• Annika Selzer
  • Harald Schöning
  • Martin Laabs
  • Sinisa Dukanovic
  • Thorsten Henkel

IT-Sicherheit in Industrie 4.0

Mit Bedrohungen und Risiken umgehen
Mehr aus der Reihe: Moderne Produktion
  • 1. Auflage
  • Erscheinungsjahr: 2020
  • Seiten: 236
  • Sprache: Deutsch
Zum Shop

Das Industrie 4.0-Konzept soll über die Digitalisierung, Harmonisierung und Vernetzung von Wertschöpfungsprozessen neue wirtschaftliche Entwicklungschancen für den Hightech-Produktionsstandort Deutschland schaffen. Diese Wachstumschancen, das zeigen jüngste Entwicklungen, lassen sich aber ökonomisch nur vorteilhaft nutzen, wenn Produktionssicherheit auf allen Wertschöpfungsstufen gewährleistet werden kann. Andernfalls drohen Datenverluste, Spionage und Sabotage, die in einem allseits vernetzten Steuerungs- und Kommunikationssystem zu großen Schäden führen. Der Band führt in leicht verständlicher, klar gegliederter Form in das Thema der Produktionssicherheit ein und verdeutlicht damit die Relevanz von Integrität, Verfügbarkeit, Zurechenbarkeit und Vertraulichkeit betrieblicher Daten.

  • Deckblatt
    1
    -
    3
  • Titelseite
    4
    -
    4
  • Impressum
    5
    -
    5
  • Inhaltsverzeichnis
    6
    -
    11
  • 1 Einführung
    12
    -
    18
  • +
    2 Zum Begriff Security im Zusammenhang mit Industrie 4.0
    19
    -
    39
    • +
      2.1 Paradigmenwechsel in der Produktion
      19
      -
      20
      • 2.1.1 Industrie gestern und heute
        19
        -
        19
      • 2.1.2 Paradigmenwechsel in der Produktion
        19
        -
        20
    • 2.2 Security meets Safety
      21
      -
      21
    • +
      2.3 Aus Erfahrung lernen
      22
      -
      24
      • 2.3.1 Klassische IT
        22
        -
        22
      • 2.3.2 Produktions-IT
        23
        -
        23
      • 2.3.3 Bestandssysteme
        23
        -
        24
    • 2.4 Warum Konzepte aus der Office-IT nicht einfach auf Industrie 4.0 übertragen werden können
      25
      -
      26
    • +
      2.5 Wie sicher ist sicher?
      27
      -
      30
      • 2.5.1 Wieso es keine absolute Sicherheit gibt
        27
        -
        28
      • 2.5.2 Sicherheit ist eine momentane Bestandsaufnahme
        29
        -
        28
      • 2.5.3 Sicherheit und Risiko
        29
        -
        29
      • 2.5.4 Funktionale und nichtfunktionale Sicherheitsaspekte
        30
        -
        30
      • 2.5.5 Was bedeutet also nun Sicherheit?
        30
        -
        30
    • 2.6 Sicherheit und RAMI
      31
      -
      33
    • +
      2.7 Schutzziele der IT-Sicherheit
      34
      -
      37
      • 2.7.1 Was sind also die Schutzziele der IT-Sicherheit für Industrie 4.0?
        35
        -
        35
      • 2.7.2 IP-Schutz der Produktionsdaten (Daten-Vertraulichkeit)
        36
        -
        36
      • 2.7.3 Authentizität von Komponenten und Daten
        37
        -
        36
      • 2.7.4 Piraterieschutz (Daten- und Objekt-Integrität)
        37
        -
        36
      • 2.7.5 Verfügbarkeit der Produktion (Daten- und Objekt-Verfügbarkeit)
        36
        -
        37
    • +
      2.8 Betrachtungsumfang von Security
      38
      -
      39
      • 2.8.1 Security
        38
        -
        37
      • 2.8.2 Security by Design
        38
        -
        38
      • 2.8.3 Security at Large
        38
        -
        39
  • +
    3 Angriffe – Szenarien und Vorfälle
    40
    -
    47
    • 3.1 Angriffe gegen das Schutzziel Verfügbarkeit
      41
      -
      43
    • 3.2 Angriffe gegen das Schutzziel Vertraulichkeit
      44
      -
      44
    • 3.3 Angriffe gegen das Schutzziel Authentizität
      45
      -
      45
    • 3.4 Angriffe gegen das Schutzziel Integrität
      45
      -
      47
  • +
    4 Bedrohungsmodellierung
    48
    -
    87
    • 4.1 Die IUNO-Methode zur Bedrohungs- und Risikobewertung
      49
      -
      51
    • 4.2 Anwendungsbeispiel zur Bedrohungs- und Risikobewertung
      52
      -
      53
    • +
      4.3 Informationsgewinnung
      54
      -
      68
      • +
        4.3.1 Erfassung der Funktionen und Annahmen
        54
        -
        56
        • 4.3.1.1 Identifizierung und Beschreibung der Funktionen des Untersuchungsgegenstands
          55
          -
          54
        • 4.3.1.2 Erfassung vorhandener Sicherheitsmechanismen und ihrer Abhängigkeiten
          55
          -
          54
        • 4.3.1.3 Erfassung von vertrauenswürdigen Akteuren und Umgebungen
          55
          -
          55
        • 4.3.1.4 Erfassung von Annahmen auf Organisationsebene
          55
          -
          56
      • +
        4.3.2 Erfassung der Architektur
        57
        -
        64
        • 4.3.2.1 Tabellarische Erfassung der Schlüsselmerkmale
          58
          -
          57
        • 4.3.2.2 Tabellarische Erfassung von Informationen und Begründungen zur Architektur
          58
          -
          58
        • 4.3.2.3 Erfassung des internen Aufbaus auf Basis eines Datenflussdiagramms
          59
          -
          64
        • 4.3.2.4 Erfassen bekannter Schwachstellen und Verwundbarkeiten aus Vorversionen
          64
          -
          64
      • +
        4.3.3 Erfassung der Angriffsfläche, Akteure und Drittanbieter-Komponenten
        65
        -
        68
        • 4.3.3.1 Erfassung der Akteure
          66
          -
          66
        • 4.3.3.2 Erfassung exponierter Entitäten
          67
          -
          66
        • 4.3.3.3 Erfassung der Sicherheitseigenschaften von Drittanbieter-Komponenten
          66
          -
          68
    • +
      4.4 Schutzbedarfsermittlung
      69
      -
      80
      • 4.4.1 Definition eines Angreifermodells
        69
        -
        70
      • +
        4.4.1 Erstellung eines Wertekatalogs
        71
        -
        78
        • 4.4.1.1 Erfassung von Stakeholdern
          71
          -
          71
        • 4.4.1.2 Erfassung von Werten (Assets)
          72
          -
          72
        • 4.4.1.3 Erfassung von Werten auf Basis von Asset-Klassen nach Common Criteria
          73
          -
          72
        • 4.4.1.4 Erfassung von Assets und Stakeholdern auf Basis von CORAS Asset-Diagrammen
          73
          -
          75
        • 4.4.1.5 Erfassung von Datenrepräsentationen der Assets
          75
          -
          78
      • 4.4.2 Identifizierung und Bewertung der Schutzziele
        78
        -
        80
    • +
      4.5 Analyse der Bedrohungen
      81
      -
      87
      • 4.5.1 Identifikation der Bedrohungen
        81
        -
        80
      • 4.5.2 Erfassung von Bedrohungen mittels STRIDE durch Ableitung aus Datenflussdiagrammen
        81
        -
        82
      • 4.5.3 Erfassung von Bedrohungen auf Basis von CORAS-Bedrohungsdiagrammen
        82
        -
        87
  • +
    5 Risikomanagement für Industrie 4.0
    88
    -
    132
    • 5.1 Der Risikomanagementprozess
      88
      -
      88
    • 5.2 Risikomodellierung und Risikoanalyse
      89
      -
      90
    • 5.3 Die IUNO-Methode als Vorgehensweise zur Risikobewertung
      91
      -
      95
    • 5.4 Ablauf der Risikoanalyse
      96
      -
      101
    • +
      5.5 Berechnung der Verlustfrequenz
      102
      -
      108
      • 5.5.1 Bedrohungsfrequenz bestimmen
        103
        -
        103
      • 5.5.2 Verwundbarkeit bestimmen
        104
        -
        106
      • 5.5.3 Verlustfrequenz aus Bedrohungsfrequenz und Verwundbarkeit ableiten
        106
        -
        108
    • +
      5.6 Berechnung der erwarteten Verlusthöhe anhand von Verlustformen und Aktionen
      109
      -
      132
      • +
        5.6.1 Verlustformen und Aktionen erfassen
        109
        -
        114
        • 5.6.1.1 Produktivität
          110
          -
          109
        • 5.6.2.2 Reaktion
          110
          -
          110
        • 5.6.2.3 Wiederbeschaffung
          111
          -
          110
        • 5.6.2.4 Wettbewerbsvorteil
          111
          -
          111
        • 5.6.2.5 Bußgelder und Rechtsurteile
          112
          -
          111
        • 5.6.2.6 Rufschädigung
          112
          -
          112
        • 5.6.2.7 Safety
          112
          -
          114
      • 5.6.2 Erwartete Verlusthöhe berechnen
        115
        -
        117
      • +
        5.6.3 Erwartete Verlusthöhe bei Safety-Verlusten berechnen
        118
        -
        118
        • 5.6.3.1 Bestimmung der Verlusthöhe bei Safety-Verlusten
          118
          -
          118
      • 5.6.4 Berechnung des resultierenden Risikos aus Verlustfrequenz und erwarteter Verlusthöhe
        119
        -
        120
      • +
        5.6.5 Verluste messen und abschätzen
        121
        -
        132
        • 5.6.5.1 Indikatoren
          122
          -
          130
        • 5.6.5.2 Einbettung der Risikoanalyse in das Risikomanagement
          130
          -
          132
  • +
    6 Elemente eines Sicherheitskonzepts
    133
    -
    186
    • +
      6.1 Architekturen für IT-Sicherheit in Industrie 4.0
      133
      -
      143
      • 6.1.1 IT-Sicherheit bei der Herstellung von Komponenten
        134
        -
        135
      • 6.1.2 IT-Sicherheit bei der Konfiguration von Komponenten
        136
        -
        138
      • +
        6.1.3 IT-Sicherheit der zum Zugang benutzten Anwendungen
        139
        -
        143
        • 6.1.3.1 Sicherheit bei der Auslagerung von Funktionalität auf externe Systeme
          140
          -
          140
        • 6.1.3.2 Best Practices Kryptographie
          141
          -
          141
        • 6.1.3.3 Weitere Aspekte
          141
          -
          143
    • 6.2 Digitale Identitäten
      144
      -
      144
    • 6.3 Digital Rights Management
      145
      -
      147
    • 6.4 Piraterieschutz
      148
      -
      148
    • 6.5 Normen, Standards und Best Practices
      149
      -
      161
    • 6.6 SIEM
      162
      -
      166
    • +
      6.7 Künstliche Intelligenz und Machine Learning in der Industrie 4.0
      167
      -
      179
      • 6.7.1 Begriffsklärung
        167
        -
        167
      • +
        6.7.2 Lernverfahren
        168
        -
        171
        • 6.7.2.1 Überwachtes Lernen
          168
          -
          168
        • 6.7.2.2 Unüberwachtes Lernen
          169
          -
          168
        • 6.7.2.3 Teilüberwachtes Lernen
          169
          -
          169
        • 6.7.2.4 Bestärkendes Lernen
          170
          -
          169
        • 6.7.2.5 Deep Learning
          169
          -
          171
      • +
        6.7.3 Anwendung von Machine Learning in der Industrie 4.0
        172
        -
        176
        • 6.7.3.1 Produktivitätssteigernde KI
          173
          -
          173
        • 6.7.3.2 Angriffserkennung in industriellen Anlagen
          173
          -
          176
      • 6.7.4 IT-Sicherheit bei der Verwendung von KI und ML in der Industrie 4.0
        176
        -
        179
    • 6.8 Organisationsanforderungen für IT-Sicherheit in Industrie 4.0
      180
      -
      183
    • 6.9 Mitarbeiter als Risiko – Qualifikation und Schaffung von Sicherheitsbewusstsein
      183
      -
      186
  • +
    7 Ein Blick auf das Recht
    187
    -
    212
    • +
      7.1 Die Datenschutz-Grundverordnung in der Industrie 4.0
      188
      -
      209
      • 7.1.1 Begriffsbestimmungen
        188
        -
        189
      • 7.1.2 Datenschutz ist Menschenschutz
        190
        -
        189
      • 7.1.3 Relevanz des Datenschutzrechts für die Industrie 4.0
        190
        -
        191
      • +
        7.1.4 Anforderungen der Datenschutz-Grundverordnung
        192
        -
        209
        • 7.1.4.1 Datenschutz-Grundsätze
          191
          -
          209
    • +
      7.2 Das IT-Sicherheitsgesetz
      210
      -
      212
      • +
        7.2.1 Betreiber von Webangeboten
        210
        -
        212
        • 7.2.1.1 Telekommunikationsunternehmen
          211
          -
          210
        • 7.2.1.2 Betreiber kritischer Infrastrukturen
          211
          -
          211
        • 7.2.1.3 Ausblick
          211
          -
          212
  • +
    8 Ausblick
    213
    -
    217
    • 8.1 Neue Faktoren in der Sicherheitsbetrachtung
      214
      -
      214
    • 8.2 Ausblick Post-Quantum
      215
      -
      216
    • 8.3 Die Plattform Industrie 4.0
      216
      -
      217
  • 9 Glossar und Abkürzungsverzeichnis
    218
    -
    229
  • Literaturverzeichnis
    230
    -
    237

Dr. Harald Schöning ist Vice President Research der Software AG, Annika Selzer, Martin Laabs, Sinisa Dukanovic und Dr. Thorsten Henkel sind Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT.