Besonders sensibel ist dabei das Thema „Security“. Dazu zählen u.a. Cyber-Security, ICS-Security, Embedded- und Industrial-Security. Immer mehr Unternehmen sehen sich bei der Einführung von Industrie 4.0 mit akutem Handlungsbedarf zur Abwehr von Cyber-Bedrohungen in der Fabrikautomation und Prozesssteuerung – z.B. von Industrial Control Systems (ICS) – konfrontiert. Entsprechende Qualifikationen und organisatorische Strukturen müssen in den Unternehmen häufig erst noch aufgebaut werden. (3)
Sicherheitswelten wachsen zusammen
Das Zusammenwachsen von Produktion und IT und die daraus resultierende steigende Anzahl an Zugangsmöglichkeiten und Schnittstellen vergrößern die Angriffsfläche und somit auch das Gefährdungspotenzial. Die wohlbekannten Sicherheitslösungen in der Office-IT sind jedoch nicht eins zu eins auf die Produktions-IT übertragbar. Die produktionsnahe IT kann zwar von den Erfahrungen der IT lernen und Fehlentwicklungen vermeiden, die umzusetzenden Lösungen müssen jedoch auf Verträglichkeit mit den Rahmenbedingungen der Produktion geprüft und entsprechend angepasst werden.
So entstehen an der Schnittstelle zwischen Produktion, IT und Security neue Anforderungen an das Know-how und werden neue Rollen und Tätigkeitsprofile benötigt. Das betrifft sowohl Produktionsmitarbeiter, die über ein Grundverständnis für IT-Sicherheit verfügen sollten, aber auch Experten wie etwa Chief Information Security Officer, die ihr Know-how-Spektrum um Produktionsaspekte erweitern müssen. Das Management sollte zumindest in der Lage sein, den Stellenwert des Themas Security in Industrie 4.0 einschätzen zu können.
Gefragt ist dabei übergreifendes Know-how, besonders in den Bereichen Big Data, Industrial-IT und Security, Systems-Integration und Production-Technology, verbunden mit Denken in Systemen und interdisziplinären Zusammenhängen, um verantwortliche Entscheidungen treffen zu können.
Unterschiedliche Denkwelten treffen sich
Der Begriff „Sicherheit“ besitzt im Umfeld der Industrial-IT bekanntlich zwei Dimensionen: Safety und Security. Während Safety traditionell im Produktions- und Ingenieursbereich verwurzelt ist, kommt mit IT-Security eine Begrifflichkeit mit anderen Anforderungen aus einer scheinbar fernen Denkwelt hinzu. Aus Kosten- und Flexibilitätsgründen wird bei Industrie 4.0 eine Verschmelzung von Büro- und Anlagen-IT vorangetrieben. Das provoziert Situationen, die sowohl unter Aspekten der Security als auch Safety kritisch sein können: Security-Lücken können zu Gefährdungen im Sinne von Safety führen und umgekehrt.
Ein gegenseitiges Verständnis dieser Denkwelten ist in der Praxis also von entscheidender Bedeutung und ein wesentliches Qualifikationsmerkmal.
Auch die kontinuierliche IT-Sicherheitsüberwachung von Anlagen und Systemen erfordert ein übergreifendes, über die jeweiligen Sicherheitsdefinitionen hinausgehendes Verständnis und Know-how der Mitarbeiter. Ein Beispiel: Wurden in der Produktion zuvor Patches und Updates (wenn überhaupt) ausschließlich während definierter Wartungsfenster manuell eingespielt, so kann das künftig – wenn Produktions-IT und Office-IT eng verbunden sind – zu erheblichen Sicherheits-Problemen führen.
Hier muss es einerseits entsprechende Lösungen und auch Handlungsanweisungen für Mitarbeiter geben, andererseits ist es auch nötig, organisatorisch die Weichen entsprechend zu stellen.
Spezialisten, die in der Lage sind, Industrie-4.0-Infrastruktur sicher zu entwickeln, aufzusetzen und zu managen, sind auf dem Arbeitsmarkt derzeit kaum zu finden. Die Anforderungen sind vielfältig: Sie haben über IT, IT-Sicherheits-, Ingenieurs- und Managementkenntnisse sowie Soft Skills zu verfügen, wie sie in dieser Form und Konstellation bislang noch nicht ausgebildet werden. Nicht zuletzt deshalb fordert der Bundesverband IT-Sicherheit – TeleTrusT – daher auch eine Anpassung und Neuordnung der Ingenieursausbildung in Deutschland. (4)
Umfassende und integrierte Ausbildungen z.B. zum Big Data Scientist, die auch das Thema Security angemessen berücksichtigen, haben in Deutschland Seltenheitswert.
Im Spannungsfeld von Organisation und Produktion – Das Beispiel „CISO“
„Industrie 4.0“ wird erhebliche Auswirkungen auf die organisatorische Ein- und Anbindung des CISO (Chief Information Security Officer) und damit auch auf die Qualifikationsanforderungen an diese Position haben. (5) Entscheidende Fragen sind: Wer verantwortet das Thema Security in der Produktion? Wird es neben dem CISO dafür eine gleichberechtigte Position geben?
Wie genau das im Detail gestaltbar und operativ umsetzbar sein wird, ist derzeit noch kaum einzuschätzen.
In Gespräch beziehungsweise Erprobung sind verschiedene unterschiedliche Organisationsmodelle, die derzeit konträr diskutiert werden und über die letztendlich das Management oder der Vorstand aus unternehmenspolitischer Sicht heraus zu entscheiden hat.
Die künftige Qualifikation des CISO ist jedenfalls stark von der Wahl des Organisationsmodells abhängig: Soll der CISO auch die Security in der Produktion mitverantworten, so benötigt er zusätzliche Kenntnisse, um die Belange der Produktion angemessen zu berücksichtigen und zu bewerten.
Über die Fachkenntnisse hinaus sind zunehmend Soft Skills wie Kommunikations- und Vermittlungsfähigkeit sowie Konfliktmanagement gefragt – der CISO muss Akzeptanz in der Produktion erlangen, vermitteln und alle Beteiligten „ins Boot holen“ können.
Entscheidende Voraussetzung ist jedoch die eindeutige Definition seiner Rolle – soll er auch die Verantwortung der Security in der Produktion mitverantworten, muss der CISO womöglich Verantwortung gegenüber Management, Business-IT und Produktion tragen. Dafür ist es erforderlich, eine ganzheitliche Managerrolle aus der „Vogelperspektive“ einzunehmen. Für die inhaltliche Ausgestaltung einschlägiger Berufszertifikate wird das künftig voraussichtlich eine Aufnahme von zusätzlichem Produktions-Know-how, einschlägigen Normen und Standards im Produktionsbereich sowie Soft Skills und Management-Know-how bedeuten.
Erfahrungsaustausch mit Industrie
Es ist davon auszugehen, dass erforderliche Themen wie etwa Security-Aspekte sukzessive Eingang in die Berufsausbildung erhalten, ohne dass zwingend vollkommen neue Berufsbilder entstehen.
Während die Ausbildung mittel- und langfristig die Basis für eine adäquate Qualifikation sicherstellen sollte, kann schon jetzt eine geeignete Weiterbildung akuten Qualifizierungsbedarf kurzfristig abdecken, um Industrie 4.0 jetzt in die Praxis einführen zu können. Generell lassen sich einige wesentliche Anforderungen an Qualifizierungsmaßnahmen formulieren:
So ist es sinnvoll, kompakte und ggf. zertifizierbare Schulungsinhalte zu entwickeln. Dies führt zu einer Nachvollziehbarkeit der Qualifikation und macht eine Zusatzausbildung für die Mitarbeiter zum Wert. Schulungen sollten interdisziplinär angelegt sein und kreativ die Brücken zu unterschiedlichen Fachdisziplinen schlagen. Das erforderliche „Industrie 4.0-Know-how“ sollte daher On-the-Job erworben werden. Kaum ein Unternehmen wird es sich leisten können, Leistungsträger auf lange Zeit aus dem Betrieb „herauszureißen“.
Die relevanten Lerninhalte im Bereich IT- und Industrial-Security lassen sich heute nur eher allgemein beschreiben, ebenso wie die passende Organisation der Verantwortlichkeit von Industrial-Security im Unternehmen. Ins Detail gehende Studien liegen gegenwärtig noch nicht vor.
Die Vielfalt der möglichen Technik- und Themengebiete sowie Herangehensweisen setzt einer standardisierten Weiterbildung Grenzen. Eine große Bedeutung kommt daher dem Dialog mit der produzierenden Industrie zu, um die Anforderungen an Weiterbildung und Organisation aufzunehmen und modulare Schulungskonzepte entwickeln zu können.
Als Schulungsexperte hat qSkills gemeinsam mit KORAMIS, einem Spezialisten für Automatisierung und Industrial Security, im Jahr 2015 einen mehrtägigen Erfahrungsaustausch mit mehr als 15 Experten deutscher und österreichischer Großunternehmen, aber auch Mittelständler unterschiedlicher Branchen durchgeführt. Dazu zählen u.a. Unternehmen aus der Automobilindustrie, chemischen Industrie, der Energieversorgerbranche oder auch aus Transport und Logistik. Auf Basis dieser Erfahrungen wurde von qSkills ein eigenes Industrie 4.0 Qualifizierungskonzept entwickelt.
Bei dem Austausch wurden zum Teil sehr unterschiedliche Anforderungen, Vorgehensweisen und Konzeptionen hinsichtlich der Umsetzung des Industrie-4.0-Gedankens und der Durchführung von Weiterbildungsmaßnahmen deutlich – gleiches galt für die organisatorische Verankerung neuer Funktionen in der Industrial-Security.
Als Fazit wurde jedoch deutlich: Der Qualifizierungsbedarf ist beträchtlich. Und es sind in der Regel Großunternehmen und Konzerne, die derzeit die entsprechende Maßstäbe und Impulse setzen.
Organisations-Struktur
Die am angesprochenen Erfahrungsaustausch beteiligten Unternehmen haben – abhängig von Unternehmensgröße und Unternehmensstruktur – sehr unterschiedlich begonnen, das Thema Industrial-Security in ihre Organisationen einzubinden. Hierbei lassen sich stark zentralisierte oder dezentralisierte Strukturen unterscheiden.
Hinsichtlich eines strukturellen Organisationsaufbaus wurde zum einen diskutiert, das Thema Industrial-Security von der IT verantworten zu lassen, die somit auch an die Produktion angepasste Richtlinien verfasst (Richtlinien-Kompetenz). Zum anderen gibt es aber auch Varianten, in denen Unternehmen die Industrial-Security unabhängig von der Office-IT autark der Produktion zugeordnet haben und diese somit eigenverantwortlich bleibt – dazu wird dann ein eigener Informations-Sicherheits-Beauftragter/ Officer „Produktion“ (ISO-Prod) eingesetzt.
Variante 1:
Ein zentraler CISO verantwortet hierbei sowohl die Office- als auch die Produktions-IT und gibt von der Zentrale aus Prozesse und Richtlinien für beide Bereiche vor. Für die Umsetzung schaffen die einzelnen Niederlassungen/Werke dann unterschiedliche Rollen für beide Bereiche. Die lokalen Rollen lassen sich je nach Größe der Niederlassung beziehungsweise des Werks unterschiedlich gestalten – alle Berichtswege laufen jedoch bei dem einen zentralen CISO zusammen.
Variante 2:
Diese Variante basiert ebenfalls auf einen zentralen CISO. Im Unterschied zu Variante 1 wird die Produktions- und Office-IT möglichst lange zusammenhängend beziehungsweise „linear“ verantwortet. Hierbei greift dann ein lokaler ISO für dedizierte Produktions-IT-Themen auf lokale Industrial-Security-Experten zurück.
Variante 3:
Eine dritte Variante trennt die beiden IT-Linien für Office und Produktion strikt und lässt deren Berichtswege erst im zentralen Management zusammenlaufen. Unabhängig von der konkreten Umsetzungsform, ist jedoch immer eine abgestimmte Zusammenarbeit zwischen Produktions- und Office-IT zu entwickeln, um von den Erfahrungen und Fehlentwicklungen der Vergangenheit lernen zu können.
Security Strategist
Darüber hinaus ist zur Zeit insbesondere bei Großunternehmen und Konzernen die Rolle eines „Security Strategist“ in der Diskussion. Getragen ist dies von der Erfahrung, dass ein klassischer CISO nur eingeschränkte Möglichkeit zu einer gesamtheitlichen Betrachtung hat bzw. in der Regel nur beschränkt über ausreichende Budgetverantwortung verfügt.
Aufgabe des Security Strategist ist die strategische Ausrichtung der Security und die ganzheitliche Betrachtung von Sicherheitsaspekten unter Einbeziehung sowohl der Wertschöpfungsketten als auch von Beschaffung und HR. Der Security Strategist ist direkt dem Vorstand unterstellt und hat Budgetverantwortung, um Security Strategien im Unternehmen auch wirkungsvoll umsetzen zu können.
Schulungen
Als Zielgruppen für das Thema Industrial-Security kommt ein breiter Adressatenkreis sowohl in der Unternehmensleitung als auch in operativen Ebenen infrage.
Seitens der Wertschöpfungskette– Betreiber, Integrator und Hersteller – lassen sich drei Hauptgruppen definieren: das Management, Industrial-Security-Experten sowie involvierte Mitarbeiter nebst Externen. In der letzten Gruppe sind vor allem Awareness-Schulungen gefragt. Innerhalb der Experten-Zielgruppe ist ein differenziertes Niveau an Vorkenntnissen und Erfahrungswerten zu erwarten.
Mit dem Thema Industrial-Security betrauen Unternehmen – je nach Größe und Struktur – Mitarbeiter unterschiedlichster Abteilungen und Erfahrungswelten. Deren unspezifische Vorkenntnisse gilt es bei der zielgruppengerechten Ansprache der Mitarbeiter in Schulungen sorgsam zu berücksichtigen.
Grundsätzlich eignen sich für Industrial Security sowohl Mitarbeiter aus den Bereichen „IT“ und „Produktion“. Die Frage, ob neben Produktions- und Security-Kenntnissen auch vertiefende IT-Kenntnisse für die Rolle des Industrial-Security-Experten notwendig sind, haben die Teilnehmer des Erfahrungsaustauschs klar mit Ja beantwortet.
Als grundlegende Ansatzpunkte für Weiterbildungsmaßnahmen haben sich in dem Expertenaustausch herauskristallisiert:
- modulartige Inhouse-Schulungseinheiten,
- ein modular aufgebautes Schulungsangebot mit unterschiedlicher Lernintensität und Trainingsdauer, um den Know-how-Anforderungen der verschiedenen Zielgruppen (Management, Führungskräfte, Experten, Facharbeiter) gerecht zu werden,
- eine besondere Berücksichtigung von Führungskräften als Promotor für die Qualifizierung der Fachkräfte,
- Brückenseminare zur interdisziplinären Vermittlung von Technikwissen (IT- und Produktions-Know-how, gemeinsames Begriffsverständnis usw.),
- die Berücksichtigung „weicher“ Faktoren (z. B. Kooperations- und Konfliktlösungsfähigkeit), interdisziplinäre (Produktions-, IT- und IT-Security-Know-how) und abteilungsübergreifende Trainings, um ein gemeinsames Verständnis, eine gemeinsame Sprache und gegenseitige Akzeptanz aufzubauen,
- eine Kombination aus Präsenzschulungen, Webinaren und E-Learning-Angeboten, sowie Schulungen für Produktionsmitarbeiter entsprechend der Vorkenntnisse der jeweiligen Person oder des Unternehmens.
- Die Referenten oder Trainer der Qualifizierungsmaßnahmen sollten die zu vermittelnden Inhalte aus der Praxis kennen. Dazu zählen insbesondere Experten mit mehrjähriger Erfahrung aus dem Betrieb von industriellen Anlagen, aber auch IT-Sicherheitsexperten, die über langjährige praktische Erfahrung in der Beratung verfügen oder in IT-Sicherheitsprojekten tätig sind. Ein Tandem von zwei Referenten aus Produktion und aus IT-Sicherheit ist ebenfalls sinnvoll.
Die Zielgruppen für Schulungen mit einem Sicherheits-Fokus sind unterschiedlich. Während z.B. für Anlagenbediener spezifische Sensibilisierungsmaßnahmen in der Regel ausreichen, müssen andere Zielgruppen ausführlicher geschult werden. Dies betrifft insbesondere solche Mitarbeiter, die für Planung, Entwicklung, Integration bzw. Errichtung, Betrieb und Wartung verantwortlich und darin maßgeblich involviert sind und somit Cyber-Sicherheit an dieser Stelle aktiv mitgestalten.
Auch Management oder Produktionsverantwortliche sollten in einem angemessenen Umfang qualifiziert werden, der über typische Sensibilisierung hinausgeht. (6,7)
Das BSI unterscheidet im Wesentlichen zwei Hauptzielgruppen für Schulungen:
- Management und Produktionsverantwortliche
- Mitarbeiter mit Verantwortung und/oder Einflussmöglichkeiten auf Cyber-Sicherheit eines ICS.
Management
Zum Management werden Produktionsverantwortliche, Management (C-Level), ggf. (neue) Mitarbeiter mit operativem Bezug zu Security gezählt. Für diese Gruppe ist eine Einstiegsveranstaltung geeignet.
Hauptziele einer etwa eintägigen Schulung sind das Aufzeigen der Bedrohungslage, Verdeutlichung des Handlungsbedarfs, Vermittlung eines grundlegenden Verständnisses von elementaren Begrifflichkeiten und systematischen Ansätzen. Es sollen Kenntnisse der wichtigsten organisatorischen und technischen Maßnahmen auf abstraktem Niveau, Schaffung der Voraussetzungen vermittelt werden, um Projekte und Maßnahmen anzustoßen und diese auf Management-Ebene nachvollziehen zu können.
Produktionsverantwortliche
Zu der Zielgruppe zählen u.a. Produktions-CISO, Ingenieure, Infrastruktur-Betriebspersonal, Wartungstechniker, Instandhalter – also, die Mitarbeiter, die einen technischen Hintergrund in ICS haben und mit der Planung, Entwicklung, Integration/Errichtung, Betrieb oder Instandhaltung betraut sind. Der Umfang wird mit drei bis fünf Tagen veranschlagt.
Ziele sind u.a. die Vermittlung eines grundlegenden Verständnisses der relevanten Begrifflichkeiten, Technologien und Elemente der IT bzw. IT-Sicherheit. Weiterhin geht es darum, ein fundiertes Verständnis der Bedrohungslage zur Bewertung der eigenen Gefährdungslage und die Grundsätze eines ISMS und vertiefende Kenntnisse von organisatorischen und technischen Maßnahmen zu vermitteln. Konkrete Ansatzpunkte für die Umsetzung im operativen Betrieb bzw. bei der Planung neuer Anlagen oder bei der Leitung von Sicherheitsprojekten (ggf. mit externer Beauftragung) sind weitere Lernziele für Produktionsverantwortliche.
Anspruch an diese Qualifikationsmaßnahme ist es, den Teilnehmern wesentliche Einblicke in die Möglichkeiten von Industrie 4.0 zu gewähren und ihnen die Fähigkeit zu verleihen, Gesamtkonzepte bewerten zu können. Eigenverantwortliche operative Aufgaben zu sämtlichen behandelten Themen oder Fortbildungsmaßnahmen ohne Unterstützung Dritter durchzuführen, ist hingegen nicht das Ziel.
LITERATUR
1) Spath, Dieter (Hrsg.)/Ganschar, Oliver/Gerlach, Stefan/Hämmerle, Moritz/Krause, Tobias/Schlund/Sebastian: „Produktionsarbeit der Zukunft – Industrie 4.0“, Stuttgart 2013
2) Plattform Industrie 4.0: „Umsetzungsstrategie Industrie 4.0 – Ergebnisbericht der Plattform Industrie 4.0“, 2015
3) Lichtblau, Karl/ Stich, Volker/Bertenrath, Roman/ Blum, Matthias/Bleider, Martin/Millack, Agnes/Schmitt, Katharina/Schmitz, Edgar/ Schröter, Moritz: „Industrie 4.0 Readiness“, Aachen, Köln 2015
4) TeleTrusT: „Zukunft des Industriestandortes Deutschland: IT-Sicherheit als Qualitätsmerkmal für „Made in Germany“/Jetzt Rahmenbedingungen für sichere „Industrie 4.0“ schaffen“, Pressemitteilung vom 6.10.2014
5) Jacobs, Christian/Krammel, Michael: „Industrial-Security jenseits der Technik“, In: kes-Zeitschrift für Informationssicherheit 5/2015
6) Bundesamt für Sicherheit in der Informationstechnik: „ICS Security Kompendium“, 2013
7) Bundesamt für Sicherheit in der Informationstechnik: „ Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld, 2015