Eine Recherche des Fachmagazins c’t sorgte kürzlich gleichermaßen für tiefe Sorgenfalten und heftiges Kopfschütteln: Private Heizungen, die sich via Internet manipulieren lassen; Anlagen zur Steuerung von Gefängnisduschen, die im „offenen Vollzug“ freigebig Passwörter ausplaudern; ein Blockheizkraftwerk, das durch wenige Maus-Klicks seine Kunden im Dunkeln stehen ließe oder eine Brauerei, die remote trockengelegt werden kann. Es sind solche realen Beispiele der virtuellen Möglichkeiten, die zeigen, dass wir auf dem Weg zur „Industrie 4.0“ noch einiges an Basis- und Aufklärungsarbeit zu leisten haben.
Die nächste Evolutionsstufe der industriellen Wertschöpfung ist in der Tat verlockend. Maschinen, und Sensoren, die über das "Internet der Dinge" ihre Daten austauschen, ein Zusammenwachsen zwischen Produktions- und Unternehmens-IT, das zu mehr Effizienz und höherer Flexibilität in dezentralen, hochgradig vernetzten Systemen führt. Hier kann sich Deutschland in Branchen wie dem Automobil-, Maschinen- oder Anlagenbau fit machen für die globalen Herausforderungen des 21. Jahrhunderts.
Doch die Recherchen der c’t belegen: Es fehlt mitunter die Sensibilität für die potentiellen Sicherheitsrisiken. Die klassische Produktions-IT hinkt hinterher. Zurecht fordert die „Plattform Industrie 4.0“ mit ihren tragenden Verbänden BITKOM, VDMA und ZVEI daher das Ausarbeiten integrierter Sicherheitskonzepte, -architekturen und standards.Noch zu entwickelnde Referenzarchitekturen könnten hier Orientierungshilfe geben.
Klassische Softwareanbieter und IT-Anbieter müssen ihren Erfahrungsvorsprung im Umgang mit Bedrohungsszenarien beim Thema Security und Privacy einbringen. Microsoft hat beispielsweise schon zu Beginn des Jahrtausends auf verstärkte kriminelle Cyber-Angriffen mit Initiativen wie „Trustworthing Computing“ oder dem „Security Development Lifecycle“ reagiert und das Thema Sicherheit integral in die Entwicklung und den Lebenszyklus seiner Produkte aufgenommen. Und wir unterstützen ausdrücklich das Engagement des Staates, dass er durch die Gründung der Allianz für Cyber-Sicherheit untermauert hat. Die Allianz ist eine Initiative des BSI und des BITKOM.
Allerdings zeigen die eingangs zitierten Fälle: Die Bedrohungen sind keineswegs Zukunftsmusik. Einige finden hier und jetzt statt. Deshalb brauchen wir neben dem breiten Schulterschluss auf dem Weg zur Industrie 4.0 bereits heute mehr Sensibilität für die losen Enden bestehender Systeme.
Hier heißt es auch: Zurück zu den Anfängen. Das „ceterum censeo“, das wir in der Unternehmens-IT wie im Consumer-Bereich seit Jahren hören, muss auch die Konzeption von internetfähigen Maschinen, Heizungen & Co erreichen: Firewalls, externer Zugriff möglichst nur via VPN, ausreichender Passwortschutz, Verschlüsselung sensibler Daten – als das gehört zum Basisschutz, ebenso wie klare Regeln und Strukturen für den virtuellen wie den physischen Zugriff auf Systeme.
Hierzu nur ein kleines Beispiel: Der Leiter unserer Global Foundation Services, also quasi der Herr über alle Microsoft-Rechenzentren, hat selbst keinen Zugang zum Datacenter. Sein Job verlangt keinen Zutritt zu den Data Centern. Also bleibt die Tür auch zu, wenn er seinen Mitarbeiterausweis ans Zutrittskontrollsystem hält.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.