Die vierte industrielle Revolution

Die „Industrie 4.0“, wird in den nächsten Jahrzehnten die Wirtschaft dominieren und für kräftige Wachstumsimpulse sorgen. Sie birgt aber auch neue Risiken. In Zukunft wachsen Technologien zusammen, die Jahrzehntelang nur nebeneinander her existierten. Die Risiken interessierten niemanden. Das sollte sich schleunigst ändern, sonst werden die Schäden gigantisch, warnten Experten jüngst auf einer Konferenz beim Münchner Sicherheitsspezialist Giesecke & Devrient. Hier druckt man Geldscheine, personalisiert Kreditkarten und stellt alle Arten von Ausweissystemen her.

Im Fokus standen zunächst Produktionseinrichtungen, doch lassen sich auch in der Gebäudeleittechnik und bei den aktuell ausgerollten Smart Metern ähnliche Angriffsvektoren aufzeigen. Fertigungsanlagen stellen eine besondere Herausforderung dar, denn sie haben eine lange Lebensdauer, und die Lieferanten machen Wartungsverträge und Garantien abhängig vom unveränderten Zustand ihrer Apparate. Bei Schweißrobotern, Aktoren und pneumatischen Stellgliedern mal eben einen Bug zu patchen ist also nicht so einfach. Sich ständig updatende Antivirensoftware verbietet sich in diesem Umfeld daher schon fast von selbst. Im Gegensatz zu Desktop-PCs und Serverfarmen müssen Roboterstraßen oft gänzlich ohne aktiven Schutz auskommen. Trotzdem ist der Drang zu Vernetzung nicht aufzuhalten. Nachdem in den 90er und 2000er Jahren die PCs weltweit über das Internet zusammenrückten, sind nun die Fertigungsmaschinen an der Reihe.

Das „Internet der Dinge“ verspricht viel. Flexiblere Fertigung, schnellere Prozesse und vor allem höhere Effizienz. Die vierte industrielle Revolution steht in den Startlöchern. Nach Dampf und Elektrotechnik ist es nun die universelle Vernetzung über die Cloud, die enorme Effizienzsteigerungen verspricht. Das Wirtschaftsleben wird durch ein lückenloses Netz von Informationsgebern und Informationsempfängern umkrempelt. Der Übergang von isolierten Systemen zu vernetzten macht diese aber auch empfindlicher, denn in Zukunft ist jeder Roboterfinger mit dem Internet verbunden.

Damit sind Industrieanlagen und komplette Fertigungsstrecken denselben Risiken ausgesetzt wie die Business-IT im Büro. Bislang blieben die Angriffe auf die verborgenen Computer der Öffentlichkeit meist verborgen. Die Betroffenen reden nicht gerne über die erlittenen Schäden und ins Auge springen sie selbst den Beschäftigen nicht. Die betroffenen Rechner stehen nicht mit Bluescreen auf dem Schreibtisch, sondern sind innerhalb der Apparate diskret verbaut. Aber auch diese verborgenen Computer funktionieren wie normale PCs. Sie sind sogar noch wesentlich verwundbarer, gerade weil sie ohne menschliche Kontrolle arbeiten. Es kann einige Zeit dauern, bis sich die Folgen zeigen. 2009 ruinierte der Wurm „Stuxnet“ im Iran diverse Uranzentrifugen und warf das Atomprogramm des Landes um Jahre zurück. Er nutzte vier bis dahin unbekannte Sicherheitslücken aus, erforderte geschätzte sechs Mannjahre Entwicklungszeit. Eingeschleust wurde er über einen Datenträger, nicht über das Internet. Stuxnet ist vom Aufwand her eine Besonderheit, das Schadens-Szenario aber alles andere als exklusiv.

Anders als bei Stuxnet sind es aber oft keine gezielten Angriffe, sondern eher zufällige Schäden, verursacht durch Unvorsichtigkeit, schlechtes oder nicht vorhandenes Sicherheitsdesign oder schlicht das zusammentreffen unglücklicher Umstände. „Bei einem großen Automobilhersteller wollte ein Servicetechniker nichts weiter tun, als die Servicemitteilungen und Zustandsbeschreibungen eines Roboters auslesen“, erläuterte einer der Experten“; anschließend stand für sechs Stunden die Motorblockgießerei.“ Auf dem Notebook des Technikers befand sich Malware, die sich sofort ausbreitete. Zunächst legte sie den angeschlossenen Roboter lahm, breitete sich dann über das Netzwerk aus und führte schließlich zum Produktionsstopp in der gesamten Halle. Ein sofort zu Hilfe eilender Kollege machte die Sache nicht besser. Auch auf seinem Computer befand sich Malware. Kein Einzelfall.

In den Prozessrechnern von US-Kraftwerken wurden inzwischen Viren gefunden, wie Michael Krammel, Sicherheitsspezialist für Prozessleittechnik der Koramis GmbH erläuterte. Im Jahr 2000 schaffte es in Australien ein Techniker gleich mehrfach hintereinander, städtische Abwässer umzuleiten und so insgesamt 800.000 Liter verseuchtes Brackwasser in Flüsse, Parks und sogar in ein Hotel zu pumpen. Zwischenzeitlich gehorchten 140 Pumpstationen seinen Befehlen. Schließlich beendeten Privatdetektive sein Treiben und überstellten ich an die Justiz. Es kostete Millionen Euro, die Stadt von der dreckigen Brühe zu säubern. Der Mann war ein Insider. Bis zu seiner Entlassung hatte er für die Firma gearbeitet, der das System betrieb, und seine Handlungen waren Rache für den Rausschmiss.

Schon 1994 schlichen sich Hacker in die Steuerung des Roosevelt Damms in den USA ein, über Schäden ist allerdings nichts bekannt. Im Gegensatz zum Jahr 1982. Damals explodierte eine Pipeline in Sibirien, was ebenfalls einem gehackten Steuercomputer zugeschrieben wird. Diese SCADA-Systeme (Supervisory Control and Data Acquisition) steuern als Prozessrechner alle wichtigen Funktionen von Industrieanlegen, lesen Temperatur und Druck aus, steuern Ventile und Schieber. Werden sie mit den falschen Befehlen gefüttert, sind die Folgen katastrophal. Ganz gleich, ob Absicht oder Schlamperei die Ursache ist.

Dass solche Angriffe überhaupt bekannt werden, ist die extreme Ausnahme. Daher fordert der Berliner Sicherheitsberater Felix Lindner eine Meldepflicht für solche Vorkommnisse, damit „endlich mehr Klarheit herrscht.“ Lindner sprach in München als „Hacker zum Anfassen“, über Angriffsszenarien. Die Chancen für Kriminelle stehen nach wie vor gut, nicht zuletzt wegen der Schludrigkeit der Betreiber.

Während im Business-Umfeld zumindest ein gewisses Maß an Aufmerksamkeit hinsichtlich Sicherheit, Virenschutz und Zugangskontrolle besteht, ist das in Produktionsumgebungen oft nicht der Fall. Mitarbeiter schleusen ohne Wissen des Managements W-LAN-Zugänge in das Rechnernetz, um sich die Arbeit zu erleichtern, und öffnen so unwissentlich einen Gerätepark im Wert von Millionen Euro Angriffen von außen. Dazu kommen Wartungszugänge, die Grenzen vom Ländern und Kontinenten sprengen. Im Jahr 2002 listete das BSI die zehn wichtigsten Bedrohungen der Industrie-Elektronik auf und führte diese unkontrollierten Zugänge als häufigstes Sicherheitsproblem an. Aktuell fand Felix Lindner völlig ungesicherte Stromgeneratoren eines deutschen Herstellers. Sie tun auf weit entfernten Baustellen Dienst und versorgen dort lebenswichtige Aggregate. Auch ganze Kohleminen stehen im Internet, wie Lindner zeigen konnte.

Spezifische Probleme des „Internets der Ding“ und des „Internets der Dienste“ tauchen überall dort auf, wo Schwachstellen von Steuersystemen zu Schäden durch Hacker oder durch Malware führen. Außer Kontrolle geratene Roboter können Menschen ernsthaft verletzte, falsch gesetzte Schweißpunkte ganze Produktionschargen ruinieren und rezeptwidrig zusammengemischte chemische Produkte stellen eine erhebliche Bedrohung für die Anwender dar. Aber nicht nur die Kunden und die Erzeugnisse sind gefährdet. In der chemischen Industrie sind sogar die Produktionsstädte selbst gefährdet.

„Die Produktionstechnik ist in ihrer Gesamtheit als kritische Infrastruktur zu werten“, meinte Dr. Thorsten Henkel, Bereichsleiter für Sichere Informationstechnik am Fraunhofer Institut SIT in Darmstadt. Er wies darauf hin, dass nach einer VDE-Umfrage die Frage der IT-Sicherheit noch vor dem Mangel an Standards und dem hohen Qualifizierungsbedarf der Mitarbeiter als einer der größten Hürden auf dem Weg zur „Industrie 4.0“ gesehen wird. Sicherheitsmängel hemmen also den technischen Fortschritt, weil sie Investitionen verhindern.

Zu den Besonderheiten der Industrie-IT gehört, dass selbst wichtige Updates nur in vorher geplanten Ruhepausen des Produktionsprozesses aufgespielt werden können, einfach weil rund um die Uhr produziert wird. Bei eine 24 Stunden sieben Tage die Woche Betrieb sind Pausen teuer. Ein spontaner Reboot ist nicht akzeptabel noch würde zusätzliche Risiken mit sich bringen. Dazu kommt die lange Lebensdauer der Anlagen. 20 bis 30 Jahre Betriebszeit für eine Fertigungsstrecke sind keine Seltenheit. Am Ende sind die verwendeten Computer Museumsstücke, für die es weder Ersatzteile noch Sicherheitsupdates gibt. Vor allem Scada/PLC-Systeme, die auf veralteten PC-Betriebssystemen aufsetzen, gelten bei Insidern als tickende Zeitbomben. Rechner mit NT- und sogar DOS-Betriebssystem sind auch heute noch anzutreffen, obwohl die Hersteller den Service längst abgekündigt haben.

Doch gänzlich hoffnungslos ist die Situation nicht. Die Besonderheiten der Prozeßleittechnik lassen sich aber auch nutzen, um sie sicherer zu machen, darauf wies Rainer Rodler vom Zulieferer ZF aus Friedrichshafen hin. „Whitelisting ist einer der Möglichkeiten, die Anlagen abzusichern“, so Rodler. Denn im Gegensatz zur Business-IT ist die Anzahl der möglichen und erwünschten Operationen innerhalb einer Produktionsumgebung übersichtlich klein und ändert sich auch nicht. Dazu ist es lediglich notwendig, die erlaubten Befehle zu erfassen und den Datenverkehr zu überwachen.

Der Vorteil dieser proaktiven Sicherheitsmaßnahmen: Im Gegensatz zu Antivirengrammen schützen sie auch vor bislang noch unbekannter Malware. Ein Patch-Management ist nicht erforderlich und der Ressourcenverbrauch und damit die Belastung der IT bleibt konstant. Dies ist bei zeitkritischen Prozessen besonders wichtig, damit der Schutz nicht die Reglungstechnik durcheinanderbringt. Gleichzeitig sollte die Netzwerktechnik schlau genug sein, infizierte Rechner zu isolieren, um nicht weitere Produktionsapparate zu gefährden. Dazu ist aber zunächst ein begründetes Vertrauen der Roboter zueinander nötig.

Das Fraunhofer Institut SIT in Darmstadt untersucht dies gerade im Rahmen der Projekte „Trustmanet“ und „ANSII“ (Anomalieerkennung und eingebettete Sicherheit in industriellen Informationssystemen). Sie sollen eine sichere Umgebung für Prozesstechnik schaffen, und beruht im Wesentlichen auf den bekannten TPM-Modulen (Trusted Plattform Module). Diese sind in der Lage, den unmanipulierten Gerätezustand nachzuweisen und sind den Anwendern aus der PC-Welt vertraut. Die Chips verfügen über starke Kryptografie, eingebaute PKI mit Herstellerzertifikaten und beherrschen bei Bedarf auch den Umgang mit kundenspezifischen Schlüsseln. Ändert sich etwas am Gerätezustand, geben die Sicherheitsmodule Alarm.

Ähnliches gilt, wenn jemand zusätzliche Komponenten wie W-LAN-Router in das Netz einklinkt. Zur neuen Sicherheitsphilosophie gehört der Gedanke, dass jeder Netzwerkknoten den Zustand jedes anderen Netzwerkknoten überwacht und Änderungen erkennt. Besondere Aufmerksamkeit legen die Designer auf Nutzerfreundlichkeit, denn dies fordert die Industrie. Niemand möchte den Bedarf für zusätzliche IT-Sicherheitsspezialisten schaffen, die permanent in den Produktionshallen anwesend sein müssen. Die neue Sicherheitstechnik soll daher möglichst ohne aufwendige Konfiguration auskommen und auch vom Gebäude-Elektriker installierbar sein. Ob diese Wünsche in Erfüllung gehen, wird sich zeigen, wenn aus den Projekten ein Produkt geworden ist.

Forscher und Verbände haben noch mehr in der Pipeline. Dazu gehört das zügige Auffüllen aller Lücken, welche die teilweise noch recht rudimentären Sicherheitsnormen der ISO-Familie 27 000 lassen. Die im Produktionsumfeld verwendeten Bussysteme sollten eigene Sicherheitsfeatures bekommen, ähnlich dem ethernetbasierten Safetynet, das vertrauenswürdige Netzwerkbereiche kennt. Es ist zu wünschen, dass sich die partiell deckungsgleichen Überlegungen von Organisationen wie Safety Network International e.V. und der Profibus Nutzerorganisation e.V. in diesem Punkt synchronisieren lassen.

Eine neue Netzwerktechnik würde die Basis für ein durchgängiges Bussystem schaffen, das Gebäudeautomation und Produktionstechnik umfasst. Dann könnten alle Brandmelder in einem Industriebetrieb in ein Netz einspeisen. Das würde im Brandfall kostbare Zeit sparen, da es zu direkten Reaktionen bei den Maschinen in der Halle führen würde. Etwa durch Reduktion der Brandlast bei Schweißrobotern durch Stopp der Gaszufuhr. In ein solches Bussystem ließen sich dann auch die Zutrittskontrolle und die Gebäudeleittechnik integrieren.