"Wir haben Kunden, die immer noch auf Windows 98 setzen"

Electrosuisse hat zum Gespräch über Industrie 4.0 geladen. Rund 20 Teilnehmer reisten am 28. Juni zum Campus Brugg-Windisch der Fachhochschule Nordwestschweiz, vorwiegend Projektleiter aus der Industrie und Automationsbranche, etwa von Swissmem, SBB, Wago Contact oder Siemens Schweiz.

Markus Brändle, Group Head of Cyber Security bei ABB, referierte zum Einstieg, danach leitete Guido Santner von Electrosuisse die Diskussion. Im Podium sassen neben Brändle auch Michael Rey und Lukas Ruf. Rey ist Chef von Rey Automation aus Sirnach, seit über 30 Jahren auf die Integration von Automationslösungen für Industriefirmen spezialisiert. Ruf ist CEO von Consecom und hat mehr als 20 Jahre Consulting-Erfahrung. Er ist Experte für IT-Sicherheit, Identitäts- und Zugriffsmanagement.

Zwei unterschiedliche Welten

Brändle strich die Unterschiede zwischen der Business-IT und Industrie-Welt heraus. Moderne IT-Systeme würden heute oft auf Commodity-Hardware basieren und auf TCP/IP-Kommunikation setzen. Bei industriellen Anlagen sei das nicht der Fall. Da gebe es meist spezialisierte Hardware und viele unterschiedliche Kommunikationsprotokolle und Interface-Spezifizierungen.

Die Produktion empfinde die IT zum Teil sogar als störend, sagte Brändle. Und die IT-Fachkräfte würden es nicht goutieren, wenn ihnen jemand reinrede. Die IT könne sich aber nicht von den Produktionsanlagen abschotten. Schliesslich verdiene ein Industriebetrieb sein Geld normalerweise immer noch mit der Produktion von Waren und nicht mit der IT, sagte Brändle.

Verantwortungswirrwarr

Auch bei der Beschaffung gehen Produktion und IT laut Brändle unterschiedlich vor. Die IT wolle möglichst viel selbst machen, und die Lieferanten seien unterschiedlich, konstatierte Brändle. Oft sei nicht einmal klar, wer die Verantwortung für die Sicherheit von IT und Anlagen trage. Der CISO (Chief Information Security Officer) aus der IT-Abteilung oder der technische Vertriebs- oder Produktionschef? Solange ein Unternehmen funktionierende Schnittstellen habe, gut kommuniziere und klar definiere, wer für was verantwortlich sei, spiele diese Frage aber eigentlich gar keine Rolle.

Um all diese Probleme zu lösen, müsse sich die IT weiterbilden und auch mit Embedded-Geräten auseinandersetzen, die sie oft gar nicht kenne. Im Gegenzug müsse aber auch die Produktion einen Schritt auf die IT zumachen und besser mit ihr kommunizieren, forderte Brändle.

Was heisst hier sicher?

Laut Brändle ist es für die beiden Abteilungen auch eine Herausforderung, eine gemeinsame Sprache und einheitliche Terminologien zu finden. Die IT-Fachkräfte und die Automationsingenieure würden oft aneinander vorbeireden und hätten unterschiedliche Ziele. Etwa beim Thema Sicherheit. Für die Business-IT bedeute Sicherheit in erster Linie die Vertraulichkeit und Integrität von Daten. Für den Betrieb und die Produktion hingegen seien Verfügbarkeit und Uptime das Wichtigste.

Im Gegensatz zur schnellebigen IT seien die Anlagen in der eher statischen Industrie oft 25 Jahre oder länger im Einsatz. "Wir haben Kunden, die immer noch auf Windows 98 setzen", sagte Brändle.

Schwierige Risikoabschätzung

Für industrielle Anlagen gibt es laut Brändle noch keine guten Risikomanagement-Prozesse. Das sei erstaunlich, da es beim Thema Sicherheit vor allem folgende Frage zu beantworten gebe: Welches Risiko ist ein Unternehmen bereit zu akzeptieren? Es sei darum wichtig, Maschinen von Anfang an "secure by design" zu entwickeln. "Um Anlagen sicher zu machen, braucht es aber mehr", sagte Brändle. Oft würden Unternehmen auch Fehler bei der Inbetriebnahme machen, etwa Default-Passwörter nicht ändern, Ports unnötig offen lassen oder ungenutzte Services nicht abschalten.

"Wir gingen Security in der Industrie lange zu punktuell an", sagte Brändle. Ein Sicherheitskonzept müsse heute auch Sensoren, Controller und Leitsysteme umfassen. Beim Internet der Dinge sei Vorsicht geboten: "Wir müssen uns fragen, ob wirklich jede Anlage ein Wireless-Interface braucht."

Auch hier wies Brändle auf die Unterschiede zwischen der IT und der Produktion hin. Die IT wolle Patches immer sofort einspielen, was grundsätzlich lobenswert sei. In der Produktion müsse ein Patch aber nicht zwingend innerhalb von 24 Stunden installiert sein. Es brauche immer zuerst eine Netzwerk- und Risikoanalyse, was vielen ABB-Kunden Mühe bereite. Zum Teile fehle ihnen der Überblick über ihre Anlagen. Oft gebe es nicht mal ein vernünftiges Systemdiagramm, sagte Brändle. Seine Empfehlung: "Zuerst inhouse die Arbeit machen, erst dann externe Hilfe holen!"

Es braucht neue Fähigkeiten

Angesprochen auf die Industrie 4.0 und das Internet der Dinge reagierte Brändle trocken: "Das Internet der Dinge gibt es in der Industrie schon seit den frühen 70er-Jahren." Maschinen und Anlagen würden schon lange miteinander kommunizieren, das sei schon längst Realität. Bei der ABB finde sich die Industrie 4.0 in der Sparte IOTSP, was für "Internet of Things, Services and People" steht. Das moderne Internet der Dinge betrachtet Brändle skeptisch: "Die Hersteller fokussieren leider auf Technologien und coole neue Features, statt die Sicherheit in den Vordergrund zu stellen."

ABB suche Leute, die es auf dem Markt eigentlich kaum gebe, sagte Brändle. Nämlich solche, die Wissen in Elektronik, Netzwerken, Elektromechanik, Automatisierung, IT- und Cybersecurity mitbringen. Die meisten Kandidaten seien entweder stark in der Automatisierung oder stark in IT-Netzwerken und klassischer IT-Sicherheit. Beides zusammen gebe es nur selten, sagte Brändle.