Angriffe auf IoT in der Produktion verhindern

Die Digitalisierung schafft neben neuen Chancen für die Produktion auch neue Risiken durch Cyberangriffe auf das industrielle Umfeld, deshalb müssen Wege gefunden werden, IoT-Komponenten wirksam zu schützen. Im Dezember 2015 schien der Ernstfall, ein großflächiger Stromausfall als Folge eines gezielten Cyberangriffs wie ihn Marc Elsberg in seinem Roman „Blackout“ beschreibt, tatsächlich einzutreten: Die Ukraine wurde zum Ziel eines Angriffs auf die Stromversorgung. Die Angreifer lancierten „Black Energy 3“, um SCADA-Systeme (Supervisory Control And Data Acquisition zur Steuerung der Systeme) in 30 Umspannstationen zu stören.

Gezielte Angriffe auf SCADA-Systeme erfordern Spezialwissen über die Anlagen oder auch die Produktionsprozesse, in welche die Anlagen eingebunden sind. Ein gutes Beispiel dafür ist der Stuxnet-Angriff auf die Zentrifugen der iranischen Urananreicherung 2012. Die Ransomware Wannacry dagegen nutzt Schwachstellen der weitverbreiteten Windows-Systeme aus und konnte damit in die IT-Systeme unterschiedlicher Firmen oder Einrichtungen eindringen.

Die Motivation der Angreifer ist unterschiedlich. Bei Stuxnet ist ein politischer Hintergrund erkennbar, bei Ransomware (wie Wannacry) ist Geldbeschaffung als Motiv zu vermuten. Im Hinblick auf Digitalisierung und Industrie 4.0 kommen neue Motivationen hinzu. Was wäre zum Beispiel, wenn schon bei der Produktion eines Gerätes böswillige Softwarebestände in das Endprodukt geladen werden? Was wäre, wenn Angreifer die Produktionsanlagen so steuern könnten, dass zunächst unscheinbare Defekte im Endprodukt erzeugt werden, die später im Betrieb zu ernsthaften Störungen führen würden? Oder wenn automatisierte Bestellungen (Maschine zu Maschine) innerhalb der neuen Wertschöpfungsketten unzuverlässig wären? Dabei geht es nicht nur um Störungen im Produktionsprozess, sondern oft auch um den Schutz des geistigen Eigentums. Bekommt ein Eindringling detaillierte Einblicke in Produktionsprozesse, am besten noch zusammen mit genauen Daten über alle Aspekte der gerade laufenden Produktion, kann er viel Schaden anrichten.

Günther Oettinger, früherer EU-Kommissar für die Digitale Gesellschaft und Wirtschaft, sagte: „There will be no IoT without security“. Das bedeutet zunächst einmal die Notwendigkeit eines Problembewusstseins beziehungsweise der Einsicht, dass Sicherheit immer von Anfang an mitgedacht werden muss. Das Stichwort lautet „Security by Design“ und bezieht sich auch auf bestehende Anlagen, die ursprünglich nicht für den Einsatz einer vernetzten Produktion gedacht waren. Darüber hinaus muss ein entsprechendes Bewusstsein auch bei allen Mitarbeitenden geweckt werden. Hier existiert vielerorts eine deutliche Kluft zwischen jenen, die für IT und jenen, die für OT zuständig sind.

Ein Ansatz, um diese Kluft zu überbrücken ist, den Begriff „Qualität“ auszuweiten. In den meisten Betrieben wird Qualität – zumindest abstrakt – hochgehalten. Wird Sicherheit als Qualitätsmerkmal begriffen, findet sie auf diese Weise ihren Weg in die Köpfe der Mitarbeiter und in den Arbeitsalltag. Dabei kann Sicherheit im Detail sehr Unterschiedliches bedeuten. In der IT geht es um Datensicherheit (ISO 2700) oder den Schutz von personenbezogenen Daten (DSGVO). Aus Produktionsperspektive geht es um „Safety“, also um die physische Unversehrtheit von Menschen, und um die Zuverlässigkeit und Robustheit von Produktionsprozessen (IEC 62443, NIS). Eine umfassende Sicherheit ist folglich nur ganzheitlich zu begreifen, was durchaus Auswirkungen auf die Verteilung von Rollen und Verantwortlichkeiten im Betrieb mit sich bringen kann.

Es muss – neben einer adäquaten Governance – auch eine technische Architektur entstehen, die Sicherheit miteinschließt. Hierzu sind Modelle entstanden, die das bekannte Purdue-Referenz-Modell in der Produktion weiterdenken. Hier wird einerseits berücksichtigt, dass es oft sinnvoll ist, Datenverarbeitung von Produktionsdaten in der Cloud zu ermöglichen und dort Schnittstellen für Kunden und Partner anzubieten. Andererseits kann es auch sinnvoll sein, Datenverarbeitung vor Ort, also an der sogenannten „Edge“ durchzuführen. So lässt sich sicherstellen, dass niedrige Latenzzeiten und viele Kontextinformationen vorliegen. In diesem Modell kann es zu beträchtlichem Datenverkehr zwischen Anlagen („Ost-West“) und nicht nur in Richtung Manufacturing Execution System (MES) oder Cloud („Nord-Süd“) kommen.

Die Architektur muss dann technisch umgesetzt werden. Ein erster Schnitt ist die konsequente Trennung der Netzwerke – sowohl zwischen IT (EMS, ERP, Cloud) und der Produktion als auch innerhalb
der Produktion, um potenziell unsicherere Anlagen abzuschotten.

Zu Beginn geht es vor allem um die Geschäftsprozesse. Das Wissen, welche Prozesse kritisch sind, führt zu gestuften Investitionen, um das Geschäftsrisiko zu minimieren. Nach der initialen Umsetzung einer sicheren Architektur geht es um die kontinuierliche Überwachung und Aufrechterhaltung der Sicherheit. Der entsprechende Begriff lautet „industrielles SOC“ (Security Operating Center). Dabei müssen IT und OT eng zusammenarbeiten, um im Ernstfall die richtigen Schritte unternehmen zu können. Wichtig ist hier, die Zusammenarbeit in Stresssituationen systematisch zu üben.

Die Anforderungen an die Unternehmen sind groß – aber glücklicherweise ist Unterstützung verfügbar. So bietet beispielsweise Fujitsu spezielle Consulting Services, Edge-Produkte und Security-Dienstleistungen. Sie helfen dabei, die mannigfaltigen Möglichkeiten der Digitalisierung sicher auszuschöpfen und Angreifer zuverlässig fern zu halten. Die Erfahrung hat schon oft gezeigt, dass es sich lohnt, mit der Digitalisierung auch bei der Produktion anzufangen. Die Vorteile – erwartete und manchmal überraschende – sind immens. Aber bitte auf einer sicheren Basis.

Jamie Wilkie