Foto: Fotolia/Fotohansel

Industrie 4.0

Anpassung mit Augenmaß

Industrie 4.0 ist längst in der Produktion angekommen – wenngleich noch nicht in vollem Umfang und in allen Bereichen. PROTECTOR sprach mit Sicherheitsexperten von IBM und Bosch, an welchen Stellschrauben noch gedreht werden muss. Ohne externes Know-how und speziell geschulte Mitarbeiter wird es dabei nicht gehen. Denn es wachsen Gewerke zusammen, die bislang streng getrennt waren.

Industrie 4.0 darf das gewohnt hohe Niveau von Ausfallsicherheit und Effizienz des Standortes Deutschland nicht schmälern, darin sind sich alle Experten einig. Doch das kostet Geld und erfordert Änderungen im gewohnten Arbeitsablauf. Sowohl bei Bosch als auch bei IBM hat man bereits viel Erfahrung gesammelt.

Kräfte gebündelt

Bosch hat jüngst seine Aktivitäten auf dem Gebiet der vernetzten Fertigung in einem neuen Innovationscluster „Connected Industry“ gebündelt, um die eigenen Geschäftsbereiche, aber auch die Kunden bei der Umsetzung der „historischen Chance Industrie 4.0“ zu unterstützen. Bis Ende 2015 soll es rund 200 Mitarbeiter umfassen, die 100 Pilotprojekte bearbeiten.

Schon allein wegen der langen Lebensdauer und der hohen Investitionskosten von Fertigungsstraßen verbietet es sich, wegen Industrie 4.0 alles neu aufzubauen. Die bestehenden, gewachsenen Produktionsumgebungen, sind und bleiben das Rückgrat des produzierenden Gewerbes. Es sind allerdings Anpassungen und Ergänzungen nötig, auch bei Ausschreibungen. „Die Herausforderung besteht darin, Connectoren beziehungsweise Gateways so zu entwickeln, damit bestehende Maschinen in die Wertschöpfungsnetzwerke integriert werden können. Darüber hinaus müssen neue Industrie 4.0-Komponenten die nötigen Security-Fähigkeiten bereits erhalten,“ erläutert Michael Jochem, Sicherheitsexperte beim Bosch Innovationscluster „Connected Industry“.

Schwächstes Glied der Kette entscheidend „Die Nutzung der Industrie 4.0-Vorteile erfordert sichere Wertschöpfungsnetzwerke zwischen Maschinen, Menschen und Werke durch unsichere Netzwerke. Das schwächste Glied in der Wertschöpfungskette ist dabei entscheidend für die Security der Wertschöpfungskette. Die Vertraulichkeit („Ist derjenige, der mir Informationen schickt, derjenige, der er behauptet zu sein“), Integrität (die Daten werden nicht modifiziert / bleiben unverändert) und Verfügbarkeit (sind notwendige Informationen für Produktionsprozess immer verfügbar) des Netzwerks müssen gewährleistet sein.“
Michael Jochem

Durch geeignete Maßnahmen (Firewalls, Netzwerksegmentierung, Zonierung) werden die Fertigungsanlagen nach seiner Meinung sicher geschützt. Neue Komponenten sollten die nötigen Security-Fähigkeiten bereits erhalten. Damit erweitert sich der Kriterienkatalog für die Beschaffung.

Spezielles Umfeld

Erstmals ist die Produktionstechnik direkt und in hohem Maße mit Schädlingen aus der PC-Welt konfrontiert, ohne das die Sicherheitsmechanismen der Büro-IT einfach übernommen werden könnten. Den klassischen Virenscanner wird es definitiv nicht geben, denn er ist auf ständigen Nachschub für seine „schwarzen Listen“ verbotener Programme und Skripte angewiesen. „Schon der Update-Prozess würde zum Stillstand der Maschinen führen, erläutert Michael Jochem, „whitelisting ist ein geeigneteres Mittel“. Nur erlaubte und geprüfte Software kommt dann im Maschinenpark zum Einsatz.

So einfach diese Forderung klingt, sie stellt die Praxis der etablierten Büro-IT auf den Kopf. Jochem steht mit seiner Meinung nicht allein. Auf dem IT-Sicherheitskongress des BSI hatten alle Experten einmütig davor gewarnt, Produktionsanlagen wie Büro-Computer zu behandeln. Die Folgen können dramatisch sein. Schon der Einsatz eines Port-Scanners, der nur die vorhandenen Kommunikationspartner auflistet, kann kostspielige Folgen haben, wie Marcel Kisch, Executive Consultant Security bei IBM, weiß. „Einige Komponenten der Produktion verkraften noch nicht einmal eine einzige Ping-Anfrage und steigen aus. Das Problem ist viele Jahre bekannt und gilt auch nicht mehr für alle neuen Komponenten. Für sensible Umgebungen gibt es ebenfalls bereits seit vielen Jahren brauchbaren und industrietauglichen Schutz zum Nachrüsten. Wir von IBM arbeiten hier mit Partnern, die solche Lösungen anbieten.“

Fehl am Platz

Selbstverständlichkeiten der Office-IT können schnell desaströse Reaktionen auslösen, wenn man sie ohne Anpassung auf die Produktion überträgt. Das gilt nicht nur für den „Patchday“ sondern auch für andere Wartungsarbeiten. „Möchten Sie, dass die Gas-Notabschaltung ihres Hauses nicht durchgeführt werden kann, weil die Leitstelle gerade einen Passwort-Reset durch den „IT Helpdesk“ durchführen lassen muss?“ fragt Marcel Kisch rhetorisch.

Große Chance „Wir haben mit Industrie 4.0 eine großartige Möglichkeit, die Entwicklung und damit die Zukunftssicherung des produktionsstarken Wirtschaftsstandorts Deutschland zu stärken. Gleichzeitig verfügen wir über die Möglichkeit, maßgeblich auf zukünftige Security-Maßnahmen Einfluss zu nehmen und etwa unser Verständnis von Security und Datenschutz zu exportieren.”
Marcel Kisch

Anpassung bedeutet für Kisch zunächst einmal „neue Ansätze im Kopf“. Das bewerten der Experte als wichtiger als Grundlagenforschung und die Weiterentwicklung der bereits etablierten Normen IEC62443 oder der ISA99. Der Unternehmensberater und Sicherheitsexperte bringt dazu in den Unternehmen zunächst alle Abteilungen zusammen, auch solche, sie bislang keinen direkten Kontakt hatten. In den meisten Firmen, so seine Erkenntnis, arbeiteten IT und Produktion eher berührungslos nebeneinander her, statt miteinader nmögliche Schwachstellen zu finden. „Unternehmen wäre zu empfehlen, kombinierte Teams aus „IT-Experten“ und Produktionsspezialisten zu bilden, die auf gleicher Augenhöhe eine gemeinsame Sicht auf die Risiken und Gegenmaßnahmen einer vernetzten Produktion entwickeln.“

Da sich die Produktionsumgebung vielschichtig von der Office-Umgebung unterscheidet, sollte die Bereitschaft zur Entwicklung risikobasierter kompensierender Maßnahmen gefördert werden - ein Fingerpointing ist dazu nicht geeignet. „Denn machen wir uns eines klar: Der Anteil von Schutzmaßnahmen am Unternehmenserfolg ist zumindest heute noch äußerst gering“, so Kisch. Entsprechend gering wurde bislang der Handlungsbedarf eingeschätzt. Nach Analyse der veränderten Rahmenbedingungen dürfte sich diese Einschätzung ändern. Dann gilt es, konkrete Maßnahmen einzuleiten, und dies natürlich vor allem dort, wo Risiko und Schadenspotential besonders hoch sind. „Eine kluge Security-Investition erfolgt immer zuerst in das höchste Schadenspotential“, so Kisch. Doch dazu müssen potentielle Gefahren und Risiken für Produktionsausfälle erst einmal erkannt und genau quantitativ bewertet werden. Damit steigt das Schutzniveau, ein absoluter Schutz ist natürlich nie zu erzielen, vor allem nicht bei gezielten Angriffen. Staatliche oder halbstaatliche Organisationen haben in der Vergangenheit mit erheblichem finanziellen Aufwand Schwachstellen gesucht und gefunden. Für den kleinen Geldbeutel gibt es im „Darknet“ solche Schwachstellen für jedermann zu kaufen. Das erhöht das Risiko, gerade für Mittelständler.

Schlimmster Fall wird nicht verhindert

„Wir sehen heute mehr zielgerichtete Angriffe auf Unternehmen. Diese zu erkennen ist nur mit einem Mix an verschiedenen Maßnahmen - und dem richtigen organisatorischen Security Reifegrad - oder der Auslagerung an einen starken Managed Security-Partner möglich. Bezüglich Produktionsanlagen gehen wir einmal von einem modifizierten Fall eines bekannten Vorfalls aus: Ein zielgerichteter Angriff erfolgt über mehrere Zulieferer auf eine betreute Anlage, eine Industriekomponente wird umkonfiguriert und erzeugt Schäden am Endprodukt. Die Umkonfiguration wird der angeschlossenen Steuer- und Regeleinheit gegenüber versteckt. Der Angriff erfolgt durch etablierte Kommunikationswege und nutzt unbekannte Schwachstellen, die vorher erworben wurden. Keine Technologie der Welt kann einen bisher unbekannten Angriff erkennen, werden bestehende Vertrauensbeziehungen ausgenutzt erscheint noch nicht einmal ein einziges „access denied“. Unser Ansatz hier ist einfach: Wir können es im schlimmsten Fall nicht verhindern, aber wenigsten nachträglich analysieren und somit die Ursache und alle betroffenen Systeme erkennen und bereinigen. Es klingt nicht nach viel, aber es kann helfen, die Kosten für einen kompletten Austausch der Hardware und Software erheblich zu reduzieren“, erläutert Kisch.

Im Bereich der Office-IT sind solche Analyse-Tools inzwischen Standard, in Produktionsumgebungen fehlen sie meist. Das muss sich ändern, glaubt auch Jochem. „Die aus dem Office-Bereich bekannten Detektionsfähigkeiten müssen für den Produktionsbereich entwickelt und bereitgestellt werden, sie gehören in Zukunft zur Grundausstattung.“

Bernd Schöne
Foto: Trend Micro

Industrie 4.0

Verschmelzung zweier Welten

Unter dem Schlagwort Industrie 4.0 treiben Politik und Industrie die Vernetzung von IT-Systemen in der Produktion weiter voran. Unklar ist dagegen, wie auf die damit verbunden Sicherheitsprobleme adäquat reagiert werden kann. Fachjournalist Bernd Schöne sprach für den PROTECTOR darüber mit dem IT-Sicherheitsexperten Udo Schneider von Trend Micro.

Das IT-Sicherheitslabor des Fraunhofer IOSB bietet die Möglichkeit, reale Szenarien nachzustellen und Auswirkungen zu untersuchen.

IT-Sicherheit

Cybergefahren: Industrie-Systeme auf dem Prüfstand

Industrieanlagen sind heute digital vernetzte, komplexe Systeme. Das macht sie einerseits immer effizienter, aber auch anfälliger für Cyberangriffe.

Foto: Fraunhofer IPA

Industrie 4.0

Neue Sicherheitsstandards sind nötig

Rund um das Thema Industrie 4.0 ist bereits eine beachtliche Industrie entstanden, die ihre Produkte anbietet. Doch noch längst nicht für alle Bereiche stehen Lösungen „fertig aus dem Regal“ zur Verfügung. Hier ist die angewandte Forschung gefragt. Eines der Zentren in Deutschland ist das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching, das von Prof. Claudia Eckert geleitet wird.

Foto: Siemens

Chancen und Risiken von Industrie 4.0

Von Anfang bis Ende

Industrie 4.0 ist eines der aktuellen Schlagworte für Unternehmen. Moderne Industrieprozesse sind ohne digitale Infrastrukturen nicht mehr denkbar. Doch verschiedene Beispiele zeigen, dass Datensicherheit und Schutz vor Manipulationen immer wieder neu durchdacht werden müssen, damit die Industrie ausreichend gewappnet ist.