Security in automatisierten Anlagen ist elementarer Bestandteil zur Sicherstellung von Verfügbarkeit und Authentizität. Der Ersatz der früher proprietären Systeme durch Standardkomponenten der IT (Hardware, Betriebssystem, Netzwerk) führt zunehmend dazu, dass das Automatisierungssystem potenziell den gleichen Gefahren durch Viren, Würmer, Trojaner und unbedachte Nutzer ausgesetzt ist wie jeder Büro-PC. Konzepte zur datentechnischen Einbindung aller Komponenten einer automatisierten Anlage über das TCP/IP-Netzwerk werden allerorts diskutiert und Geschäftsmodelle zur Auslagerung von Service- und Instandhaltungsaufgaben auf externe, ggf. nicht am Standort der Anlage ansässige Unternehmen, verstärken die potenziellen Risiken zusätzlich.

Anbieter und Betreiber automatisierter Produktionsanlagen müssen gewährleisten, dass diese Anlagen „sicher“ sind. Dabei ist ein Vorgehen nach dem Motto „viel hilft viel“ in der Regel nicht zielführend – vielmehr ist ein systematischer, auf das tatsächliche Gefährdungspotenzial abgestimmter Ansatz erforderlich. Die auf einer Risikoanalyse basierende, „richtige“ Mischung aus organisatorischen und technischen Maß-nahmen entfaltet dann eine angemessene Wirkung, wenn das Vorgehen als „dynamischer Prozess“ verstanden und gelebt wird. Eine zielgerichtete Vorgehensweise muss auf formulierten – in der Regel funktionalen – Anwenderanforderungen beruhen. Für neue Produkte und Systeme muss die Berücksichtigung der Security-Aspekte bereits in der Entwurfsphase beginnen.

Der Fachausschuss „Security“ (GMA-FA 5.22) bietet Anlagenbetreibern und Anwendern der Automatisierungstechnik sowie Herstellern und Anbietern von automatisierungstechnischen Systemen und Komponenten eine neutrale Plattform zur Diskussion und Definition einer zielgerichteten Vorgehensweise. Durch die Arbeit des Fachausschusses soll Entwicklungstendenzen vorgebeugt werden, die zur unbewerteten und ungeeigneten Übernahme von Konzepten der „IT-Security“ in die Automatisierungstechnik führen würden; dabei sollen insbesondere Fehlentwicklungen vermieden werden, wie sie z.B. im Umfeld der Produktsicherheit in regulierten Industrien (Pharmazie, Nahrungs- und Genussmittel) in der Vergangenheit entstanden sind.
Die Ergebnisse werden in Form einer VDI/VDE-Richtlinie publiziert und in die internationalen Normungsgremien (z.B. IEC) als deutsche Stellungnahme eingebracht.
Die Aktivitäten des Fachausschusses werden unterstützt von weiteren Verbänden und Organisationen (NAMUR, ZVEI, PI, VDMA).
Die Arbeiten haben im Mai 2006 begonnen.

Dipl.-Ing. Heiko Adamczyk, Berlin 

Stellvertreter:

Prof. Dr. Frithjof Klasen, Gummersbach

2012

Am 20. September 2012 fand in Franfurt das Expertenforum "IT Security Management aus Sicht der Automation" statt.