Security First

Unter dem Schlagwort „Industrie 4.0“ werden schon länger unterschiedliche und häufig divergierende Aspekte einer möglichst allumfassenden Digitalisierung industrieller Fertigungsprozesse diskutiert – von der Planungsebene des ERP, über die Konstruktion im CAD bis hin zur einzelnen Maschine auf Shopfloor-Ebene: Ein Werkzeug, dessen Standzeitende erreicht ist, signalisiert dies nicht nur dem Maschinenbediener, sondern fordert aus dem Lager gleich selbst Ersatz an. Darüber hinaus löst es auch eine Nachbestellung im SAP aus. Solche Szenarien mögen noch nicht die ganze Branche durchdrungen haben, doch weit entfernt von der Realisierbarkeit sind sie nicht mehr. Dafür sollten zunächst einmal jedoch alle beteiligten Systeme möglichst nahtlos miteinander vernetzt werden und untereinander kommunizieren dürfen.

Wo jedoch neue Kommunikationsmöglichkeiten geschaffen und zuvor getrennte IT- Systeme miteinander vernetzt werden, da entstehen Risiken – digitale Unfallrisiken, denen ebenso vorgebeugt werden muss, wie Verletzungen durch herunterfallende Werkstücke. Das Unfallrisiko in der industriellen IT, um im Bild zu bleiben, entsteht vor allem an den Schnittstellen. Es mag sinnvoll sein und dem digitalen Betriebsablauf dienen, wenn die Einkaufsabteilung direkt aus dem ERP heraus auf die Bestände der in den Werkzeugmagazinen einer Fertigungszelle vorrätig gehaltenen Fräser und Bohrer zugreifen kann. Es mag ebenso sinnvoll sein, dem Fertigungsleiter von seinem normalen Bürorechner aus Zugang zu den Statusinformationen der von ihm betreuten Fertigungsstraße zu verschaffen. Es ist aber ebenso denkbar, dass solche Verbindungen zwischen Büronetzwerk und industriellem Steuernetz missbraucht werden. Ein digitaler Angreifer, der sich über eine per E-Mail- Anhang verschickte Malware Zugang auf den Desktop-PC eines Verwaltungsmitarbeiters im technischen Einkauf verschafft, hätte von dort aus dann auch Zugriff auf die Steuerung der Fertigungszelle – mit möglicherweise fatalen Folgen.

Das Stichwort, um solche „IT-Unfälle“ zu vermeiden, heißt „Netzwerkseparierung“, bezogen auf das oben genannte Beispiel also zunächst einmal eine vollständige Trennung von Officenetz und Produktionsnetz, im Idealfall sogar physisch, sprich mit je eigener, getrennter Verkabelung und der Nutzung eigener Geräte für den Zugriff auf Industriesteuerungen. Solange der Produktionsleiter also E-Mails schreibt, nutzt er seinen Officerechner. Will er die Daten der Fertigung einsehen und eventuell sogar per Fernzugriff korrigierend eingreifen, nutzt er ein Zweitgerät. Im – unangenehmen – Fall eines erfolgreichen Hackerangriffs auf das Verwaltungsnetzwerk eines Betriebs, bleibt der Angreifer außen vor, da zwischen den beiden Netzen kein Übergang besteht.

Es ist essenziell, die Umsetzung digitaler Sicherheitsmaßnahmen auch auf ihre Wirksamkeit hin zu prüfen. Ein geeignetes Instrument dazu ist ein sogenannter „Penetrationstest“. Ein Penetrationstest ist eine Hackerattacke unter kontrollierten Bedingungen und deckt auf diese Weise eventuell vorhandene Sicherheitslücken auf, noch bevor diese missbraucht werden können. Dabei sollte es jedoch nicht bei einer einmaligen Prüfung bleiben: Täglich werden neuen Sicherheitslücken in Softwareprodukten gefunden, die den Handlungsspielraum für digitale Angreifer erweitern. Penetrationstests sollten deshalb fest in Prüfpläne integriert und entsprechend häufig und regelmäßig durchgeführt werden. Der einzelne Test untersucht dabei ein oder mehrere Angriffsszenarien, die Auftraggeber und Tester in Hinblick auf das Unternehmen und dessen Eigenarten definieren: Der Angriffsursprung, das Angriffsziel/der Scope, die Testtiefe, die Testmittel und der Wissensstand sowie die Motivation des Angreifers.

Speziell bei Industrieunternehmen kommen noch weitere Fragen hinzu, die sich aus einer Besonderheit der Branche ergeben, denn auch im Zeitalter der „Industrie 4.0“ hat Infrastruktur eine längere Lebensdauer. Die Smartphones der Mitarbeiter mag man alle drei Jahre austauschen, eine Maschine – auch eine digital vernetzte – hat weiterhin Standzeiten von 15 bis 20 Jahren, was aus Sicht der IT-Security berücksichtigt werden muss:

• Wie ist der Sicherheitsstatus der an der Produktion beteiligten Komponenten? Gibt es Maschinen und Systeme, die aufgrund einer Abnahme/Zulassung nicht gepatcht werden können?
• Gibt es „schwache Glieder“ in der Kette, etwa Windows-XP-Systeme, auf die aus Gründen der Kompatibilität nicht verzichtet werden kann? Wie sind diese separiert?
• Wie sieht es mit dem WLAN in der Produktionshalle aus? Sind noch Geräte wie Handscanner mit dem nicht mehr sicheren Kryptostandard WEP im Einsatz? Können sich Angreifer auf diesem Weg drahtlos mit dem Steuerungsnetz verbinden?
• Inwieweit sind die IT-Schnittstellen der Maschine für die Bediener direkt zugänglich? Können beispielsweise USB- Anschlüsse erreicht und hierüber potenziell Schadsoftware eingebracht werden?
• Gibt es Servicezugänge? Sind diese vom restlichen Netz getrennt? Oder lässt sich über den Fernwartungszugang für eine bestimmte Maschine auch auf andere Bereiche des Steuerungsnetzes zugreifen?

Wer als Penetrationstester erfolgreich sein will, der sollte seine IT-Spezialkenntnisse immer auf dem neuesten Stand halten. Doch nicht nur aus diesem Grund empfiehlt es sich, entsprechende Untersuchungen extern durchzuführen zu lassen: Denn eine hauseigene Fachabteilung unterliegt auf Dauer auch dem Risiko, „betriebsblind“ zu werden. Der regelmäßige Blick von außen durch unabhängige Penetrationstester hilft dabei, „Blinde Flecken“ aufzudecken und Sicherheitsprobleme zu beheben, bevor es zu einem realen Angriff kommen kann und im schlimmsten Fall Produktionsanlagen stillstehen. Die Digitalisierung in der produzierenden Industrie unter dem Schlagwort „Industrie 4.0“ wird über kurz oder lang das bestimmende Thema der Branche bleiben. Ob man dabei auch „IT-Security 4.0“ im Blick hat, bleibt abzuwarten. Denn es gilt nach wie vor: Je mehr Zugriffsmöglichkeiten – auch direkt über das Internet – geschaffen werden, desto mehr muss auch mit potenziellen digitalen Angreifern gerechnet werden.

Dr. Oliver Grasmück ist Leiter der Öffentlichkeitsarbeit; Marcel Mangold Senior IT-Security Consultant bei der SySS GmbH, https://syss.de