Eine Recherche des ct-Magazins sorgte kürzlich gleichermaßen für tiefe Sorgenfalten und heftiges Kopfschütteln: Private Heizungen, die sich via Internet manipulieren lassen, Anlagen zur Steuerung von Gefängnisduschen, die im „offenen Vollzug“ freigiebig Passwörter ausplaudern, ein Blockheizkraftwerk, das durch wenige Maus-Klicks seine Kunden im Dunkeln stehen ließe oder eine Brauerei, die remote trockengelegt werden kann. Es sind solche realen Beispiele der virtuellen Möglichkeiten, die zeigen, dass wir auf dem Weg in die „Industrie 4.0“ noch einiges an Basis- und Aufklärungsarbeit zu leisten haben.

Die nächste Evolutionsstufe der industriellen Wertschöpfung ist in der Tat verlockend. Maschinen, und Sensoren, die über das "Internet der Dinge" ihre Daten austauschen, ein Zusammenwachsen zwischen Produktions- und Unternehmens-IT, das zu mehr Effizienz und höherer Flexibilität in dezentralen, hochgradig vernetzten Systemen führt. Hier kann sich Deutschland in Branchen wie dem Automobil-, Maschinen- und Anlagenbau und darüber hinaus fit für die globalen Herausforderungen des 21. Jahrhunderts machen.

Doch die Recherchen des ct-Magazins belegen: Es fehlt mitunter die Sensibilität für die potentiellen Sicherheitsrisiken. Die klassische Produktions-IT hinkt hinterher. Zurecht fordert die „Plattform Industrie 4.0“  mit ihren tragenden Verbänden BITKOM, VDMA und ZVEI daher die Ausarbeitung integrierte Sicherheitskonzepte, -architekturen und –standards. Noch zu entwickelnde Referenzarchitekturen könnten hier Orientierungshilfe geben.

Klassische Softwareanbieter und IT-Anbieter müssen ihren Erfahrungsvorsprung im Umgang mit Bedrohungsszenarien beim Thema Security und Privacy einbringen. Microsoft hat beispielsweise schon zu Beginn des Jahrtausends auf verstärkte kriminelle Cyber-Angriffen mit Initiativen wie „Trustworthing Computing“ oder dem „Security Development Lifecycle“ reagiert und das Thema Sicherheit integral in die Entwicklung und den Lebenszyklus seiner Produkte aufgenommen. Und wir unterstützen ausdrücklich das Engagement des Staates, dass er durch die Gründung der Allianz für Cyber-Sicherheit als einer Initiative des BSI und des BITKOM dokumentiert hat.

Allerdings zeigen die oben genannten Fälle: Die Bedrohungen sind keineswegs Zukunftsmusik. Einige finden hier und jetzt statt. Deshalb brauchen wir neben dem breiten Schulterschluss auf dem Weg in die Zukunftstechnologien der Industrie  4.0 bereits heute mehr Sensibilität für die losen Enden bestehender Systeme.

Hier heißt es auch: Back to the Basics! Das „ceterum censeo“ das wir in der Unternehmens-IT wie im Consumer-Bereich seit Jahren hören, muss auch die Konzeption von internetfähigen Maschinen, Heizungen & Co erreichen: Firewalls, externer Zugriff möglichst nur via VPN, ausreichender Passwortschutz, Verschlüsselung sensibler Daten – als das gehört zum Basisschutz, ebenso wie  klare Regeln und Strukturen für den virtuellen wie den physischen Zugriff auf Systeme: Der oberste Chef unserer Global Foundation Services, der bei Microsoft für die Rechenzentren zuständig ist, hat keinen Zugang zum Datacenter.

Er hat keinen Grund, sich dort aufzuhalten. Wenn er sein Badge vor die Tür hält, bleibt diese zu.

Posted by Michael Kranawetter
Chief Security Advisor bei Microsoft Deutschland

Blogeintrag auch auf http://blogs.technet.com/b/germany/ erschienen