Anlagenbau & Prozesstechnik

Industrie 4.0 wird Realität nur mit Security

„IT meets Industry“ bringt Automatisierer und Informationstechniker zusammen

28.10.2015 -

Bei der schnellen Entwicklung des Internet of Things (IoT) und der weltweiten Vernetzung sollte man annehmen, dass fast alle Unternehmen wissen, wie sie Automatisierungs- und Businesssysteme miteinander verbinden können und dass die Integration von Information Technology (IT) und Operational Technology (OT) umgesetzt ist – doch weit gefehlt. Das zeigte sich auch auf dem Kongress „IT meets Industry“, bei dem unterschiedliche Welten konstruktiv aufeinander prallten.

Die oft gehörte Aussage „Alles, was sich digitalisieren lässt, wird digitalisiert werden“ ist, wenn man an die Automatisierung denkt, viel zu kurz gegriffen. Digital arbeitende Steuerungen und Prozessleitsysteme, Messumformer und Regelgeräte, Stellungsregler und Motion-Controller sind seit über 30 Jahren im Einsatz. Was sich im Rahmen von Konzepten wie Industrie 4.0 verändert, ist die durchgängige Verfügbarkeit von Daten. Durchgängig heißt dabei nicht mehr nur „vom Shop-Floor zum Top-Floor“, sondern weltweit – für Servicezwecke, für Kunden-Lieferanten-Beziehungen oder für den Vergleich von KPIs verschiedener Fertigungsstätten eines Konzerns, und über die gesamte Lebenszeit einer Anlage – und darüber hinaus. Die Nutzung dieser Daten und die damit verbundene Transformation industrieller Prozesse baut auf die Eckpfeiler Software, Kommunikationslösungen, Sicherheitskonzepte und digitale Services. Mit den sich ergebenden Chancen sind jedoch auch Risiken verbunden. Neue Geschäftsmodelle bringen neue Wettbewerber auf den Markt. Die bekanntesten Beispiele kommen aus der Automobilbranche. Uber, der Online-Vermittlungsdienst für Fahrdienstleistungen, macht den etablierten Taxidiensten Konkurrenz. Google und Apple schwingen sich zu Automobilbauern auf – vielleicht heute noch nicht ganz ernst genommen, aber morgen bestimmt ein neuer Wettbewerber der etablierten Automobilhersteller. Noch fehlen im Bereich von Chemie und Pharmaindustrie vergleichbare Beispiele, doch das schließt nicht aus, dass auch hier neue Wettbewerber in den Startlöchern stehen.

Alle Branchen gleichweg sind aber betroffen von der Cyber-Kriminalität, die sich rasant weiterentwickelt und schon lange nicht mehr vor den Werkstoren halt macht.

IT meets Industry

Notwendigerweise müssen bei diesen Transformationsprozessen Experten aus IT und Automation zusammenarbeiten. Das ist keine neue Erkenntnis, aber der Umsetzungsprozess ist noch lange nicht abgeschlossen. Der Kongress „IT meets Industry“, den Anapur Ende September in Frankenthal veranstaltete, bot die Gelegenheit dazu, die unterschiedlichen Herangehensweisen zu analysieren und gegenseitiges Verständnis zu generieren. Um mit einem Zitat aus dem Abschlussvortrag zu beginnen: Franz Hoheiser-Pförtner, Chief Information Security Officer (CISO) des Wiener Krankenanstaltenverbunds, verwies auf Darwin, der vor gut 150 Jahren – nichts ahnend von der vierten industriellen Revolution – sagte, dass nicht die Stärksten einer Gattung überleben und auch nicht die Intelligentesten, sondern diejenigen, die sich Veränderungen am  besten anpassen können. Mein persönlicher Eindruck aus vielen Gesprächen der Tagung: Die Informationstechniker haben – gemäß Darwin – die besseren Überlebenschancen als die Automatisierer, wobei ich nichts über die  Stärken oder die Intelligenz dieser Gruppen aussagen will.

Worüber sich alle einig waren: Die Zusammenarbeit beider Gruppen ist notwendig. Beim aktuellen Status dieser Zusammenarbeit gingen die Meinungen allerdings auseinander: Von einer Ehe zwischen IT und OT zu sprechen, ging den meisten Teilnehmern noch zu weit, aber ein Miteinander auf der Ebene eines Teenager-Geplänkels sei es schon. Wie auch immer, wenn sich die Parteien nicht lieben lernen, wird es eine Zwangsheirat geben müssen.

Martin Schwibach, Senior Manager Business Process Management der BASF, beklagte dann auch die unterschiedlichen Denkweisen von IT und OT und wies auf die hohen Sicherheitsstandards insbesondere in der chemischen Industrie hin, die es auch bei Nutzung moderner IT-Werkzeuge zu halten gilt. Gleichzeitig betont er die Wichtigkeit und Notwendigkeit des aufeinander Zugehens, da die IT im Geschäftsalttag nicht wegzudenken ist: „Alle Operational Excellence Initiativen haben irgendwo einen IT-Kern“, so Schwibach.

Ähnlich äußerte sich Dr. Hubert B. Keller vom Karlsruher Institut für Technologie (KIT). „Die IT-Denke entspricht nicht der Denkweise der Automatisierungstechnik“, sagte Keller. „Unsere Gesellschaft hängt in allen Bereichen massiv von funktionierender Software ab. Die Automatisierung mittels softwaretechnischen Funktionen ist allgegenwärtig, aber existierende Softwaresysteme und Vorgehen sind nicht resilient, da sie meist aus Zeiten ohne Vernetzung stammen.“  Da Cyberattacken heute omnipräsent sind, müssen zukünftig hochvernetzte Systeme mit hoher Kommunikation zuverlässig, safe, secure, nachvollziehbar und verlässlich sein. Damit wird Cyber-Security eine der großen Herausforderungen im Rahmen der industriellen Nutzung von IoT und von Industrie 4.0.

Erfolg oder Bauchlandung?

Darüber sind sich alle einig: Ohne ausreichende Security wird es kein Industrie 4.0 in der Prozesstechnik geben. Security ist jedoch kein Produkt, das man von der Stange kaufen kann. Darauf wies auch Prof. Dr. Dieter Wegener, Sprecher des ZVEI-Führungskreises Industrie 4.0, hin: „Security erfordert die drei Aspekte „PPP“:  Process - auf Security abgestimmte Unternehmensprozesse, People - auf Security sensibilisierte Mitarbeiter, und Products - auf Security ausgelegte Produkte.“ Bei allen drei „P“ gibt es noch gravierende Mängel, wobei insbesondere in mittelständischen Firmen das Bewusstsein für Security-Themen noch sehr unterentwickelt ist.

Drei andere „P“ brachte Dr. Andreas Schwab, Mitglied des Europäischen Parlaments, ins Spiel und fordert den Ausbau von PPP-Initiativen mit „public private partnerships“ (siehe dazu auch den Artikel auf Seite 10).

Dr. Walter Speth, Senior Project Manager für Production IT Security bei Bayer, stellte die Frage „Wieviel investieren wir in unsere Sicherheit?“. In der Prozessindustrie eingesetzte Cyber Physical Systems (CPS), die von einzelnen Komponenten über Systemen bis zu ganzen Anlagen reichen können, müssen Betriebssicherheit – auch unter den Aspekten der funktionalen Sicherheit - und Informationssicherheit gewährleisten. Eine besondere Herausforderung dabei ist die Semantik von CPS verschiedener Hersteller, verschiedener Besitzer und verschiedener Epochen. Bei allen Security-Maßnahmen für CPS darf die Verfügbarkeit nicht unter Security Controls leiden. Speth resümierte: “Security ist nicht die zentrale Funktion eines Industrie 4.0 Standards, aber ohne Security als Standard funktioniert Industrie 4.0 nicht.“.

Fazit

Wir befinden uns in einer Phase, in der sich die klassische Automatisierungstechnik erheblich weiterentwickelt und immer stärker durch Digitalisierung und Vernetzung beeinflusst wird – thematisiert mit dem Begriff Industrie 4.0. In diesem Rahmen ist die intensive Zusammenarbeit von IT und OT gefordert, nicht zuletzt, um die inflationär wachsenden Risiken von Cyber Attacken gezielt zu bekämpfen.