Cybergefahren: Industrie-Systeme auf dem Prüfstand

Von Hendrick Lehmann. Das Fraunhofer IOSB in Karlsruhe bietet in seinem IT-Sicherheitslabor Unternehmen die Möglichkeit, sich über mögliche Schwachstellen in ihren Produktionssystemen zu informieren.

IT-Systeme generell werden immer wieder Opfer von gezielten und ungezielten Hackerattacken und auch industriell genutzte Systeme bilden mittlerweile keine Ausnahme mehr. Der vom Bundesamt für Informationssicherheit (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland hat in den letzten Jahren zahlreiche Fälle dokumentiert, in denen Produktionsstandorte in Deutschland Opfer von Cyberangriffen geworden sind.

Die Angriffe wurden in vielen Fällen von außen durch Emails, gesendet an Rechner in Büros oder der IT, mit bestimmter Schadsoftware durchgeführt. Auf diese Weise erhielten die Täter letztlich Zugriff auf produktionssensible Steuerungskomponenten. Diese konnten dann manipuliert und die Produktion damit ausgesetzt werden. Alternativ wie im Fall der Ransom-Schadsoftware „WannaCry“, sind Steuerungsrechner verschlüsselt worden, wobei auch das Zurücksetzen in den Ursprungszustand keine Abhilfe bot. Der Wirtschaft entstehen weltweit durch solche Attacken jährlich Schäden in Milliardenhöhe.

Lag früher der vordringliche Schutz von Produktionsstätten vor allem auf dem physischen Schutz, etwa einer Zutrittskontrolle zum Werksgelände oder Produktionsumgebungen, ist die Abwehr von Cybergefahren mindestens gleichrangig, wenn nicht sogar prioritär zu behandeln. Moderne Anlagen werden über speicherprogrammierbare Steuerungen (SPS) gefahren, die über ein Betriebssystem (Firmware) und eine Schnittstelle, über die das Anwenderprogramm geladen werden kann, verfügen.

Daneben sind auch die Bussysteme zu beachten, die für die Datenübertragung zwischen Anlagen und Komponenten zuständig sind. Kommuniziert wird mit der Nutzerebene zwischen Maschinen, Steuerungs- und Überwachungseinheiten über digitale standardisierte Schnittstellen wie OPC-UA und Ethernet-TCP-IP. Dies ermöglicht einerseits eine große Flexibilität beim Aufbau und Wartung solcher Systeme, etwa durch Fernzugriff, bietet aber gleichzeitig auch mögliche Einfallstore für externe Angriffe: „Ein Beispiel für die gestiegene Komplexität heutiger Systeme sind Bus-Koppler. Solche Komponenten verfügen heute über eine Vielzahl an zusätzlichen Services wie Fernkonfiguration oder das Versenden von Emails im Ereignisfall. Diese Dienste haben mit der unmittelbaren Steuerung der anhängenden Hardware nichts zu tun, können aber ein Einfallstor bilden“, erläutert Dr. Christian Haas, Informationsmanagement und Leittechnik am Fraunhofer IOSB.

Ein weiteres Problem in Bezug auf Produktionsanlagen und deren Steuerungen liegt in der unterschiedlichen Architektur und Nutzung im Vergleich zu herkömmlichen IT-Systemen, wie sie in der Verwaltung und in Büros der Unternehmen eingesetzt werden. Wenn Fertigungsanlagen wachsen, führt die längere Lebensdauer einzelner Steuerungssysteme häufig zu einem Mix alter und neuer Komponenten, die dann teilweise mit unterschiedlichen Betriebssystemen gesteuert werden – Stichwort „Never touch a running system.“ Dies erschwert das einheitliche Versorgen mit Updates (Patchen), zumal für ältere Betriebssysteme oft keine Sicherheitspatches mehr vorgehalten werden.

Das Einspielen sicherheitskritischer Updates in live-Produktionsumgebungen kann die Produktion beeinträchtigen, Virenscanner und andere Tools können die Kommunikation der Systeme untereinander zeitkritisch verzögern. Insofern erfordert das Absichern der Fertigungsanlagen andere Konzepte als der vergleichsweise einfache Schutz einer Büro-IT-Landschaft. „Security bedeutet hier im Unterschied zu Safety, sich nicht gegen den Zufall, sondern gegen gezielte Manipulationen zu schützen, was das fortlaufende Schließen von bekannt gemachten Sicherheitslücken in der Produktionsumgebung zwingend erforderlich macht“, so Haas. Unternehmen müssen sich häufig erstmal grundlegende Fragen zur Produktionssicherheit stellen, nämlich ob organisatorische und technische Anforderungen zusammenspielen und so organisiert sind, dass auch im Falle eines erfolgreichen Angriffs Maßnahmen und Pläne bereitstehen, wieder in den Normalzustand zu kommen.

Das IT-Sicherheitslabor des Fraunhofer IOSB bietet Unternehmen und den Mitarbeitern die Möglichkeit, reale Szenarien nachzustellen und die Auswirkungen zu untersuchen. Mit Hilfe des Labors können sich Unternehmen bei der Planung und Inbetriebnahme von sicheren Netzen und Automatisierungskomponenten beraten lassen und gemeinsam sichere Komponenten entwickeln. Das Sicherheitslabor bildet die gesamte hierarchische IT-Infrastruktur eines Fabrikstandortes mit Büronetz sowie Netzen für Produktionsplanung, Produktionsüberwachung und Produktionssteuerung nach. In dem Labor sind verschiedene „Modellfabriken“ nachgestellt, die mit realen Automatisierungskomponenten, die eine simulierte Produktionsanlage steuern, ausgestattet sind. Die Modellanlagen beinhalten typische Elemente wie Industrial Ethernet und drahtlose Komponenten, Industrie-Firewalls und SPS-Module. Unterschiedliche Konfigurationen der Anlagen lassen sich einfach über eine eigene Private Cloud herstellen und somit verschiedene Szenarien durchspielen. Damit können die Experten den Netzwerkverkehr in allen Bereichen analysieren, Netzwerkverbindungen über Sicherheitseinrichtungen leiten oder Angriffe gegen Komponenten durchführen. Dazu werden beispielsweise Elemente wie Buskoppler von verschiedenen Herstellern eingekauft und im Labor in Bezug auf die Protokolle auf Schwachstellen gegen verschiedene Angriffe getestet.

Das IT-Labor widmet sich vor allem den drei Schwerpunkten Anomalie-Erkennung, Produktionssteuerung und -überwachung sowie der Erkennung von Schwachstellen. Das Erkennen von Anomalien in Prozessen ist wichtig um festzustellen, ob diese auf Änderungen im Prozessablauf, auf Defekte oder Alterungserscheinungen in Produktionsanlagen zurückzuführen sind oder aber auf gezielte Eingriffe in die Prozessführung. Eine Überwachung der Kommunikationsverbindungen der Komponenten hilft beim frühzeitigen Erkennen von möglichen Eingriffen in den Prozessablauf.

Der Schwerpunkt Produktionssteuerung beschäftigt sich mit der Bewertung von standardisierten Kommunikationsprotokollen, die auf der Basis von Internet-Protokollen den weltweiten Zugriff auf Anlagenkomponenten erlauben. OPC UA (Open Platform Communications Unified Architecture) ist dabei ein Standard, der für die Kommunikation und den Datenaustausch im Umfeld der Industrieautomation 4.0 eingesetzt wird. Hier gilt es, mögliche Schwachstellen aufzudecken und Sicherheitsrichtlinien für die Anbindung an Cloud Umgebungen oder zu externen Drittanbietern zu erarbeiten.

Mit der Verwundbarkeits-Analyse sollen schließlich Sicherheitslücken und Fehler in Software-Implementierungen von Komponenten und Geräten gefunden werden. Hierzu können die Experten vom IOSB Firewallkonfigurationen und die Implementierung von Authentifikations- und Verschlüsselungsverfahren testen und auswerten. Mittels der Privaten Cloud lassen sich auch virtuelle Umgebungen für das Verhalten von Malware schaffen, um Abwehr-Strategien zu entwickeln.

Das Lernlabor Cybersicherheit der Fraunhofer Academy ist eine Zusammenarbeit zwischen Fraunhofer und ausgewählten Fachhochschulen mit dem Ziel, Mitarbeiter aus Unternehmen für anlagentechnische IT-Sicherheit zu qualifizieren. In verschiedenen Modulen können Teilnehmer praxisnah reale Bedrohungsszenarien nachstellen und geeignete Lösungskonzepte entwickeln.

Zu den inhaltlichen Schwerpunkten gehören etwa die industrielle Produktion/Industrie 4.0, Hochsicherheit und Emergency Response und Softwarequalität/Produktzertifizierung. Die kompakten, ein- bis dreitägigen Seminare sind auf Praxis ausgelegt, sodass die Teilnehmer ausreichend Gelegenheit haben, beispielsweise die Auswirkungen von Manipulationen realitätsnah nachzuverfolgen. Die Notwendigkeit solcher Seminare wird künftig steigen, denn der klassische Elektriker oder Mechatroniker, der bis vor einigen Jahren noch ausreichend für die Steuerung der Anlagen qualifiziert gewesen ist, wird zunehmend IT-Sicherheit in der Produktion mitdenken müssen.

Hendrick Lehmann, freier Mitarbeiter von PROTECTOR & WIK