IT meets OT: Technische und regulatorische Sicherheit für Industrie 4.0 Maschinenschnittstellen

Ausgangslage

Im Zuge von Industrie 4.0 werden zunehmend eigenständige, intelligente und hierarchielose Maschinen- und Anlagensysteme in Produktion und Logistik eingesetzt, welche über eine sogenannte Integrationsplattform (auch IoT-Plattform) miteinander vernetzt sind und eine gemeinsame Datenwelt besitzen. Dadurch entsteht eine Verschmelzung von Informationstechnologie (IT) mit der Betriebstechnologie (OT). Für die Integration von Maschinen und Anlagen werden hierfür neue Industrie 4.0 Kommunikationsstandards und Schnittstellen wie OPC UA (Open Plattform Communication Unified Architecture) oder der UMATI Standard verwendet.

Maschinenhersteller und Integratoren stehen vor der Herausforderung: Wie 'validieren' sie die Sicherheit der Datenschnittstellen?
Die genutzten Schnittstellen und Protokolle bieten zwar konfigurierbare Sicherheitsmerkmale wie verschiedene Verschlüsselungen oder Authentisierungsmerkmale, jedoch werden diese in der Praxis normalerweise nur eingeschaltet oder konfiguriert, ohne deren Sinnhaftigkeit in Bezug auf technische Massnahmen zur Datensicherheit oder regulatorische Vorgaben nachhaltig zu beachten. Dies betrifft insbesondere regionale Unterschiede, spezifische Kundenanforderungen und unterschiedliche Datenschutzgesetze. Oftmals fehlt es den KMU im industriellen Bereich an Fachpersonal, um Konfigurationen je nach Sicherheitsanforderungen flexibel zu bewerten und zu realisieren.

Ziele

Ziel des Projektes ist die Entwicklung und Validierung eines Tools (softwarebasiertes Regelwerk/Coach) für die sicherheitstechnische und regulatorische Bewertung von Standardschnittstellen in Industrie 4.0. Das Regelwerk wird eine konsistente und vollständige Prüfung und Bewertung der Maschinenintegrationen vornehmen und Handlungsempfehlungen geben, um Ausfallzeiten sowie Ausfall- und Wiederherstellungskosten in Folge von Cyberangriffen zu reduzieren und die Datensicherheit zu erhöhen.

Ein weiteres Ziel ist die Einbeziehung länderspezifischer und regulatorischer Faktoren in die Sicherheitsbewertung. Vor dem Hintergrund des revidierten, verschärften Datenschutzgesetzes in der Schweiz und der Unterschiede zwischen den Gesetzen in der EU, der Schweiz und den USA zielt das Projekt darauf ab, KMU bei der Erfüllung dieser Anforderungen zu unterstützen.

Durch das Tool sollen Mitarbeitende, ohne eine Spezialisierung in den Bereichen Datensicherheit und Datenschutz, eine konsistente und vollständige Prüfung der Systeme vornehmen können. Weiterhin wird im Vergleich zu den bisherigen Methoden eine Effizienzsteigerung von 50% angestrebt.