1   Was sind also die Schutzziele der IT-Sicherheit für Industrie 4.0?

2.7.2   IP-Schutz der Produktionsdaten (Daten-Vertraulichkeit)

2.7.3   Authentizität von Komponenten und Daten

2.7.4   Piraterieschutz (Daten- und Objekt-Integrität)

2.7.5   Verfügbarkeit der Produktion (Daten- und Objekt-Verfügbarkeit)

2.8   Betrachtungsumfang von Security

2.8.1   Security

2.8.2   Security by Design

2.8.3   Security at Large

3   Angriffe – Szenarien und Vorfälle

3.1   Angriffe gegen das Schutzziel Verfügbarkeit

3.2   Angriffe gegen das Schutzziel Vertraulichkeit

3.3   Angriffe gegen das Schutzziel Authentizität

3.4   Angriffe gegen das Schutzziel Integrität

4   Bedrohungsmodellierung

4.1   Die IUNO-Methode zur Bedrohungs- und Risikobewertung

4.2   Anwendungsbeispiel zur Bedrohungs- und Risikobewertung

4.3   Informationsgewinnung

4.3.1   Erfassung der Funktionen und Annahmen

4.3.1.1   Identifizierung und Beschreibung der Funktionen des Untersuchungsgegenstands

4.3.1.2   Erfassung vorhandener Sicherheitsmechanismen und ihrer Abhängigkeiten

4.3.1.3   Erfassung von vertrauenswürdigen Akteuren und Umgebungen

4.3.1.4   Erfassung von Annahmen auf Organisationsebene

4.3.2   Erfassung der Architektur

4.3.2.1   Tabellarische Erfassung der Schlüsselmerkmale

4.3.2.2   Tabellarische Erfassung von Informationen und Begründungen zur Architektur

4.3.2.3   Erfassung des internen Aufbaus auf Basis eines Datenflussdiagramms

4.3.2.4   Erfassen bekannter Schwachstellen und Verwundbarkeiten aus Vorversionen

4.3.3   Erfassung der Angriffsfläche, Akteure und Drittanbieter-Komponenten

4.3.3.1   Erfassung der Akteure

4.3.3.2   Erfassung exponierter Entitäten

4.3.3.3   Erfassung der Sicherheitseigenschaften von Drittanbieter-Komponenten

4.4   Schutzbedarfsermittlung

4.4.1   Definition eines Angreifermodells

4.4.1   Erstellung eines Wertekatalogs

4.4.1.1   Erfassung von Stakeholdern

4.4.1.2   Erfassung von Werten (Assets)

4.4.1.3   Erfassung von Werten auf Basis von Asset-Klassen nach Common Criteria

4.4.1.4   Erfassung von Assets und Stakeholdern auf Basis von CORAS Asset-Diagrammen

4.4.1.5   Erfassung von Datenrepräsentationen der Assets

4.4.2   Identifizierung und Bewertung der Schutzziele

4.5   Analyse der Bedrohungen

4.5.1   Identifikation der Bedrohungen

4.5.2   Erfassung von Bedrohungen mittels STRIDE durch Ableitung aus Datenflussdiagrammen

4.5.3   Erfassung von Bedrohungen auf Basis von CORAS-Bedrohungsdiagrammen

5   Risikomanagement für Industrie 4.0

5.1   Der Risikomanagementprozess

5.2   Risikomodellierung und Risikoanalyse

5.3   Die IUNO-Methode als Vorgehensweise zur Risikobewertung

5.4   Ablauf der Risikoanalyse

5.5   Berechnung der Verlustfrequenz

5.5.1   Bedrohungsfrequenz bestimmen

5.5.2   Verwundbarkeit bestimmen

5.5.3   Verlustfrequenz aus Bedrohungsfrequenz und Verwundbarkeit ableiten

5.6   Berechnung der erwarteten Verlusthöhe anhand von Verlustformen und Aktionen

5.6.1   Verlustformen und Aktionen erfassen

5.6.1.1   Produktivität

5.6.2.2   Reaktion

5.6.2.3   Wiederbeschaffung

5.6.2.4   Wettbewerbsvorteil

5.6.2.5   Bußgelder und Rechtsurteile

5.6.2.6   Rufschädigung

5.6.2.7   Safety

5.6.2   Erwartete Verlusthöhe berechnen

5.6.3   Erwartete Verlusthöhe bei Safety-Verlusten berechnen

5.6.3.1   Bestimmung der Verlusthöhe bei Safety-Verlusten

5.6.4   Berechnung des resultierenden Risikos aus Verlustfrequenz und erwarteter Verlusthöhe

5.6.5   Verluste messen und abschätzen

5.6.5.1   Indikatoren

5.6.5.2   Einbettung der Risikoanalyse in das Risikomanagement

6   Elemente eines Sicherheitskonzepts

6.1   Architekturen für IT-Sicherheit in Industrie 4.0

6.1.1   IT-Sicherheit bei der Herstellung von Komponenten

6.1.2   IT-Sicherheit bei der Konfiguration von Komponenten

6.1.3   IT-Sicherheit der zum Zugang benutzten Anwendungen

6.1.3.1   Sicherheit bei der Auslagerung von Funktionalität auf externe Systeme

6.1.3.2   Best Practices Kryptographie

6.1.3.3   Weitere Aspekte

6.2   Digitale Identitäten

6.3   Digital Rights Management

6.4   Piraterieschutz

6.5   Normen, Standards und Best Practices

6.6   SIEM

6.7   Künstliche Intelligenz und Machine Learning in der Industrie 4.0

6.7.1   Begriffsklärung

6.7.2   Lernverfahren

6.7.2.1   Überwachtes Lernen

6.7.2.2   Unüberwachtes Lernen

6.7.2.3   Teilüberwachtes Lernen

6.7.2.4   Bestärkendes Lernen

6.7.2.5   Deep Learning

6.7.3   Anwendung von Machine Learning in der Industrie 4.0

6.7.3.1   Produktivitätssteigernde KI

6.7.3.2   Angriffserkennung in industriellen Anlagen

6.7.4   IT-Sicherheit bei der Verwendung von KI und ML in der Industrie 4.0

6.8   Organisationsanforderungen für IT-Sicherheit in Industrie 4.0

6.9   Mitarbeiter als Risiko – Qualifikation und Schaffung von Sicherheitsbewusstsein

7   Ein Blick auf das Recht

7.1   Die Datenschutz-Grundverordnung in der Industrie 4.0

7.1.1   Begriffsbestimmungen

7.1.2   Datenschutz ist Menschenschutz

7.1.3   Relevanz des Datenschutzrechts für die Industrie 4.0

7.1.4   Anforderungen der Datenschutz-Grundverordnung

7.1.4.1   Datenschutz-Grundsätze

7.2   Das IT-Sicherheitsgesetz

7.2.1   Betreiber von Webangeboten

7.2.1.1   Telekommunikationsunternehmen

7.2.1.2   Betreiber kritischer Infrastrukturen

7.2.1.3   Ausblick

8   Ausblick

8.1   Neue Faktoren in der Sicherheitsbetrachtung

8.2   Ausblick Post-Quantum

8.3   Die Plattform Industrie 4.0

9   Glossar und Abkürzungsverzeichnis

10 Literaturverzeichnis

1          Einführung

Seit der Entstehung des Begriffs »Industrie 4.0« im Jahre 2011 wurden viele der Konzepte in die Praxis überführt. Die Digitalisierung der Produktionswelt ist in vollem Gange, neue datenbasierte Geschäftsmodelle entstehen und die Vernetzung von Produktionsanlagen schreitet immer weiter fort. Damit werden Unternehmen zukunftsfähig gemacht und ihre internationale Wettbewerbsfähigkeit bleibt erhalten.

Auf der anderen Seite steigt mit einer zunehmenden Vernetzung aber auch die Verletzbarkeit von produzierenden Unternehmen durch Angriffe von außen, insbesondere über das Internet. Schon der Roman Blackout [EL12] illustriert sehr anschaulich, welche Anfälligkeit aus einer breiten Vernetzung entstehen kann. Wenngleich es in dem Buch um den Angriff auf eine kritische Infrastruktur (Stromnetz) und nicht um eine Produktionsanlage geht, so ist dem Autor nach eigenen Angaben die Idee zu dem Buch wohl gekommen, als ihm am Beispiel der Produktion einer elektrischen Zahnbürste klar wurde, wie vernetzt unsere Gesellschaft ist, eben auch im Bereich der Produktion. Im Roman wurde plastisch dargestellt, dass die Gesellschaft auf eine solche Attacke nicht vorbereitet ist. Das falsche Sicherheitsgefühl, das im Roman geschildert wird, ist teilweise auch in der Realität zu beobachten, auch wenn es um die Entwicklung von Produktionsstandorten in Richtung Industrie 4.0 geht. Der Begriff Industrie umfasst dabei nicht nur das produzierende Gewerbe mit diskreter Fertigung, sondern auch Prozessindustrie und Landwirtschaft. Nicht nur im Roman, auch in der Wirklichkeit können Cyber-Angriffe nicht nur Computer lahmlegen, sondern in der Folge durchaus auch zur Gefährdung von Gesundheit und Umwelt führen.

In der traditionellen Welt der Produktion wurde unter Sicherheit immer die Sicherheit für Menschen und Umgebung verstanden (wir benutzen für diese Bedeutung den englischen Begriff Safety, [MHTK15]). Nun rückt aber mit der zunehmenden Digitalisierung von Maschinen und Anlagen und ihrer Vernetzung untereinander, mit der klassischen IT und mit Akteuren außerhalb des Unternehmens immer mehr der Aspekt der informationstechnischen Sicherheit (Security)1 in den Blickpunkt, bei dem es um den Schutz von Anlagen, Produkten und Daten vor unbefugtem Zugang, Missbrauch, Manipulation etc. geht [MHTK15]. Während Safety-Maßnahmen üblicherweise ihre Wirkung behalten, solange das System nicht verändert wird, veralten Security-Maßnahmen mit der Zeit durch gesteigerte Möglichkeiten von Angreifern (z. B. das Brechen immer größerer Schlüssellängen).

Dabei haben schon die Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0 [KWH13] im Jahr 2013 Sicherheit als erfolgskritischen Faktor für Industrie 4.0 herausgestellt. Gerade der umfangreiche, oft zeitkritische Datenverkehr innerhalb und außerhalb von Produktionsanlagen, der für Industrie 4.0 kennzeichnend ist, muss ausreichend abgesichert werden. Schließlich steht Industrie 4.0 auch für die Auflösung der klassischen Produktionsketten und ihre Ablösung durch dynamische Wertschöpfungsnetzwerke, die auch einen intensiven, Unternehmensgrenzen überschreitenden Datenaustausch erfordern.

Abbildung 1-1 und 1-2 illustrieren diesen Wandel [BM16a].

Je mehr autonom agierende Komponenten in der Produktion mitwirken, desto kritischer wird auch deren sichere und zuverlässige Anbindung an korrekte, vertrauenswürdige Daten. Während also schon durch die zunehmende technische Komplexität der Bedarf steigt, Systeme in jeder Hinsicht abzusichern, nehmen auf der anderen Seite erfolgreiche (und für die Opfer oft sehr kostspielige) Cyber-Attacken zu, auch in Bezug auf den von den Angreifern investierten Aufwand [BSI19e]. In einem späteren Kapitel gehen wir auf einige prominente Beispiele aus der jüngsten Vergangenheit ein.

In einem internationalen Benchmark [GK16] wurde gezeigt, dass Sicherheit eines der kritischen Fokusthemen für Deutschland ist ( Abb. 1-3).

Abb. 1-1: Informationsfluss in Industrie 3.0 [BM16a]

Abb. 1-2: Informationsfluss in Industrie 4.0 [BM16a]

Bereits in den erwähnten Umsetzungsempfehlungen wird Security by Design, d. h. das Einbeziehen umfänglicher Sicherheitsbetrachtungen als Entwurfsprinzip für Produktionsanlagen herausgestellt. Dort wurde ebenfalls gefordert, »IT-Sicherheitskonzepte, -architekturen und -standards zu entwickeln und zu etablieren, die für das Zusammenspiel dieser hochvernetzten, offenen, heterogenen Komponenten ein hohes Maß an Vertraulichkeit, Integrität und Verfügbarkeit herstellen«. Diesem Prinzip steht jedoch entgegen, dass die meisten Produktionsanlagen vor langer Zeit mit einem geringeren (oder nicht vorhandenen) Vernetzungsgrad und ohne Einbeziehung von Security-Überlegungen entworfen wurden. Für solche Anlagen müssen bei der Umstellung auf Industrie 4.0 auch adäquate Sicherheitsmaßnahmen getroffen werden. Erschwerend kommt hinzu, dass solche Sicherheitsmaßnahmen keinesfalls die Stabilität und Zuverlässigkeit der Produktion negativ beeinflussen oder die Produktionskosten spürbar steigern dürfen. Außerdem ist zu beachten, dass Sicherheitslösungen, die nicht benutzerfreundlich sind, zu ihrer Umgehung motivieren. Leichte Nutzbarkeit oder besser noch vom Benutzer unbemerkte Sicherheit sind also anzustreben. Dass Sicherheit für Industrie 4.0 nicht nur eine technische, sondern eine ganzheitliche Betrachtung erfordert, adressieren die Umsetzungsempfehlungen durch die ausdrückliche Nennung der Mitarbeiter, die bspw. entsprechend weitergebildet werden müssen, und durch den Hinweis auf die Relevanz von Datenschutzbestimmungen auch in diesem Umfeld. Dass gerade die Rolle der Mitarbeiter in Bezug auf Security nicht unterschätzt werden darf, zeigen die Top-10 Bedrohungen für »Industrial Control Systems« (also IT-Systeme im industriellen Einsatz), die das BSI 2019 veröffentlich hat [BSI19]. Hier steht menschliches Fehlverhalten auf Platz 3 mit stark steigender Tendenz ( Abb. 1-4)

Abb. 1-3: Derzeitige Position Deutschlands im internationalen Vergleich [GK16]

Abb. 1-4: Die Top 10 Bedrohungen für Industrial Control Systems 2019 [BSI19]

Sicherlich haben auch die Umsetzungsempfehlungen dazu beigetragen, das Bewusstsein für die Wichtigkeit des Themas Security für Industrie 4.0 bei den Unternehmen zu erhöhen. Immer mehr wird verstanden, dass es nicht nur um den Schutz einzelner Systeme geht, sondern darum, das Kerngeschäft des Unternehmens zu schützen. Daher müsste Security eigentlich immer mitgedacht werden, wenn neue Geschäftsmodelle, Strategien, Services oder Produkte entwickelt werden. Es gibt jedoch noch keine Anzeichen, dass dieses tatsächlich in der Breite der Fall ist. Bedarf besteht allerdings, wie der Thread Intelligence Index 2019 zeigt [IBM19]. Dort wird angegeben, dass immerhin 10 % aller untersuchten Angriffe im Jahr 2018 sich gegen das produzierende Gewerbe richteten ( Abb. 1-5). Auch eine Untersuchung des TÜV Rheinland belegt eine Zunahme der Angriffe auf Operational Technology [TÜV19].

Das vorliegende Buch möchte Interessierten aus Lehre, Forschung und Praxis einen Überblick über die verschiedenen Aspekte des Themas Sicherheit (Security) für Industrie 4.0 geben. Dabei werden natürlich auch Bereiche angeschnitten, die nicht nur im Kontext Industrie 4.0 relevant sind. In jedem Fall soll aber der Bezug zu Industrie 4.0 klar herausgestellt und erläutert werden, welche Spezifika Industrie 4.0 im jeweiligen Kontext aufweist.

Es sollte deutlich werden, dass Sicherheit (Security) für Industrie 4.0 zum alles entscheidenden Nukleus wird [WK16], der die verbindliche Basis für die system-, unternehmens- und nationsübergreifenden Interoperabilität aller Prozessbeteiligten darstellt. Das Buch legt seinen Fokus auf die Erfassung und Modellierung von Bedrohungen und Risiken, weil nur ein Verständnis der Bedrohungen, daraus resultierenden Risiken und vor allem deren jeweilige Bewertung dazu führt, die Bemühungen um eine Erhöhung der Sicherheit auf die richtigen Fokuspunkte zu lenken. Wie wir zeigen werden, ist eine 100 %ige Absicherung nicht möglich. Gerade deshalb ist ein Bewusstsein über die jeweils zu adressierenden Schwerpunkte unumgänglich. Dabei gibt das Buch einen Überblick über die adressierten Themenfelder. Für sehr detaillierte Vertiefungen einzelner Aspekte verweisen wir jeweils auf weiterführende Literatur. Gerade bei der Plattform Industrie 4.02 und den daran beteiligten Verbänden VDMA, ZVEI und BITKOM entstehen immer wieder neue Publikationen, in denen Aspekte von Industrie 4.0 vertieft werden, sei es in Bezug auf Architektur, Schnittstellen, Normen, Veränderungen der Arbeitswelt rechtliche Aspekte oder eben auch in Bezug auf Security.

Abb. 1-5: Häufigste Angriffsziele 2019 [IBM19]

 Wir beginnen mit einer Heranführung, wie Security und Industrie 4.0 in Beziehung stehen. Dabei ist das Verständnis des durch Industrie 4.0 eingeleiteten Paradigmenwechsels grundlegend. Während Sicherheit im Sinne von Safety schon lange die industrielle Praxis bestimmt hat, gewinnt Security durch Industrie 4.0 immer mehr an Bedeutung. Wir legen dar, warum sich die aus der Office-IT bekannten Security-Konzepte leider nicht einfach auf Industrie 4.0 übertragen lassen. Nachdem wir gezeigt haben, dass es eine 100 %ige Sicherheit nicht geben kann, übertragen wir die Schutzziele der Security auf Industrie 4.0 und gehen auf Security By Design und Security At Large ein.

Für jedes Schutzziel zeigen wir Angriffsbeispiele, mit denen wir nicht nur verdeutlichen, dass die Bedrohung existiert und zunimmt, sondern auch, welchen wirtschaftlichen Schaden erfolgreiche Angriffe hervorrufen können.

Im Rahmen des Security by Design spielen die Begriffe Bedrohungsmodellierung und Bedrohungsanalyse eine wesentliche Rolle. Hinter beiden Begriffen steht die Idee, dass als grundlegende Voraussetzung für die Planung und Umsetzung adäquater Sicherheitsmaßnahmen zunächst ermittelt werden muss, welche Werte in einem Unternehmen, Prozess oder System überhaupt vorhanden sind und durch welche Gefahren diese Werte potentiell bedroht werden.

Die Bedrohungsanalyse eines Untersuchungsgegenstands liefert i. d. R. nicht einige wenige potentielle Bedrohungen, sondern eine Vielzahl möglicher Problemstellen. Jedoch besitzen nicht alle Bedrohungen die gleiche Relevanz hinsichtlich möglicher Schäden bzw. Verluste. Im Kontext begrenzter Ressourcen und Budgets ist es wichtig, Bedrohungen zu priorisieren und Maßnahmen zur Behebung der Bedrohungen effizient und ökonomisch planen und umsetzen zu können. Hierfür ist ein differenzierter Ansatz zur Modellierung und Analyse von Risiken notwendig.

Anschließend gehen wir auf verschiedene Aspekte der Umsetzung eines auf die Ergebnisse der Bedrohungsanalyse ausgerichteten Sicherheitskonzeptes ein, beginnend bei technischen Maßnahmen zur Erkennung von Sicherheitsvorfällen über Architekturen für die IT-Sicherheit bis hin zu organisatorischen Aspekten. Auch die Mitarbeiter sind ein wesentlicher Faktor für die Security.

Es gibt eine große Fülle von Normen und Standards, die im Kontext von Sicherheit in Industrie 4.0 relevant sind. Wir geben einen Überblick über die wichtigsten.

Anschließend werfen wir noch einen Blick auf rechtliche Fragestellungen, die mit IT-Sicherheit in Industrie 4.0 verbunden sind. Ein Begriff, den man traditionell nicht mit Produktion zusammendenkt, ist der Schutz personenbezogener Daten. Für Industrie 4.0 ist das Thema allerdings relevant, wie wir in einem eigenen Abschnitt darstellen. Neben den relevanten Grundlagen des Datenschutzrechts diskutieren wir die Berührungspunkte zu Industrie 4.0 und die speziellen Betrachtungen, die in diesem Umfeld nötig sind. Außerdem diskutieren wir, welche Implikationen das IT-Sicherheitsgesetz für das Thema Industrie 4.0 hat.

Abschließend wagen wir einen Ausblick auf die weitere Entwicklung der Security im Umfeld von Industrie 4.0.

1     Im Folgenden werden wir den Begriff Sicherheit immer im Sinne von Security gebrauchen, wenn es nicht ausdrücklich anders gekennzeichnet ist.

2     https://www.plattform-i40.de

2          Zum Begriff Security im Zusammenhang mit Industrie 4.0

In diesem Kapitel gehen wir darauf ein, warum die Einführung von Methoden und Konzepten der Industrie 4.0 überhaupt dazu führt, dass Security neu betrachtet werden muss. Hier spielt nicht nur eine neue Beziehung von Safety und Security zueinander eine Rolle, sondern auch die im Vergleich zur Office-IT, aus der die meisten IT-Sicherheits-Ansätze stammen, veränderte Gewichtung von Schutzzielen. Schließlich können manche Lösungen aus der klassischen IT im Umfeld von Industrie 4.0 nicht oder nur uneingeschränkt angewendet werden. Gerade im Industrie-4.0-Umfeld ist daher eine umfassende, ganzheitlich wirkende Betrachtung von Security erforderlich.

2.1       Paradigmenwechsel in der Produktion

Die vierte Industrielle Revolution bringt die Produktion zu Ihren Ursprüngen zurück, dem individuellen Produkt. Bisher auf Massenproduktion ausgerichtet, zielt die Industrie nun auf die wettbewerbsfähige Produktion kleiner Stückzahlen oder sogar Unikate. Hier schließt sich der Kreis zur handwerklichen Maßanfertigung unter Wahrung aller Industrialisierungsvorteile. Dem post-industrialisierten Europa eröffnet sich eine neue, agile und global wettbewerbsfähige industrielle Produktion.

2.1.1     Industrie gestern und heute

Die erste Industrielle Revolution ermöglichte es, große Stückzahlen von Produkten in hoher und gleichwertiger Qualität zu extrem günstigen Konditionen zu erzeugen. Die dafür entwickelten mechanischen Produktionsanlagen wurden in der zweiten Phase durch Elektrizität und Dampfkraft weiter beschleunigt und in eine komplett arbeitsteilige Organisation überführt. Heute, in der dritten Phase, ermöglichen speicherprogrammierbare Steuerungen und Enterprise Ressource Systeme die aktuelle Just-in-time- und On-demand-Fertigung.

Die Vision Industrie 4.0 verspricht als nächste Stufe die durchgehende Optimierung der industriellen Wertschöpfungskette von der Idee über die Entwicklung und Herstellung bis hin zur Lieferung, Wartung und Recycling durch konsequente digitale Vernetzung aller Wertschöpfungsinstanzen ( Abb. 2-1).

Abb. 2-1: Die Wertschöpfungskette

Vielfach wird Industrie 4.0 als neue Methode der Produktionsoptimierung verstanden. Diese Perspektive verkürzt den Blick auf die Entwicklung. Industrie 4.0 geht weit über reine Optimierung hinaus. Hier werden neue Produktionsweisen umgesetzt, die teilweise völlig neue Geschäftsfelder für die Akteure eröffnen. Darüber hinaus umfasst Industrie 4.0 auch das Treffen automatisierter Entscheidungen im Produktionsprozess aufgrund von Echtzeitdatenanalysen und Künstlicher Intelligenz. Auch eine neue Qualität der Maschine-zu-Maschine-Kommunikation und neuartige Mensch-Maschinen-Schnittstellen werden durch Industrie 4.0 möglich. Wie aber schon Abbildung 2-1 zeigt, umfasst Industrie 4.0 jedenfalls erstmals einen durchgängigen Produktlebenszyklus, der nicht nur Fernwartung und Service einschließt, sondern auch die Kommunikation mit dem Produkt nach der Produktion bis hin zum Recycling des Produkts. Schließlich bedeutet Industrie 4.0 zudem die Integration der Produktion mit der Betriebswirtschaft (also zusätzlich zu der klassischen Office-IT) und die Kommunikation (auch der Produktionssysteme) verschiedener Unternehmen untereinander bis hin zu dynamischen unternehmensübergreifenden Wertschöpfungsnetzen [BVZ15]. Sogar ein automatisierter Vertragsabschluss zwischen Maschinen ist Teil dieser Vision.

2.1.2     Paradigmenwechsel in der Produktion

In diesem Szenario werden Maschinen in der Produktionswelt von morgen viel autonomer interagieren, als wir uns gegenwärtig vorstellen können. Sie werden über eigene Identitäten verfügen, sich in Produktionsprozesse autonom integrieren, untereinander kommunizieren und Zugriff auf viele Informationen erhalten. Das führt wie bereits angesprochen schon heute teilweise zum Umdenken in Bezug auf mögliche neue Geschäftsmodelle. Daten werden in dieser Welt u.U. viel wertvoller sein als die Maschine, die sie erzeugt oder verarbeitet. Manche Hersteller von Werkzeugmaschinen haben das schon erkannt und setzen auf Vermarktungsstrategien für den Verkauf von Maschinendaten für Produktionsoptimierung. Die Maschine als »Asset« tritt in den Hintergrund, die Vermarktung von Dienstleistungen analog der Mobilfunkbranche wird sich mehr und mehr etablieren.

Das führt direkt zu Fragestellungen, die die Sicherheit von Daten, Maschinen und Produktionsumgebungen berühren. Wie können Konstruktions-, Produktions- und Kundendaten geschützt werden, durch welche Maßnahmen kann man die Integrität von Maschinen und deren Produktionsumgebung sicherstellen? Last but not least, wie schützt man eine völlig integrierte Produktionswelt von morgen gegen Angriffe, bei denen z. B. ein lokaler IT-Sicherheitsvorfall bei einem Produzenten die Produktion und Logistik des gesamten Bundesgebietes betreffen könnte?

2.2       Security meets Safety

Die digitale Transformation durchdringt mittlerweile fast alle Prozesse und Wertschöpfungsketten der Industrienationen. Dabei steigen der Grad der Automation und die damit einhergehende Autonomie der Systeme in bisher nicht vorstellbare Dimensionen. Durch Industrie 4.0 scheint es möglich zu werden, dass Maschinen ganz unter Ausschluss direkter menschlicher Interaktion Aufträge untereinander verhandeln. Im Bereich der Mobilität werden autonomes Fahren und autonomer Transport schon heute in bestimmten Bereichen sehr erfolgreich praktiziert. Zukünftig wird die Autonomie dieser Systeme weiter voranschreiten. Man kann mit Recht behaupten, dass autonome Systeme ein zentraler Innovationstreiber der Zukunft sein werden.

Wie jede Entwicklung birgt auch die fortschreitende Autonomie der Systeme Chancen und Risiken zugleich. Insbesondere die Fragestellung nach der Sicherheit der Systeme stellt sich unmittelbar. Während Sicherheit in der Vergangenheit oft als innovationsverlangsamend wahrgenommen wurden, bietet sich momentan die historische Gelegenheit, IT-Sicherheit als »Enabling-Factor« in dieser Entwicklung zu verankern. Es gibt nämlich zwei entscheidende Unterschiede zur Fragestellung der IT-Sicherheit in der klassischen IT. Zum einen können die Lessons-learned aus diesem Bereich nun gewinnbringend operationalisiert werden, zum anderen trifft IT-Sicherheit auf den bereits sehr etablierten Bereich der Safety dieser Systeme. Unter diesen Voraussetzungen ist leicht denkbar, dass IT-Sicherheit nun als Dimension der neuen Produktqualität »made in Germany« etabliert werden kann.

Natürlich muss dazu der Begriff Sicherheit neu gefasst und vor allen Dingen umfassend betrachtet werden. Es darf keine Trennung zwischen klassischer IT und I4.0-Systemen, sowie zwischen Safety und Security geben. In zunehmendem Maße können bei Industrie 4.0 Verletzungen der Security auch zu Verletzung der Safety führen. Ein einfaches Beispiel: Wenn die Unterbrechung einer Lichtschranke, die z. B. einen Gefahrenbereich abgrenzt, auf einem angreifbaren Weg an das verarbeitende System weitergeleitet wird und dieses Signal durch einen Angriff verloren geht, wird die Maschine im Gefahrenbereich fälschlicherweise nicht abgeschaltet werden, was zu einem Safety-Problem führt.

Die Autoren verstehen daher die Sicherheit der Zukunft als umfassende Sicherheit, die alles ganzheitlich betrachtet und gerade das Wechselspiel der Systeme berücksichtigt. Dabei umfasst Sicherheit ganz unterschiedliche Aspekte wie bspw. den Schutz des Betriebs (also den Schutz vor Sabotage), den Schutz geschäftsrelevanter und sensibler Informationen, den Schutz vor Systemen gegen unbefugte Zugriffe von außen und Datenschutz. Dieses Wechselspiel wird durch die zunehmende Vernetzung aller Systeme und Auslagerung von Daten und Diensten in Cloud-Umgebungen immer weiter voranschreiten.

2.3       Aus Erfahrung lernen

Diese Definition erweitern wir für dieses Buch wie folgt:

Um Sicherheit zu erreichen, ist es erforderlich, ein vorhandenes Risiko zu identifizieren und zu bewerten, damit Mittel und Wege erkannt werden können es, zu vermeiden, zu reduzieren, zu transferieren oder auch als sog. Restrisiko zu akzeptieren. Aufgrund der heutigen technologischen Dynamik ist Sicherheit jedoch kein eindeutig abschließend beschreibbarer Zustand, sondern erfordert eine kontinuierliche Analyse, Evaluation und Anpassung. Bedrohungsmodelle und Risikoanalysen müssen ständig aktualisiert, analysiert und bewertet werden und zu umsetzbaren IT-Sicherheitsmaßnahmen entwickelt werden.

2.3.1     Klassische IT

Die Industrie 4.0 Vision ist eng mit der aktuellen Entwicklung des Internet der Dinge (Internet of Things) verbunden. Hier besteht nun die Option, aus den Erfahrungen des Internet der Daten und Dienste und der klassischen IT zu lernen und IT-Sicherheit als Architekturbestandteil von Anfang an mitzudenken.

Allerdings ist dabei zu bedenken, dass auch in der klassischen IT längst nicht alle IT-Sicherheitsprobleme schon heute gelöst sind, darüber hinaus hat die produzierende Industrie andere Prioritäten. Verfügbarkeit von Systemen ist das höchste Gut, gefolgt von Safety-Auflagen, die auf den Schutz von Menschen abzielen. Es werden also IT-Sicherheitsmethoden benötigt, die über den aktuellen »State-of-the-Art« hinausgehen.

In der klassischen IT findet bereits ein Wandel von reaktiver zu proaktiver Sicherheit durch »Security by Design« statt. Als Folge davon wird IT-Sicherheit bereits zunehmend in der Design-Phase von Software mitentwickelt und damit mehr und mehr als eine Dimension der Produktqualität aufgefasst. Dennoch ergibt die Integration von sicheren Komponenten und Systemen nicht automatisch auch eine sichere Produktionsumgebung. Hier müssen Methoden und Technologien entwickelt werden, die systematische Sicherheit für große, reale Systeme verfügbar machen.

IT-Sicherheit ist zudem kein Wert an sich, sondern ergibt sich immer aus dem Spannungsfeld der zu schützenden Werte vor dem Hintergrund der tatsächlichen Bedrohungen. Daher ist die regelgerechte Umsetzung von IT-Sicherheitsmaßnahmen immer auch die Ableitung einer Bedrohungs- und Risikoanalyse der betrachteten Systeme und Komponenten. Wir sprechen dabei von einer sog. Sicherheitsrichtlinie (Security Policy), die als Regelwerk alle technischen und organisatorischen Maßnahmen beschreibt, mit denen ein dem Schutzziel angemessenes Sicherheitsniveau erzielt werden kann.

Absolute Sicherheit kann und soll dabei nicht das Ziel der Bemühungen um IT-Sicherheit sein. Vielmehr wird durch einen anhaltenden Prozess des Security Life Cycle die Erreichung und Sicherstellung eines bestimmten Sicherheitsniveaus gewährleistet werden müssen. Alle verbleibenden Risiken müssen dabei unter einen zu bestimmenden Restrisikoschwellenwert gebracht werden.

2.3.2     Produktions-IT

Im Folgenden werden wir als Produktions-IT diejenigen IT-Systeme bezeichnen, die in der Werkshalle (auf dem »Shopfloor«) installiert sind, sowie alle mit Industrie 4.0 hinzukommenden Systeme, die der direkten Kommunikation zwischen verschiedenen Produktionssystemen und -standorten in der Wertschöpfungskette dienen. Oft wird (zumindest im Kontext der herkömmlichen fertigenden Industrie) in diesem Zusammenhang auch von OT (Operational Technology) gesprochen. In der herkömmlichen Fertigung waren Maschinen durch sehr produktionsnahe Kommunikationswege und -protokolle mit Steuerungen miteinander verbunden (z. B. durch Modbus, Profibus usw.). Die Kommunikationssysteme wurden nicht unter Security-Gesichtspunkten entworfen und enthielten ursprünglich keinerlei Authentisierungsmechanismen, Verschlüsselung oder Integritätsprüfungen von Nachrichten. Obwohl dadurch verschiedenste Angriffe ermöglicht werden, fanden Betrachtungen zur eigentlichen IT-Sicherheit kaum statt, da man sich auf den sog. Air-Gap verlassen konnte, also auf die Tatsache, dass es keinerlei Verbindung zum Internet gab. Schleichend wurden jedoch solche Internetzugänge geschaffen (direkte Internetverbindungen, Intranetanbindung, WLAN, Einwahlmodem, Fernwartungszugänge, etc.). Eine nachträgliche ganzheitliche Betrachtung von IT-Sicherheit fand aber oft immer noch nicht statt. Während früher proprietäre Betriebssysteme in Anlagen zu finden waren, haben heute vielfach Standard-Systeme und -Anwendungen diese verdrängt (z. B. Microsoft Windows). Damit werden die Systeme natürlich gegen dieselben Gefährdungen anfällig, die auch die Office-IT bedrohen. Dennoch befinden sich oft veraltete Versionen dieser Software im Einsatz und Sicherheitspatches der Hersteller werden nicht eingespielt. Zudem ist es schwierig, die Dynamik der IT-Entwicklung auf die Stand- und Nutzungszyklen der Industrie abzubilden. Standzeiten von 20 Jahren pro System sind keine Seltenheit. Zum Vergleich werden Betriebssysteme moderner Mobilfunksysteme mittlerweile im Schnitt alle 5 Monate durch eine neue Version ersetzt.

2.3.3     Bestandssysteme

In der produzierenden Industrie haben, wie gezeigt, Maschinen und andere Komponenten oft eine Lebensdauer von mehreren Jahrzehnten. Das bedeutet, dass Unternehmen, die heute Konzepte von Industrie 4.0 einführen möchten, Maschinen in Betrieb haben, die darauf noch überhaupt nicht vorbereitet sind. Solche Maschinen können jedoch, wenn es um die ganzheitliche Einführung von Industrie 4.0 geht, nicht einfach übergangen werden – auch sie müssen in irgendeiner Form in das digitale Gesamtsystem integriert werden. Bei einer Maschine, die noch gar keine digitalen Schnittstellen bietet, werden dazu oft externe Sensoren angebracht, die dann wenigstens Daten wie Energieverbrauch, Temperatur, Vibrationen etc. erfassen und digital weitergeben können. In diesem Fall sind Maschine und Sensorik entkoppelt, so dass aktuelle Technologie für die Sensorik verwendet werden kann. Bei Maschinen, die schon digitale Funktionalität aufweisen, die aber nicht unter Industrie-4.0-Gesichtspunkten entwickelt wurden, wird diese oft in das Industrie-4.0-Gesamtsystem eingebunden. Unter IT-Sicherheitsgesichtspunkten entsteht aber genau daraus ein Problem.

So waren frühere speicherprogrammierbare Steuerungen (SPS) nie für eine Einbindung in ein globales Netzwerk konzipiert und hatten daher nie die Anforderung, sich gegen Angriffe zu schützen. Daher sind auch entsprechende Funktionalitäten dafür kaum oder gar nicht vorhanden. Dasselbe gilt für die Kommunikationswege zwischen Steuerungen und Anlagen. Bisher war das auch kein Problem, da nur ein physischer Zugriff auf die Systeme einen Angriff ermöglicht hätte. Dieser physische Zugriff war aber durch verschiedene organisatorische Maßnahmen (Zugangskontrolle etc.) eingeschränkt, so dass ein ausreichendes Sicherheitsniveau gegeben war. Mit der Einbindung von Steuerungen an die »normale« IT und der Entwicklung hin zu Industrie 4.0 hat sich diese Situation jedoch grundlegend geändert. Nun sind neben den Angriffen mit physischem Zugriff auch verschiedene Angriffe über das Netzwerk möglich. Schon ein Angriff auf die Verwaltung der SPS genügt in vielen Fällen.

Oft wurde auch bei der nachträglichen Aufrüstung einer Anlage für den digitalen Zugriff schlicht und einfach vergessen, Sicherheitsfunktionen einzuplanen, da die ursprüngliche, nur am Gerät mögliche Steuerung solche Funktionen nicht enthielt – und auch nicht benötigte, da der Zugriff z. B. durch ein Schloss gesperrt war. Authentifizierung erfolgte einfach über den Besitz eines physischen Schlüssels. Andererseits war zu dem Zeitpunkt der Umrüstung die Verbreitung von Viren noch gering. Somit wurde das Bedrohungspotential gerade für Maschinen und Anlagen, die ja zunächst nicht im Fokus der Hacker standen, nicht als hoch eingeschätzt, weshalb oft auf eine durchgehende Sicherheitskonzeption verzichtet wurde. Oft waren auch Kostengründe dafür verantwortlich, dass nur Konnektivität nachgerüstet wurde, aber kein Sicherheitskonzept.

Auch für die Kommunikationskanäle zwischen den Komponenten einer Produktionsanlage gilt, dass deren Protokollen vor allem mit Blick auf Stabilität und Verfügbarkeit und weniger auf Sicherheit ausgelegt sind.

Auch in SCADA-Systemen trifft man oft die typischen Schwachstellen an: fehlende Authentisierung, fehlerhafte Ausnahmebehandlung, unverschlüsselte Kommunikation, fehlender Virenschutz. Hinzu kommen fehlende Richtlinien zur Gewährleistung von Sicherheit, fehlende Dokumentation und fehlendes Patchmanagement. Es ist auch nicht so, dass sich Cyber-Kriminelle nicht gut genug mit SCADA auskennen, um erfolgreich Angriffe durchzuführen. Da handelsübliche SCADA-Spezifikationen online gekauft werden können, stehen sie für eine Suche nach Schwachstellen jedem zur Verfügung. Die Suchmaschine Shodan3 ermöglicht außerdem eine einfache Suche nach ungesicherter Industriegeräten weltweit.

2.4       Warum Konzepte aus der Office-IT nicht einfach auf Industrie 4.0 übertragen werden können

Im Bereich der Office-IT ist anerkannt, dass es fahrlässig ist, wenn Sicherheitsupdates zur installierten Software zeitnah eingespielt werden. Bekannte Angriffsmuster sollen so abgeblockt, aufgedeckte Schwachstellen beseitigt werden, um die Sicherheit der Systeme zu erhöhen. Zusätzlich kommen Virenscanner, Firewalls usw. zum Einsatz. Ältere Versionen von Software, insbesondere auch Betriebssysteme, werden nach einer gewissen Zeit vom Hersteller nicht mehr unterstützt; insbesondere werden keine Sicherheitsupdates mehr bereitgestellt. Auf den betroffenen Rechner muss dann eine neue Version installiert werden. Rechner werden regelmäßig ersetzt und haben im Regelfall eine Lebensdauer von weniger als 10 Jahren. Die Rechner sind ausreichend mit Hauptspeicher ausgestattet, auch komplexe und aufwändige Verschlüsselungen sind möglich, ohne dass die akzeptierten Antwortzeiten (die bei 1-2 Sekunden liegen) dadurch überschritten werden.

Im Umfeld von Industrie 4.0, insbesondere in der Produktion, gelten ganz andere Randbedingungen. Es gibt zwar Industrie-Firewalls, die analog zu den Firewalls in der Office-IT Netzwerkverkehr beschränken können. Bei Virenscannern und Sicherheitsupdates sind die notwendigen Voraussetzungen allerdings nicht immer gegeben. Produktionsmaschinen haben eine Lebensdauer von mehreren Jahrzehnten. Sie sind oft mit Industrie-PCs ausgestattet, deren Betriebssystem im Regelfall nie aktualisiert wird und manchmal aus rechtlichen Gründen nicht einmal aktualisiert werden darf: In manchen regulierten Bereichen (z. B. Pharma) verlieren Anlagen ihre Zulassung, wenn Betriebssysteme aktualisiert werden, da die Abnahme ohne diese Aktualisierung durchgeführt wurde. Virenscanner sind dort im Normalfall nicht installiert, weil sie das geforderte Antwortzeitverhalten und damit die Verfügbarkeit der Produktionsanlage gefährden könnten.

Hinzu kommt, dass Ausfälle oder Störungen in Gefahren für Umwelt oder Menschenleben resultieren können oder zumindest erhebliche finanzielle Schäden für das jeweilige Unternehmen bedeuten können. Daher muss der Betrieb auch bei Auftreten eines Sicherheitsvorfalls möglichst aufrechterhalten werden. Personenschutz hat die höchste Priorität, danach der Anlageschutz und die Fortsetzung der Produktion.

Während in der Office-IT bei einem Sicherheitsvorfall das Ausschalten des Systems durchaus in eine schnell ergriffene Maßnahme ist, um z. B. die Ausbreitung von Viren zu unterbinden, seht deren Anwendung im Produktionsumfeld vor höheren Hürden. Hier wird u.U. lieber der Abfluss von Daten in Kauf genommen als ein Produktionsausfall. Es gelten also andere Prioritäten bei den Schutzzielen.

Da die Rechner mit den Maschinen altern, weisen sie nach einigen Jahren eine Hauptspeicher- und CPU-Ausstattung auf, die nicht mehr den Erfordernissen moderner Systeme entspricht. Nun werden aber diese alten Systeme durch die zunehmende Digitalisierung und Integration mit IT-Sicherheitsproblemen belastet, die es zu ihrer Entstehungszeit nicht gab. Wie kann man also erreichen, dass auch diese Systeme geschützt werden, obwohl sie keinerlei technische Vorrichtungen dazu vorsehen?

Die knappe Ausstattung an Hauptspeicher und Rechenleistung gilt aber nicht nur für alte Systeme, sondern auch für aktuelle Prozessoren in eingebetteten Systemen und kleinen Geräte im Internet der Dinge, bei denen geringe Größe, niedrige Kosten und Energieeffizienz (ganz besonders natürlich bei batteriebetriebenen Systemen) besonders relevante sind. Virenscanner und komplexe Verschlüsselungsalgorithmen können daher – falls sie bei den knappen Ressourcen überhaupt ablauffähig sind – zu massiver Auslastung der Systeme und damit zu inakzeptablen Verzögerungen in der Reaktionszeit führen. Gerade in der Produktion sind die Echtzeitanforderungen aber höher als in der Office-IT. Hinzu kommen regulatorische Unterschiede: Wesentliche Veränderungen eins Gesamtsystems, z. B. durch Software-Änderungen, führen dazu, dass der Betrieb des Systems nicht ohne erneute Prüfung fortgesetzt werden darf (z. B. nach Produktsicherheitsgesetzes (ProdSG)).

In der Office-IT haben Rechner eine Lebensdauer von wenigen Jahren. Eine Produktionsmaschine ist jedoch für eine wesentlich längere Lebensdauer angelegt. Durch diese lange Lebensdauer kann es dazu kommen, dass die anwenderseitige Aktualisierung und Unterstützung der installierten Software (einschließlich des Betriebssystems) beendet wurde und daher auch für bekannte Sicherheitslücken keine aktualisierte Software zur Verfügung steht.

Unter diesen Restriktionen, die in der Office-IT keine Rolle spielen, muss für Industrie 4.0 ein ausreichendes Sicherheitskonzept gefunden werden. Sicherheitsmaßnahmen müssen zudem über einen sehr langen Zeitraum wirksam bleiben. Wie bereits erwähnt, ist der herkömmliche Ansatz, dieses durch strikte Abkopplung der Produktionsanlagen vom Internet zu adressieren, im Zeitalter von Fernwartung, Drahtlosnetzwerken und mobilen Geräten zur Anlagenbedienung nicht mehr tragfähig.

Zusammenfassend lässt sich also feststellen, dass Sicherheitskonzepte aus der Welt der Office-IT nicht ohne weiteres auf Industrie 4.0 übertragen werden können, sondern dass es spezifischer Überlegungen und Maßnahmen bedarf, um auch hier ein akzeptables Sicherheitsniveau sicherzustellen. Dabei muss das evtl. Fehlen von Sicherheitssoftware genauso in Betracht gezogen werden wie veraltete bzw. nicht aktualisierte Betriebssystemversionen. Für beide Welten, die Office-IT und Industrie 4.0, gilt jedoch, dass es absolut sichere Systeme (leider) nicht gibt.

2.5       Wie sicher ist sicher?

Dieses Buch befasst sich mit den verschiedenen Aspekten der Sicherheit für Industrie 4.0. Es steht außer Frage, dass die neuen Konzepte und die umfangreiche Vernetzung von vielen beteiligten Systemen in Industrie 4.0 ein hohes Maß an Sicherheit erfordern, damit sie funktionieren können. Doch wie sicher können IT-Systeme heutzutage sein und was meinen wir, wenn wir von Sicherheit sprechen? Gibt es überhaupt 100 % sichere IT-Systeme?

2.5.1     Wieso es keine absolute Sicherheit gibt

Hundertprozentige Sicherheit bedeutet, dass es absolut keine Möglichkeit gibt, die Sicherheitsmechanismen eines IT-Systems zu umgehen und dass alles genau so funktioniert, wie vorgesehen, egal welche Parameter auf das System einwirken. Das würde bedeuten, dass ein IT-System keinen einzigen Fehler enthält, der zu einer Fehlfunktion führt und zudem alle möglichen Angriffsvektoren bekannt sind. Da heutige IT-Systeme sehr komplex sind, wird wohl niemand behaupten können, dass es auch nur ein einziges IT-System gibt, das absolut frei von Fehlern ist – es sind immerhin Menschen in der Planung und Umsetzung involviert und Menschen machen Fehler. Zudem werden immer wieder neue Angriffsvektoren gefunden, an die vorher niemand gedacht hat. Und da es unendlich viele Möglichkeiten für Angriffsvektoren gibt, wird die Anzahl der bekannten Angriffsvektoren auch niemals vollständig sein – es werden also immer wieder neue hinzukommen.

Wenn an der Sicherheit von IT-Systemen gearbeitet wird, so muss grundsätzlich zwischen verschiedenen anderen Aspekten abgewogen werden. Eine Steigerung von Sicherheit steht normalerweise der Reduzierung der Benutzerfreundlichkeit/Bedienbarkeit und der Komplexität der IT-Systeme gegenüber ( Abb. 2-2).

Ein IT-System, das 100 % sicher sein soll, wäre demnach 0 % bedienbar. So ist bspw. ein Computer, der in einem Tresor eingeschlossen ist, auf den Grund des Ozeans versenkt wurde und keine Kommunikationsschnittstellen zur Außenwelt hat, vermutlich sehr nah an 100 % Sicherheit – er ist aber auch sehr nah an 0 % Bedienbarkeit. Genauso wäre ein IT-System, das nur aus genau einem Schalter und einer Zeile Programmcode besteht, evtl. als 100 % sicher zu bewerten – es kann aber wegen seiner sehr geringen Komplexität keine sinnvolle Aufgabe erfüllen.

Abb. 2-2: Sicherheit vs. Benutzbarkeit und Komplexität

Zudem muss berücksichtigt werden, dass IT-Systeme typischerweise von Organisationen entwickelt werden, die mit diesen Systemen auch Geld verdienen wollen. Es müssen also auch immer die Kosten, die in die Entwicklung eines Systems gesteckt werden, in einem Verhältnis zu dem erwarteten Gewinn, der mit dem System erwirtschaftet werden kann, gesehen werden. Da die Entwicklung von mehr Sicherheit auch mehr Zeitaufwand und Kosten verursacht, ist auch somit dem Bestreben nach 100 % Sicherheit ein Ende gesetzt ( Abb. 2-3).

Abb. 2-3: Sicherheit vs. Kosten

Selbst wenn unbegrenzte Zeit und unbegrenzte Ressourcen verfügbar wären, um ein IT-System sicher zu machen und die Benutzerfreundlichkeit eines IT-Systems keine Rollen spielen würde, so ist es dennoch unwahrscheinlich, dass eine absolut vollständige Sicherheit erreicht werden kann. Irgendwann ist auch der Punkt erreicht, an dem ein neuer Sicherheitsaufwand sich wieder negativ auswirkt, weil jede Behebung eines Sicherheitsproblems das Potential birgt, dass neue Sicherheitsprobleme in ein IT-System eingebaut werden. Das liegt an der Komplexität der heutigen IT-Systeme, da eine Änderung an einem System an einer Stelle eine unbeabsichtigte Auswirkung auf die Funktionalität des Systems an einer anderen Stelle haben kann. Hinzu kommt, dass auch Konfiguration und Betrieb eines IT-Systems entsprechend sicher sein müssen. Wir müssen also bei allen Betrachtungen von IT-Sicherheit voraussetzen, dass eine hundertprozentige Sicherheit in IT-Systemen technisch nicht realisierbar ist ( Abb. 2-4).

Abb. 2-4: Sicherheit vs. Aufwand

2.5.2     Sicherheit ist eine momentane Bestandsaufnahme

Abgesehen von den Punkten im vorherigen Abschnitt besteht bei der Bewertung der Sicherheit noch ein ganz anderes Problem. Wir können nicht in die Zukunft schauen. Wir wissen zu einem gewissen Zeitpunkt noch gar nicht, welche Bedrohungen es in Zukunft geben kann. Konzepte, die zu einem gewissen Zeitpunkt als vollkommen korrekt und somit auch sicher gelten, können zu einem späteren Zeitpunkt, wenn zusätzliches Wissen vorhanden ist, als absolut unzureichend gelten. Die Bewertung von Sicherheit basiert zu einem gewissen Zeitpunkt immer nur auf den zu diesem Zeitpunkt bekannten Parametern. Wenn neue Parameter hinzukommen, kann die Bewertung anders ausfallen.

Ein gutes Beispiel hierfür ist sicherlich die Prozessor-Schwachstelle, die Anfang 2018 mit den Angriffsszenarien Spectre4 und Meltdown5