Neue Sicherheitsstandards sind nötig

PROTECTOR: Industrie 4.0 will die vertikale, später eventuell auch die horizontale Vernetzung von Vertrieb- und Wertschöp-fungsketten. Welche Herausforderungen stellt das an die IT-Sicherheit? Reicht das in Wissenschaft und Technik vorhandene Wissen aus, oder sind zusätzliche Anstrengungen in der Grundlagenforschung nötig? Wenn nein - wer sollte was tun?

Prof. Claudia Eckert: Zur Beantwortung orientiere ich mich an der Darstellung eines Szenarios, an dem man Herausforderungen und Handlungsbedarfe festmachen kann. Bei der vertikalen Vernetzung werden die klassischen separierten Ebenen der Automatisierungspyramide durchbrochen: smarte Produkte und smarte Werkzeuge werden ein aktiver Bestandteil der Produktion. Smarte Werkzeuge kennen ihren jeweiligen Einsatz-Kontext, können sich automatisiert, software-basiert (z.B. via App-Download aus dem SmartFabrik-App-Store) neu konfigurieren und sich auf das zu bearbeitende Werkstück etc. einstellen (Druck, Winkel, Temperatur, …). Die Werkstücke selber sind ebenfalls smart, besitzen ein Produktgedächtnis und können sowohl ihren Produktionsprozess steuern, indem sie mit anderen Komponenten, Werkzeugmaschinen, mobilen Geräten der Bediener etc. kommunizieren, als auch die dabei auftretenden Daten direkt an ein Backend z.B. in der Office-IT des Unternehmens senden. Auf diese Weise kann z.B. durchgängig ein hohes Qualitätsniveau gewährleistet werden, indem beispielsweise dynamisch sofort abgeglichen wird, ob die im Verlauf des jeweiligen Produktionsschritts erhobenen Daten mit den vorgegeben Qualitätsstandards übereinstimmen, bei einer Abweichung kann das Werkstoff sofort ausgesondert und repariert werden. Werkstücke haben eine virtuelle Repräsentation im Backend, in der privaten Cloud des Unternehmens, wo die Daten über das Werkstück fortlaufend aktualisiert und die durchgeführten Aktivitäten protokolliert werden.

Einige IT-Sicherheits-Herausforderungen:
Smarte Werkstücke, Produkte, Werkzeuge erheben, verarbeiten und kommunizieren Daten, sie beeinflussen die Produktions-umgebung und die Arbeitsprozesse und sind ihrerseits darüber beeinflussbar und reagieren auf ihre Umgebungsdaten. Das erfordert, dass die Daten nicht manipuliert sind, dass prüfbar ist, von wem welche Daten/Software kommt, dass die Daten, wenn sie sensible Informationen tragen, vertraulich kommuniziert werden, dass auch die Werkstücke und Komponenten selber nicht manipuliert werden können, damit sie keine Fehlfunktionen durchführen und dass Daten auch rechtzeitig und vollständig dort vorliegen, wo sie benötigt werden. Das erfordert:
1. Techniken, um Werkstücke, aber auch einzelne Sensoren/Aktoren, Maschinen, Dienste eindeutig zu identifizieren, so dass die Identität nicht fälschbar, nicht klonbar ist.
2. Die Komponenten müssen mittels skalierbarerer Verfahren effizient ihre Authentizität nachweisen können, ggf. sind sogar Echtzeitanforderungen einzuhalten.
3. Die Komponenten müssen in der Lage sein zu prüfen, ob sie in einem zugelassenen Zustand ablaufen und nicht korrumpiert sind (durch Viren, Schadcode etc.).
4. Sie müssen einen sicheren Kommunikationskanal aufbauen, das erfordert den Austausch und das Management von Schlüsselmaterial.
5. Falls die Komponente sensible Daten speichert, z.B. spezielles Produktionsverfahren-Know-How, so werden Maßnahmen zum Schutz vor dem Auslesen im Sinne des Produktschutzes erforderlich.
6. Wenn Komponenten über Datennetze rekonfiguriert werden können, Patches aufgespielt werden können etc. (remote Update, remote Maintenance), dann müssen die Komponenten in der Lage sein, die Berechtigungen hierfür zu prüfen, ggf. auch den Code bzw. dessen Signatur zu validieren.
7. Die Aktualität von Daten muss ggf. prüfbar sein, sowie auch die Vollständigkeit.
8. Die Komponente darf nicht unberechtigt an der Ausführung ihrer Funktionen gehindert werden, z.B. durch DenialofService, damit der Produktionsablauf nicht gestört wird.
9. Erfasst das Werkstück Daten über die Art, wie es genutzt wurde, könnte dies zu einer Profilbildung bezüglich des Bedieners führen, wodurch sich Herausforderungen hinsichtlich der Wahrung der Privatsphäre des Bedienpersonals ergeben können. Dies gilt insbesondere auch, wenn Werkstücke auf spezifische Anforderungen hin zugeschnittenen Assistenzfunktionen besitzen, so dass nachvollziehbar ist, welcher Bediener, welche Hilfestellungen in Anspruch nehmen musste.
10. Beim Eindesignen von Sicherheitsfunktionen in Komponenten im Bereich der Produktion ist zu beachten, dass diese häufig zertifiziert sind, da sie safety-relevant sind, das bedeutet, dass sie nicht gepacht, geändert werden dürfen, bzw. dass dies eine erneute Zertifizierung erfordert.
11. Weiterhin ist zu beachten, dass die Komponenten in einer Produktionsumgebung eine sehr lange Lebenszeit besitzen im Vergleich zu den kurzen Lebenszyklen aus dem Bereich der BusinessIT, so dass beim Entwurf von Sicherheitsmaßnahmen dies beachtet werden muss, und beispielsweise eine Kryptoagilität vorgesehen werden muss, um bei Bedarf Verschlüsselungsverfahren austauschen zu können.
12. Produktions-IT und Business IT wachsen zusammen (vom Sensor in die Cloud). Dies muss bei den Sicherheitsmanagement-Maßnahmen berücksichtigt werden. In einer Gesamtsystemsicht müssen die Bedrohungs- und Risiko-Analysen der Business-IT entsprechend auf durchgehende Geschäftsprozesse (Business Processes) innerhalb eines Unternehmens und mit dessen Dienstleistern ausgeweitet werden, es sind gestaffelte Schutzkonzepte und Sicherheitszonen zu definieren, um unterschiedlichen Sicherheitsanforderungen Rechnung tragen zu können.
13. Software wird eine wichtige Rolle einnehmen, die Komponenten sind Software-intensiv, so dass das Entwickeln sicherer Software, die Gewährleistung der Sicherheit über den gesamten Lebenszyklus der Software insbesondere im Embedded Bereich, eine große Herausforderung sein wird.
14. Die sichere Einbindung und Nutzung mobiler Endgeräte in der Produktion durch Dienstleister oder auch als Hilfsmittel bei der Verarbeitung stellt zudem eine große Herausforderung dar, wie man sie bereits im Business-Umfeld unter dem Stichwort BYOD (Nutzung privater Endgeräte wie Smartphones - Bring Your Own Device; Anm. d. Red. ) kennt.
15. Mögliche Angriffe müssen frühzeitig detektiert werden, damit der Schaden begrenzt werden kann. Es werden auf Produktionsumgebungen zugeschnittenen Anomalie-Erkennungsverfahren erforderlich.

Bei der Verarbeitung der Daten bis in die Cloud, wie in dem Szenario skizziert, ergeben sich weitere Sicherheitsherausforderungen, die jedoch aus dem Cloud-Computing auch wohlbekannt sind, wie kontrollierte Zugriffe auf die gespeicherten Daten, Schaffen vertrauenswürdiger Ausführungsumgebungen, verschlüsselte Speicherung etc.

Bei einer horizontalen Vernetzung werden unternehmensübergreifende Geschäftsprozesse definiert und unterschiedliche Unternehmen werden auf die Daten in der Cloud zugriefen, über Vernetzungsstrukturen direkt auf die Komponenten zugreifen (Fernwartung durch den Maschinenhersteller) etc. Herausforderungen, die sich ergeben umfassen u.a. folgende Fragestellungen
1. Wie wird sichergestellt, dass der Besitzer sensitiver Produktionsdaten weiterhin die Kontrolle über die Daten behält, auch wenn diese in einer Cloud für Dritte verfügbar gemacht werden (Ownership)?
2. Wie werden unterschiedliche Sicherheitsregelwerke in den beteiligten Unternehmen, unterschiedliche Rollen, Identitäten aufeinander abgebildet, so dass ein gemeinsames Bild entsteht?

Die obige lange Liste der Herausforderungen verdeutlicht, dass wir für einige Fragestellungen natürlich schon ausreichend gute Konzepte und Maßnahmen im Bereich der Business IT kennen, so dass diese auf den Bereich Produktion angewandt, bzw. adaptiert werden kann. Dennoch bleiben noch viele grundsätzliche Fragstellungen, die noch ganz erheblichen Forschungsbedarf eröffnen:

• wie integriert man Sicherheit in dynamische Echtzeit-Anwendungen?
• Was sind angemessene, skalierende Identifizierungsverfahren und Attestierungsverfahren für eingebettete, ressourcenbeschränkte Systeme?
• Wie lässt sich die PUF-Technologie (Physically unclonable functions) ((Eindeutige Signale, ähnlich einem Fingerabdruck, die durch Fertigungsschwankungen eines Chip erzeugt werden; Anm. d. Red)) für den Einsatz in Industrie 4.0 nutzbar machen?
• Wie müssen zukünftige Systemarchitekturen aussehen, die langlebig sind und über eine hohe Resilienz gegen Angriffe verfügen?
• Wie sehen zukünftige dynamische Zertifizierungsverfahren aus, wenn man sich die virtuelle Repräsentation der Produkte, Maschinen etc. in der Cloud ggf. dafür zu Nutze machen kann?
• Wie müssen zukünftige vertrauenswürdige smarte Sensoren/Aktoren entwickelt werden?
• Wie wird ein sicheres, skalierendes, dynamische Keymanagement im Internet of Things pragmatisch und effizient umgesetzt?
• Wie wird Anomalie-Erkennung im Produktionsumfeld betrieben?
• Welche Methoden und Werkzeuge benötigt man für ein durchgehendes Sicherheitsmanagement?

Eine Bündelung aller Aktivitäten in einer Organisation hielte ich für einen falschen Schritt. Dennoch glaube ich aber auch nicht, dass man die Entwicklung allein dem freien Kräftespiel des Marktes überlassen sollte. Die Politik, national, aber auch europäisch, ist gefordert, Ordnungsrahmen für die Industrie 4.0 zu schaffen. Die Politik kann durch das Festlegen von Mindestanforderungen beispielsweise bezüglich einer erforderlichen Zertifizierung und durch technische Mindeststandards Qualitätsleitplanken für sicherheitskritische Bereiche, die derzeit noch nicht reguliert, also nicht unter KRITIS (öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen; Anm. d. Red. )fallen, setzen. Angesichts der Bedeutung von Industrie 4.0 für den Produktionsstandort Deutschland ist dies eine sehr wichtige Aufgabe. Das Zertifizieren und die erforderlichen Testverfahren sind durch die Industrie zusammen mit Forschungseinrichtungen zu erarbeiten. Anders als in der Raumfahrtindustrie umfasst Industrie 4.0 eine Vielzahl unterschiedlicher Umsetzungsoptionen, eine Vielzahl von Technologie-Anbietern, Dienstleistungsanbietern, Systemhäusern, die Teillösungen unterschiedlicher Sicherheitsqualität bereitstellen. Wünschenswert erscheint es durchaus, diese verschiedenen Aktivitäten zu koordinieren und beispielsweise über Referenzarchitekturen Leitplanken und Blaupausen für den Übergang von Industrie 2.0, 3.0 zu 4.0 zu schaffen. Die neu aufgestellte Plattform zu Industrie 4.0 könnte eine solche Koordinierungs-, aber auch Wegbereiterfunktion übernehmen.

Experten sagen, Industrie 4.0 ist ein Sicherheitsrisiko, weil die Malware der PC Welt auch auf Produktionseinheiten übergreifen können, dort aber kaum Schutzmaßnahmen vorhanden sind. Stimmt das? Wie sollte die Industrie reagieren?

Ja, diese Situation sehe ich in der Tat so. Systeme, Anlagen, einzelne Werkzeugmaschinen etc. in der Industrie sind kaum oder gar nicht auf Sicherheit hin ausgerichtet. Klassische Schutzmaßnahmen, wie wir sie in der BusinessIT kennen, fehlen meist oder sind nicht aktiviert, wie Firewalls, Virenscanner, Zugangskontrollen, Zugriffskontrollen etc. Die Industrie ist an verschiedenen Stellen gefordert: die Hersteller von u.a. Steuerungskomponenten, Werkzeugmaschinen, Automatisierungskomponenten müssen ihre Komponenten in Bezug auf Verwundbarkeiten und Sicherheitsschwachstellen untersuchen und zugeschnittenen Sicherheitsfunktionen in ihre Produkt integrieren. Anlagenbetreiber, Betreiber von Produktionsstätten müssen eine Sicherheitsbestandsaufnahme ihrer Anlagen durchführen (Bedrohungen, Risiken, Pentestings etc.), abgestufte Sicherheitsmaßnamen entsprechend der erkannten Risiken einführen und kontinuierlich den erreichten Sicherheitszustand prüfen und überwachen. Um einheitliche Sicherheitsniveaus zu erreichen, sind Sicherheitsstandards zu entwickeln, zusammen mit Evaluierungs- und Testverfahren, so dass sich auch einzubindende Dienstleister daran orientieren können und ein nachprüfbares Sicherheitsniveau nachweisen können. Die Industrie sollte gemeinsame Normen und Standards verabschieden und für deren Einhaltung sorgen. Sowohl Technologie-Hersteller als auch Anwender und Dienstleister müssen dringend in Sicherheit investieren, um Industrie 4.0 zu einem Erfolg zu führen.

Auf dem BSI-Sicherheitskongress 2015 wurde erneut gesagt: Das Sicherheitsniveau der Produktions-IT entspricht dem der Büro-IT von vor 20 Jahren. Teilen Sie diese Auffassung?

Ja, sowohl das Bewusstsein für Sicherheitsprobleme als auch die vorhandene Lösungen lassen in vielen Bereichen sehr zu wünschen übrig, die ProduktionsIT hängt sehr stark hinterher, aber auch die Büro-IT ist ja noch lange nicht da, wo man sie gerne sehen würde: Verschlüsselungen, starke Nutzerauthentisierung (weg von der Passwortfalle), ein ganzheitliches Sicherheitsmanagement mit durchgehend abgesicherten Geschäftsprozessen oder aber auch sichere Einbindung mobiler Endgeräte sind bei weitem noch nicht bei allen Unternehmen zufriedenstellend umgesetzt.

Es entsteht offensichtlich ein neuer Markt für Sicherheitslösungen. Wer sollte diesen Markt bedienen? Haben die Anti-Virenhersteller genug Know-how? Benötigen wir neue Marktteilnehmer?

Die Anti-Virenhersteller sehe ich hier noch am Wenigstens. Wir sollten unsere starken Player bei der Hardware-Sicherheit, Embedded Sicherheit, aber auch bei der Entwicklung sicherer Betriebssystem-Lösungen und Identitätstoken stützen, sie werden für diesen Markt dringend benötigt. Wir benötigen gute Lösungen im Hardware-nahen Bereich bei Sicherheitschips mit unterschiedlich aufwändigen Sicherheitsfunktionen, die insbesondere auch im low-cost Bereich einsetzbar sind (z.B. bezahlbar, sichere RFIDs), bei der sicheren Sensorik, bei sicherer eingebetteter Systemsoftware, um eingebettete Komponenten abzusichern (open Source, Embedded Linux, Mikrokernbasierte Lösungen, secure Boot, betriebssystemseitige Container-Lösungen), bei der starken Verschlüsselung bereits auf der physikalischen Ebene, um auch mit nicht vertrauenswürdigen Routern zusammen arbeiten zu können.

Wird Malwarepflege bald so geläufig wie Schmierstoffe nachfüllen und kaputte Zahnriemen tauschen?

Es ist zu hoffen, dass die Pflege der IT-Sicherheitsinfrastruktur, nicht nur der Malware-Abwehr, zu einer Selbstverständlichkeit wird, da man die betriebswirtschaftliche Relevanz des Themas auf allen Ebenen der Belegschaft versteht. Dies erfordert jedoch die Einführung einer Sicherheitskultur in Unternehmen, die natürlich seine Zeit dauern wird.
Wir haben jetzt bei der Industrie 4.0 die Chance den Teufelskreis des (meist zu späten) Erkennens und Entfernens von Malware zu durchbrechen und präventiv, durch die frühzeitige, systematische Entwicklung neuer Sicherheitsarchitekturen und integrierten Sicherheitschips und Sicherheitsmerkmale zu verhindern, dass sich Malware auf den Systemen ausbreitet oder zumindest deren Schadensausmaß erheblich reduzieren und auch deren Eindringen frühzeitig erkennen. Die Smartcard-Industrie hat verdeutlicht, dass man durch systematisches, konsequentes Arbeiten an neuen Sicherheitsarchitekturen, die Gefährdungspotentiale deutlich beschränken kann. Wenn wir die Systeme richtig bauen, werden hoffentlich die meisten Malwareattacken automatisiert frühzeitig abgefangen, und für die erfolgreichen Malwareangriffe durch gestaffelte Schutzkonzepte dafür sorgen, dass das Schadenspotential sehr begrenzt ist.

Was empfehlen Sie einem Produktionsbetrieb heute? Wann sollte er in die Industrie 4.0 einsteigen, wie sich vorbereiten und was kann er tun, wenn die Roboter die Köpfe hängen lassen und die Produktion steht?

Ich empfehle, dass das Managementteam zusammen mit Experten eine Roadmap entwickelt für den schrittweisen Übergang in die vernetzte Produktion a la Industrie 4.0. Erforderlich ist eine Bedrohungs-und Risikoanalyse, um sich einen Überblick über den Sicherheitszustand des Betriebs zu verschaffen, die zu schützenden Werte zu identifizieren (u.a. Rezepturen, Produktionsdetails, Kundendaten, …) . Hierzu würde ich Experten einbinden, die wissen, worauf zu achten ist und wie man vorzugehen hat. Wichtig ist es, bei diesen Schritten sowohl die Fachabteilungen, die die Abläufe und Prozesse verstehen, als auch die Sicherheitsverantwortlichen zusammen zu bringen und sich zusammen auf ein Vorgehen zu einigen, so dass alle Bereiche des Unternehmens, der Produktion nach gleichen Vorgaben agieren und die Ergebnisse später auch vergleichbar sind. Wichtig ist auch zu klären, welche Öffnungen man wirklich benötigt und welche Bereiche abgeschottet bleiben müssen. Ist nach der Analyse klar, welcher Schutzbedarf vorliegt, sind gezielt die erforderlichen Sicherungsmaßnahmen auszuwählen und zu integrieren. Hierbei sollte ebenfalls Expertenwissen hinzugezogen werden, insbesondere die korrekte Konfigurierung und Abstimmung der verschiedenen Sicherheitsmaßnahmen muss sorgfältig geplant und getestet sein.
Wenn die Produktion steht, ist natürlich der Worst Case eingetreten. Ursachenermittlung im Sinne der Computer-Forensik, das Bereinigen und schrittweise wieder Hochfahren erfordert Expertenwissen von Sicherheitsfachleuten und aus der Produktion. Deshalb sollten frühzeitig Notfallmanagement-Konzepte erstellt werden, um für genau diesen Fall vorbereitet zu sein.