Industrie 4.0 braucht mehr IT-Sicherheit

Die Produktion in Fabriken wird zunehmend vernetzter. Dadurch entsteht mehr Datentransfer, die Produktion wird anfällig für Cyberattacken. Wer sich schützen will, muss seine Sicherheitssysteme kontinuierlich weiterentwickeln.

Eine bisher unbekannte Sicherheitslücke und ein infizierter USB-Stick genügten. Der Computervirus Stuxnet war in der IT-Szene das Thema des Jahres 2010. Insbesondere, weil die US-Regierung ihn auf das iranische Atomprogramm angesetzt haben soll. Der Virus greift die Steuersoftware WinCC und PCS 7 an, um diese zu manipulieren.

WinCC steht für Windows Control Center und visualisiert Prozesse in Kraftwerken, Fabriken und Raffinerien. PCS 7 steuert die automatisierten Abläufe der Produktion. So war Stuxnet in der Lage, die Steuerung zu manipulieren, ohne dass die Veränderungen im Kontrollraum sichtbar wurden. Über die Schäden gibt es wenige gesicherte Informationen. Ein nuklearer Unfall in der iranischen Atomfabrik der Stadt Natans im Juli 2009 wird mit dem Virus in Zusammenhang gebracht. Ein Großteil der infizierten Rechner stand im Iran. Stuxnet zeigt, wozu Computerviren heute in der Lage sind.

Die Sicherheit vor Schadsoftware wird mit der zunehmenden Digitalisierung und Automatisierung immer wichtiger. „Industrie 4.0“ ist das Schlagwort. Es steht für eine Entwicklung hin zur „Smart Factory“, einer intelligenten Fabrik, die sich selbst steuert und sich während der laufenden Produktion optimiert. Zur Industrie 4.0 gehört die vollständige Vernetzung und Digitalisierung von automatisierten Systemen in der Produktion. Der ganze Herstellungsprozess wird digital beschrieben, das virtuelle Abbild erlaubt die Simulation von neuen Produktionsabläufen. Gefällt die Simulation, lässt sich das Ganze per Fernsteuerung umsetzen. Doch das heißt auch, dass viele Daten anfallen und transportiert werden. Und wo ein Datentransfer ist, besteht das Risiko von Cyberangriffen. Die Idee einer Smart Factory ist also nur dann erfolgreich, wenn die Kommunikationswege sicher gestaltet werden können. Ein schwieriges Thema ist dabei die Kosten-Nutzen-Abwägung zwischen IT-Sicherheit und ungestörter Produktion.

Risiken werden ignoriert

„Es liegt in der Natur der Thematik, dass wir zwar wissen, dass Risiken bestehen, dass wir sie aber ignorieren – bis der Ernstfall da ist“, sagt Klaus Stark, der Betriebsleiter der Firma Pilz. Was für Ausmaße die Cyberkriminalität annimmt, stellt Till Kleinert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anhand einiger Zahlenspiele dar. Pro Tag entstehen weltweit mindestens 300.000 neue Schadsoftware-Varianten. Die meisten gibt es für Windows-Systeme, circa 275 Millionen sind bekannt. Die Folgen einer Infizierung reichen vom Versand von Spam-Emails bis zum Diebstahl von Know-How oder der Zerstörung wichtiger Programme.
„Wo ein Datenfluss ist, herrscht ein Risiko“, erläutert Erwin Kruschitz, Eigentümer der anapur AG. Dazu braucht es keinen Netzwerk- oder Internetanschluss. Viren können sich auch auf einem USB-Stick verbergen, mit dem ein Update aufgespielt werden soll. Sie können sogar Teil des Updates sein.

Podiumsdiskussion SPS zum Thema Security

Auch auf der SPS IPC Drives in Nürnberg war IT-Sicherheit ein großes Thema. Bei der Podiumsdiskussion zum Thema „Embedded Security“ sprachen (von links) Wolfgang Klasen (Siemens), Michael Jochem (Bosch Rexroth), Bartol Filipovic (Fraunhofer AISEC), Oliver Winzenried (Wibu Systems) und Holger Junker (BSI). Fotos: Simone Danne

 

Kompromiss zwischen größtmöglicher Sicherheit und ungestörter Produktion

Besonders ärgerlich ist es für die meisten Unternehmen, wenn die Produktionsanlagen stillstehen. Sei es, weil ein Computerwurm sie blockiert oder weil für die regelmäßige Kontrolle und Entfernung von Viren ein Produktionsstopp nötig ist. ICS (Industrial control systems) seien aus zwei Gründen gefährdet, meint Stephan Sekula von der Firma Compass Security. Einerseits, weil solche Systeme im Gegensatz zu Office-Software kaum Sicherheitsupdates erhalten würden. Andererseits würden Updates oft nicht oder erst sehr spät installiert, weil die SPS rund um die Uhr laufen soll. „Da reicht teilweise sogar ein 15 Jahre alter Bug, um die Produktion lahmzulegen.“ Moderne IT-Security stellt also immer auch einen Kompromiss zwischen größtmöglicher Sicherheit und ungestörter Produktion dar.
Ein Ansatz, der das besonders gut zeigt, ist das sogenannte „Whitelisting“. Dabei hält der Betreiber die erlaubten Befehle in einer „Weißen Liste“ fest, andere Eingaben nimmt die ICS nicht an. Der Vorteil: Im Gegensatz zu Antivirenprogrammen schützt eine Whitelist auch vor unbekannten Viren. Außerdem spart man sich die regelmäßigen Aktualisierungen, die ein Antivirenprogramm braucht, um effektiv zu bleiben. Der Nachteil: Das Erweitern der Whitelist ist aufwändig. Vor allem in der Anfangszeit, wenn noch nicht alle nötigen Befehle gelistet sind, stört das die Arbeit.

Angriffe entwickeln sich weiter

„Es ist meistens nicht so einfach, die Zuständigkeit für IT-Security zu ermitteln“, sagt Kruschitz. Die technische Abteilung und die IT-Abteilung seien beteiligt, dann gebe es externe Service-Provider. Umso wichtiger sei es, einen Verantwortlichen zu bestimmen, der notwendige Verbesserungen vornimmt. Denn die Angriffe entwickeln sich weiter. Das zeigt sich am Beispiel von Mails mit verseuchtem Anhang.
Im Jahr 2000 machte der „I love you“-Virus die Runde. Dabei handelte es sich um einen Computerwurm mit einem als Liebesbrief betitelten Anhang. Statt süßer Worte enthielt der Anhang ein Programm, das alle Bilddateien auf dem Computer löschte und die Mail an alle Kontakte weiterversendete. Mittlerweile sind solche Tricks altbekannt. Die Angreifer versuchen ihr Glück deshalb mit individualisierten Emails. Die Email scheint vom Kollegen zu kommen und auch der Betreff und der Text klingen stimmig. Ein Beispiel: Ein Angestellter erhält vermeintlich die Mail eines Kollegen zum Thema Vorstandssitzung. Dieser bittet ihn, das angehängte Dokument zu lesen. Dort fänden sich weitere Details. Das Hintergrundwisse bezieht der Angreifer aus dem Netz oder Kontakten in der Firma. Solche Angriffe sind für ihn zwar aufwändiger, erzielen aber eine höhere Erfolgsquote.
Wie kann sich ein Unternehmen schützen? Wichtig ist die Trennung vom Office- und ICS-Netz. So kann sich ein eingefangener Virus nicht vom Bürorechner bis zur Produktions-SPS weiterverbreitet. Auch reicht eine zentrale Firewall nicht mehr aus. Besser sind mehrere Netze, die durch dezentrale Firewalls voneinander abgeschottet werden. Vor allem das ICS-Netz braucht einen eigenen Schutz, der unabhängig von den anderen agiert. Diesen Schutz kann man zudem mit einer Whitelist verbinden.

 

Steuerung Reaktor

Kein System ist sicher: Diese Regel gilt bei Hackerangriffen. Doch ein Unternehmen kann einiges tun, um sich gegen Attacken von außen zu wehren.

Kleine Schritte

„Generell gibt es viele Möglichkeiten sich zu schützen“, sagt Jens Mehrfeld, der Referatsleiter Cybersicherheit beim BSI. Dabei sollte man sich als Unternehmen aber nicht überfordern. „Es ist besser, einzelne kleine Projekte umzusetzen, als einen Rundumschlag zu planen und sich dabei zu übernehmen.“ Außerdem sei IT-Sicherheit kein Projekt mit definierten Maßnahmen und definiertem Ende. Das Ziel müsse es sein, sich mit dem Gefahrenpotential weiterzuentwickeln. Als ersten Schritt empfiehlt er dabei die Auseinandersetzung mit den zehn wichtigsten Bedrohungen für ICS, die der BSI in einer Liste zusammengestellt hat. Diese lässt sich auf der Webseite www.bsi.bund.de abrufen. „Das ist ein Fundament, auf dem man dann aufbauen kann.“ Auf der Seite des Bundesamts finden sich weitere Informationen zum Thema Cyber-Kriminalität, Fallbeispiele und mögliche Gegenmaßnahmen.

2 Comments

  1. Pingback: Industrie 4.0: Sicherheit ist Erfolgsfaktor | Gerums

  2. Pingback: Industrie 4.0: Sicherheit ist Erfolgsfaktor | featured

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.