Security in automatisierten Anlagen ist elementarer Bestandteil zur Sicherstellung von Verfügbarkeit und Authentizität. Der Ersatz der früher proprietären Systeme durch Standardkomponenten der IT (Hardware, Betriebssystem, Netzwerk) führt zunehmend dazu, dass das Automatisierungssystem potenziell den gleichen Gefahren durch Viren, Würmer, Trojaner und unbedachte Nutzer ausgesetzt ist wie jeder Büro-PC. Konzepte zur datentechnischen Einbindung aller Komponenten einer automatisierten Anlage über das TCP/IP-Netzwerk werden allerorts diskutiert und Geschäftsmodelle zur Auslagerung von Service- und Instandhaltungsaufgaben auf externe, ggf. nicht am Standort der Anlage ansässige Unternehmen, verstärken die potenziellen Risiken zusätzlich.

Anbieter und Betreiber automatisierter Produktionsanlagen müssen gewährleisten, dass diese Anlagen „sicher“ sind. Dabei ist ein Vorgehen nach dem Motto „viel hilft viel“ in der Regel nicht zielführend – vielmehr ist ein systematischer, auf das tatsächliche Gefährdungspotenzial abgestimmter Ansatz erforderlich. Die auf einer Risikoanalyse basierende, „richtige“ Mischung aus organisatorischen und technischen Maß-nahmen entfaltet dann eine angemessene Wirkung, wenn das Vorgehen als „dynamischer Prozess“ verstanden und gelebt wird. Eine zielgerichtete Vorgehensweise muss auf formulierten – in der Regel funktionalen – Anwenderanforderungen beruhen. Für neue Produkte und Systeme muss die Berücksichtigung der Security-Aspekte bereits in der Entwurfsphase beginnen.

Der Fachausschuss „Security“ (GMA-FA 5.22) bietet Anlagenbetreibern und Anwendern der Automatisierungstechnik sowie Herstellern und Anbietern von automatisierungstechnischen Systemen und Komponenten eine neutrale Plattform zur Diskussion und Definition einer zielgerichteten Vorgehensweise. Durch die Arbeit des Fachausschusses soll Entwicklungstendenzen vorgebeugt werden, die zur unbewerteten und ungeeigneten Übernahme von Konzepten der „IT-Security“ in die Automatisierungstechnik führen würden; dabei sollen insbesondere Fehlentwicklungen vermieden werden, wie sie z.B. im Umfeld der Produktsicherheit in regulierten Industrien (Pharmazie, Nahrungs- und Genussmittel) in der Vergangenheit entstanden sind.
Die Ergebnisse werden in Form einer VDI/VDE-Richtlinie publiziert und in die internationalen Normungsgremien (z.B. IEC) als deutsche Stellungnahme eingebracht.
Die Aktivitäten des Fachausschusses werden unterstützt von weiteren Verbänden und Organisationen (NAMUR, ZVEI, PNO).
Die Arbeiten haben im Mai 2006 begonnen.

Ein erstes Zwischenergebnis ist im Sommer 2007 mit der Veröffentlichung des Entwurfs der Richtlinie VDI/VDE 2182, Blatt 1, erreicht worden. In dieser Richtlinie wird die grundsätzliche Methodik zur Entwicklung und Etablierung von Security-Konzepten für die Automatisierungstechnik erläutert. Die Arbeiten an weiteren Blättern der Richtlinie wurden aufgenommen und sollen bis Ende 2010 zum Abschluss gebracht werden.

September 2010

Am 21. September 2010 findet unter dem Titel "IT Security in der Automation - Verstehen und Handeln!" das nächste VDI-Expertenforum (in Zusammenarbeit mit ZVEI, NAMUR, VDMA und Profibus - Profinet PI) zum Thema "IT-Security" statt. Ziel des Expertenforums ist u.a. die Vorstellung des Standes der Arbeiten des Ausschusses. Ein erstes Arbeitsergebnis stellt die Richtlinie VDI/VDE 2182 Blatt 1 dar, die eine praxisgerechte Vorgehensweise zur Erreichung einer ausreichenden "Security" in der industriellen Automatisierungstechnik aufzeigt. Aufbauend auf diesem allgemeinen Vorgehensmodell wurden sechs weitere Beispielblätter erarbeitet.

Weitere Informationen und Veranstaltungsprogramm unter

http://www.vdi.de/security-2010/

September 2008 

Am 16. September 2008 fand in Frankfurt/M. das VDI-Expertenforum zum Thema "IT-Security in der Automation" statt. Im Rahmen dieses Expertenforums wurden die Erkenntnisse der Arbeiten des Fachausschusses, die Anforderungen und Herausforderungen in der praktischen Umsetzung von Security-Konzepten und die methodischen Lösungsmöglichkeiten vorgestellt. In der Veranstaltung berichteten sowohl Hersteller von Geräten und Komponenten der Automatisierungstechnik als auch Systemintegratoren und Betreiber von automatisierten Produktionsanlagen über ihre Erfahrungen und Best Practices.

Veranstaltungsprogramm