Cyber Security in Industrie 4.0 und IoT als strategische Entscheidung in der Unternehmensführung

Der Begriff „Cyber Security" beschreibt im weitesten Sinn den Schutz von Daten und Informationssystemen. Dazu gehören sowohl der physische Schutz von Gebäuden, Data Centern und Serverräumen, als auch Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen. Cyber Security deckt aber auch all die Sicherheitsfragen ab, die über herkömmliche Computer- und Netzwerk-Sicherheit hinausgehen. Dazu gehören die Sicherheit von Mobilgeräten und Wearables sowie die Sicherung vernetzter Maschinen. Hier geht es um die ganze Thematik rund um Internet der Dinge (Internet of Things, IoT) und Industrie 4.0. Insofern ist Cyber Security weitaus umfassender definiert als die herkömmliche IT-Security.

Im Bereich der Data Center werden derzeit die Edge-Data-Center (EDC) und Micro-Data-Center diskutiert. Neben den großen Data Centern werden diese eher kleinen Data Center an den Stellen benötigt, an denen Computer-Leistungen auch benötigt werden: zum Beispiel beim Arzt oder an wichtigen Stellen in der Stadt wie Rathaus, Schulen, Krankenhäuser. An diesen Stellen ist ein großes Data Center nicht unbedingt sinnvoll und die Micro-Data-Center können ihre individuelle Computer-Leistung unmittelbar an der richtigen Stelle umsetzen.

Es gibt aber auch Micro-Data-Center direkt an der Straße, zum Beispiel in Kellern in Wohnungsanlagen. Diese können für die Steuerung des Verkehrs durch intelligente Verkehrssteuerelemente verwendet werden. Dazu werden Big Data aus fahrenden, autonomen Fahrzeugen per Funk übernommen und als Smart Data an das nächste vorbeifahrende Auto weitergegeben. Dabei ist die Wohnungsanlage sinnvollerweise Teil eines Rechenzentrum-Verbunds oder von Compose-Micro-Data-Centern. Die Abbildung links zeigt beispielhaft dieses Szenario. Jedes der eingezeichneten Gebäude kann ein solches Micro-Data-Center beinhalten und insgesamt als Compose-Data-Center extreme Computer-Leistungen übernehmen.

Es ist deutlich zu sehen, dass eine vermaschte Netzwerkstruktur redundant aufgebaut werden kann, aber durch die vielen Kommunikationswege auch extrem sicherheitsgefährdet ist. Aus diesem Grund werden solche Compose-Data-Center als Private Cloud erstellt, das heißt ohne eine Verbindung zum Internet. Dies kann jedoch zu Nichte gemacht werden, wenn als Ergänzung eine Kopplung mit einer Public- oder Hybrid Cloud durchgeführt wird. Diese Verbindung ist meistens nicht „private“. Gesteuert wird so ein Compose-Data-Center über übergeordnete Orchestrierungsstrukturen, um alle Komponenten optimal zu provisionieren und möglichst automatisch zu betreiben. Dieses Gesamtsystem ist in der Abbildung rechts dargestellt.

Neben der Automatisierung wird für die Optimierung des Gesamtsystems Deep Learning als KI-Methode so eingesetzt, dass über ein permanentes Lernen immer ein Optimum gefunden werden kann. Die vielen Kommunikationsverbindungen, die wegen der Verfügbarkeit und Performance aufgebaut wurden, stellen eine Gefahr dar. Selbst wenn alle derzeitigen Technologien wie VPN mit gesicherten Zertifikaten aus einer vertrauensvollen Zertifizierungsstelle (Certificate Authority; CA) als Public Key Infrastructure (PKI) mit Verschlüsselung, Autorisierung und Authentifizierung eingesetzt werden, muss darauf gewartet werden, dass ein Angreifer doch irgendwann genau dieses System attackiert – und gewinnt.

Ein modernes Gebäude auf dem Stand der Technik wird die aktuelle Entwicklung in der Gebäudetechnik durch Mehrwerte mit IoT nutzen und kann damit einen Wettbewerbsvorteil haben. In den Gebäuden werden bereits heute unterschiedliche IoT-Geräte eingesetzt. Hierzu gehören Systeme für Smart Cities, Smart Energy und Smart Grid, zum Beispiel ein Smart Meter. Ein solches intelligentes System als kommunikationsfähige elektronische Messeinrichtung – auch intelligenter Zähler genannt – sammelt und sendet, wann und wie viel Energie verbraucht wird an eine zentrale Stelle. Diese IoT-Systeme werden für unterschiedliche Aufgaben benötigt. Sie sind untereinander in verschiedenen Formen vernetzt und damit auch über das Internet angreifbar.

IoT-Geräte und -Systeme sind in Maschinen und Produktionseinrichtungen installiert, ebenso wie in Autos, Verkehrseinrichtungen oder im Gesundheitswesen. Hier herrscht eine enorme Vielfalt in der qualitativen Umsetzung. Es gibt eine hohe Qualität wie im Gesundheitswesen aber zum Großteil ungesicherte IoT-Devices als Endverbrauchergeräte. Diese Geräte werden zunehmend als Angriffsplattform und Einfallstor in Netzwerke und Infrastrukturen verwendet. Die Sicherheit solcher Geräte im IoT dürfte schwierig zu gewährleisten sein, weil den vergleichsweise niedrigen Herstellungskosten der Geräte aufwändige Sicherheitsanforderungen gegenüberstehen, die wiederum keiner bezahlen will.

Wenn dieses Szenarien genau betrachtet werden, bedeutet das, dass gezielte Assessments für solche Systeme und deren Absicherung beziehungsweise Systemhärtung immer wichtiger werden. Damit ergeben sich automatisch Fragen nach den Konsequenzen dieses Bedrohungsszenarios:

• Wie kann die wachsende Zahl an IoT-Geräten gemanagt werden?
• Können IT-Security-Schwachstellen in IoT-Geräten systematisch aufgespürt werden?
• Wie lassen sich aktuelle Sicherheitslücken durch ein geeignetes Verfahren in IoT-Geräten schließen?
• Ist eine generelle Verpflichtung für Geräte zur Security-Zertifizierung vor der Marktzulassung ein Weg?
• Wie sieht so eine Zertifizierung aus?
• Ist es nicht sinnvoll, die Haftung für Schäden, die durch eine unzureichende Cyber-Security-Strategie entstehen, weiter zu verschärfen?
• Sind die Maßnahmen zur Überprüfung bereits wirksamer Auflagen in Bezug auf Cyber Security ausreichend oder müssten sie durch gezielte Kontrolle intensiviert werden?
• Sind alle technische Möglichkeiten in Bezug auf Cyber Security ausgeschöpft?
• Wurden aktuelle Themen wie Machine- und Deep Learning berücksichtigt und optimal eingesetzt?

Gerade im Bereich der Compose-Data-Center und deren vielfältigen Verbindungen sollten Daten, die durch einen Angriff in falsche Hände gelangen, für den Angreifer völlig sinnlos sein. Das kann nach dem Prinzip gelöst werden, das schon Albert Einstein im Rahmen der Quantentechnik erkannt hat: Wenn dieser Zustand an diesem Ort ist, weiß ich nicht wann das passieren wird und wenn ich weiß, wann, dann weiß ich nicht wo. Solche Konzepte könnten vielleicht der richtige Weg sein.

Aber auch Antworten auf Fragen, wie sich Identitäten, Rollen und Berechtigungen im Identity-and-Access-Management (IAM) oder das Aufspüren von Sicherheitsvorfällen systematisch regeln lassen, werden immer relevanter. Hier geht es um die regelmäßige Analyse von Sicherheitsdatenbanken, kontinuierliches Monitoring, regelmäßige Incident Response oder Cyber-Security-Assessments. Diese Methoden sind der Schlüssel, um den Schutz gegenüber Cyber-Attacken weiter zu steigern. Hier liegt der Schwerpunkt auf der Automatisierung von Prozessen und Vorgängen, wie sie auch im Compose-Data-Center durchgeführt wird. Das geht auch zu Gunsten der Sicherheit: Denn automatisierte Prozesse führen zu weniger Fehlern, etwa dass Berechtigungen erhalten bleiben, obwohl der Benutzer schon lange das Unternehmen verlassen hat.