Foto: Trend Micro

Industrie 4.0

Verschmelzung zweier Welten

Unter dem Schlagwort Industrie 4.0 treiben Politik und Industrie die Vernetzung von IT-Systemen in der Produktion weiter voran. Unklar ist dagegen, wie auf die damit verbunden Sicherheitsprobleme adäquat reagiert werden kann. Fachjournalist Bernd Schöne sprach für den PROTECTOR darüber mit dem IT-Sicherheitsexperten Udo Schneider von Trend Micro.

Der aus den USA stammende Begriff „Internet der Dinge“ und das Deutsche „Industrie 4.0“ beschreiben beide die Vernetzung bislang nicht vernetzter IT-Systeme. Die Abkehr vom Silo-Gedanken in der Produktion führt zu neuen Risiken, das haben Experten schnell erkannt. Betroffen sind die beiden Aspekte der Sicherheit: Safety und Security. Im englischen Sprachraum wird die Betriebssicherheit mit Safety (Gefahrlosigkeit) bezeichnet. Der zweite Aspekt der Sicherheit wird im englischen Security (Schutz, Sicherheit) genannt und umfasst unter anderem die Bedrohungsszenarien der IT. Noch ist völlig unklar, wie auf die Sicherheitsprobleme bei „Industrie 4.0“ zu reagieren ist. Experten attestieren einen enormen Informations- aber auch Forschungsbedarf. Der japanische Anti-Viren-Anbieter Trend Micro beschäftigt sich bereits seit Jahren intensiv mit dem Thema und hat schon erste Produkte speziell für diesen, sich entwickelnden Markt im Angebot. Ein Grund, sich mit dem deutschen Sicherheitsexperten Udo Schneider von Trend Micro zu unterhalten.

PROTECTOR: Die Industrie 4.0 will vertikale und horizontale Wertschöpfungsketten vernetzen. Was bedeutet das für die Sicherheit?

Udo Schneider: Vernetzung bedeutet immer: es fließen Daten und damit möglicherweise auch Schadcode. Das lässt sich nicht gänzlich verhindern, denn im Kontext von Industrie 4.0 wird gerade die durchgängige Vernetzung möglichst vieler Systeme gefordert und ist der zentrale Schlüsselbaustein des Vorhabens. Damit erhöht sich in gewissem Maße zumindest das Risiko von zusätzlichen Schäden und Unfällen, denn zum einen gibt es sehr viele Altanlagen, die ursprünglich als reine Silos ohne Anbindung an andere IT-Systeme konzipiert wurden, und denen folglich die heute nötigen Sicherheitsfunktionen schlicht fehlen.

Gibt es Unterschiede zwischen den Anforderungen an Safety und Security von Produktionsumgebungen gegenüber denen der klassischen IT?

IT-Sicherheit wird in Produktionsumgebungen zur reinen Dienstleitung. Das bedeutet auch, dass nicht jedes Betriebssystem und jedes Anwenderprogramm ständig auf dem aktuellsten Sicherheitsstand gehalten werden kann, wie man sich dies unter reinen IT-Security-Gesichtspunkten vielleicht wünschen würde. Die IT-Security muss sich hier neu erfinden und dabei nicht so wichtig nehmen.

Was bedeutet das in der Praxis?

Schutzmaßnahmen dürfen den Produktionsprozess nicht gefährden. Es ist immer eine Abwägung, was an Updates aufgespielt werden muss, und zu welchem Zeitpunkt das geschehen sollte. Mal eben drei Tage Produktionsausfall riskieren, nur um die aktuellste Version des Betriebssystems einzusetzen, kann sich kein Verantwortlicher leisten.

Industrie 4.0 will die vertikale, später eventuell auch die horizontale Vernetzung von Vertriebs- und Wertschöpfungsketten. Welche Herausforderungen stellt das an die IT-Sicherheit?

Durch die Vernetzung bislang isolierter Steuerungssysteme mit anderen IT-Komponenten potenzieren sich die Risiken. Der Betrieb muss sich darauf vorbereiten und handeln, denn diese hat Auswirkungen auf Safety und Security gleichermaßen.

Experten sagen, Industrie 4.0 beinhaltet neue Sicherheitsrisiken, weil Malware von der PC-Welt auf die Produktionseinheiten übergreifen könnte, dort aber kaum Schutzmaßnahmen vorhanden sind. Haben diese Stimmen recht?

Teilweise sicher, aber man muss die Geschichte kennen. Viele Dinge, die man sich in der Office-IT heute nicht einmal mehr vorstellen kann, sind bis heute in der Produktion üblich. Dazu zählt, dass man Betriebssysteme über Jahre hinweg unverändert lässt, auch wenn der Anbieter Updates anbietet. Das war in der Vergangenheit lange Zeit normal und auch ausreichend sicher, wenn es sich um wirklich isolierte Produktionsumgebungen gehandelt hat. Das Ausnutzen von bekannten Schwachstellen, den so genannten Exploits, ist unter diesen Umständen nämlich fast unmöglich. Ganz im Gegenteil: Jedes Patch birgt eigene Sicherheitsrisiken, wenn es nicht getestet und verifiziert wurde, bevor man es aufspielt. Es hat hier in der Vergangenheit schon massive Schäden gegeben, vor allem bei Verkaufsplattformen aber auch Behörden. Mitarbeiter waren für Tage zur Untätigkeit verdammt, weil die IT nach einem Patch nicht mehr verfügbar war.

Die Vernetzung führt also zu neuen, bislang unbekannten Problemen: wie sollte man darauf reagieren?

Wir haben es mit der Verschmelzung zweier Welten zu tun, die bislang wenig miteinander in Berührung kamen, die sogar ganz gezielt abgeschottet wurden. Man spricht von Silo-Architektur. Diese Silos kommunizierten nur über genau bekannte Schnittstellen und nur in geringem Umfang miteinander.

Warum haben die Anti-Viren-Hersteller diesen Markt so lange ignoriert?

Es war schlichtweg kein Markt vorhanden, und das trotz des eventuell bei einzelnen Kunden vorhandenen Interesses. Man vertraute ganz auf die Sicherheit durch die vermeintlich totale Abschottung der Systeme. Daher gab es auch keine Angebote.

Ist der Standort Deutschland durch die Entwicklung bedroht?

Deutschland ist auf einem guten Weg. Wenn wir aber zu lange an der "perfekten" Lösung arbeiten, ist die Entwicklung des Standortes Deutschlands als Ursprungsland hochwertiger Produktionsanlagen durchaus gefährdet. Denn eine Lektion, die wir aus der IT-Welt gelernt haben, trifft höchstwahrscheinlich auch auf die Industrie 4.0 zu. Es gewinnt nicht der, der das erste oder das perfekte Produkt auf dem Markt bringt – sondern derjenige, der früh genug ein ausreichend funktionelles Produkt zum richtigen Preis auf den Markt bringt! Dies widerspricht zwar vielleicht dem Drang nach Perfektion, dem viele Ingenieure frönen, ist aber letztendlich unsere einzige Chance. Immerhin ist "Industrie 4.0" vom Schlagwort der deutschen Regierung zum weltweiten Thema geworden. Dank der frühen Initiative haben wir einen Vorsprung von ein bis zwei Jahren. Den sollten wir sichern und ausbauen!

Trend Micro hat auch auf der Industriemesse in Hannover seine Produkte vorgestellt. Gezeigt wurde als Beispiel ein Roboterarm, der durch einen eigentlich gut bekannte PC-Viren funktionslos gemacht wurde. Erst nach der Desinfizierung des Steuerungscomputers, funktionierte der Arm wieder. Das System haben sie bei Fischertechnik gekauft. Geht infizieren und heilen in der realen Welt ähnlich einfach?

Zumindest das Infizieren. Inzwischen finden sich viele Produktionsanlagen am Internet, die dafür nie ausgelegt waren. Damit unterliegen sie aber den gleichen Sicherheitsrisiken, wie die Office-IT, denn dort werden dieselben Standardkomponeten wie zum Beispiel Betriebssysteme, Webserver, Datenbanken etc. verwendet, wie in der Office-IT. Die Schwachstellen dieser Komponenten sind durchaus bekannt sind und Angriffswerkzeuge verfügbar. Einen Unterschied gibt es aber noch: Wenn man einmal von Vandalismus oder Terrorismus absieht, gibt es noch kein richtig gutes Geschäftsmodell beim Angriff auf Industrieanlagen. Erpressungstrojanern gibt es in der Produktions-IT noch nicht. Hoffen wir, dass es noch einige Zeit so bleibt. Denn wenn ein solches Model gefunden wird, treten auf einmal Cyberkriminelle auf den Plan, deren Effizienz der Office IT in mehr als einer Hinsicht manche schlaflose Nacht bereitet hat. Zum zweiten Teil der Frage: Ganz so einfach wie im Modell ist ein Desinfizieren vermutlich nicht, weil die diversen Komponenten nach dem Säubern wieder in einem definierten Zustand überführt werden müssen. So etwas lässt sich mit einer komplexen Produktionsanlage weder testen noch simulieren. Forschungsinstitute arbeiten hier an Simulationsmodellen, die eventuell wertvolle Hinweise zur schnellen Schadenbekämpfung geben können.

Wie kann man sich vor Ort konkret schützen. Gibt es bereits Produkte?

Spezielle Produkte für den Servicetechniker vor Ort gab es lange Zeit nicht. Trend Micro hat mit dem Safelock einen USB- Stick entwickelt, der die Anforderungen von Produktionsumgebungen berücksichtigt. Denn hier sind zwar viele Computer, aber nicht immer Monitore vorhanden, das Personal wünscht zudem klare Hinweise, was zu tun ist. Während der Ausbildung wurden die Bedürfnisse der IT-Sicherheit meist nicht berücksichtigt. Komplizierte Fehlermeldungen führen hier nur zu weiteren Problemen. „System OK“ oder „System bedroht“ sind die Rückmeldungen, mit denen die Bediener in der Werkshalle etwas anfangen können. Wir haben dazu einen Stick entwickelt, der ohne Installation funktioniert und dem Anwender mit drei Leuchtdioden eine einfache optische Rückmeldung über den Zustand der Systeme gibt. Wenn die rote Diode leuchtet, ist Gefahr im Verzug und er sollte Unterstützung anfordern, bei „grün” ist alles in Ordnung, bei „gelb” bleiben Zweifel. Nur der Stick, aber nicht das eigentliche Produktionssystem, wird ständig mit aktuellen Vireninformationen versorgt. Damit entfallen viele Bedenken und Gefahren. Beim Trend Micro Portablesecurity handelt es sich um eine Möglichkeit, Systeme, die nicht vernetzt werden sollen, trotzdem mit Pattern- Updates zu versorgen. Sie werden auf den Stick geladen, und vom Administrator händisch ans System angeschlossen. Der Stick garantiert, dass nur die gewünschten Files übertragen werden, und sonst nichts. Auf demselben Weg gelangen Quarantäne-Informationen beziehungsweise Logfiles zurück. Auch hier garantiert der Stick, dass keine Malware „mitwandert”.

Ein weiteres Produkt ist Safelock. Es „friert“ die Systeme ein. Das heißt, der aktuelle Status eines Systems, inklusive des Betriebssystems und der Applikationen wird auf einem bestimmten Stand eingefroren. Ab diesem Moment kann keine neue oder fremde Software auf dem System ausgeführt werden. Selbst eine Malware auf einem USB- Stick hat keine Möglichkeit, zu starten. Auch Safelock ist auf „Offline“Umgebungen ausgerichtet. Eventuell vorhandene Portablesecurity-Sticks können aber zum Update oder Logfile-Transport genutzt werden.

Sie haben die offizielle Berufsbezeichnung “Evangelist”. In den USA eine durchaus geläufige Bezeichnung für eine besondere Form von Öffentlichkeitsarbeit. Was predigen Sie den Arbeitern in der Werkhalle - und was der Geschäftsleitung?

Den Arbeitern in der Werkhalle eher wenig. Hier ist höchstens ein wenig Aufklärung Not, zum Beispiel, dass USB Ports an Maschinen keine Einladung sind, um das eigene Handy oder iPhone zu laden, denn es könnte so schnell Malware übertragen werden. Dergleichen ist mit desaströsen Folgen schon mehrfach passiert. Etwas anders sieht es in der “Chefettage” aus. Hier gehtes um die Umfangreiche Auswertung von Risikoanalysen und die Folgen daraus. Und nach einer solchen Prüfung kann die Empfehlung durchaus lauten, eine bestimmte Möglichkeit von Industrie 4.0 nicht zu nutzen. Werden sie trotzdem “per Order di Mufti” durchgesetzt bleibt letzten Endes die persönliche Haftungsfrage im Raum stehen.

Berater warnen schon vor dem Einsatz ganz gewöhnlicher Portscanner in Produktionsumgebungen. Der zusätzliche Netzwerkverkehr kann die Komponenten aus dem Takt bringen und Fehlerzustände erzeugen. Was kann man tun, um solche Sensibelchen zu schützen?

Diese Probleme rühren oft daher, dass man Busprotokolle, die früher über dedizierte Infrastruktur genutzt wurden, immer mehr auf IP/Ethernet aufgepflanscht hat. Im Gegensatz zu dedizierten Busverkabelungen garantiert IP/Ethernet weder das ankommen von Daten noch irgeneine Art von Latenz. Der EthernetAnsatz ist es, solche Probleme durch eine Überprovisionierung der physikalischen Bandbreite zu lösen. Wird nun zur Vernetzung eine “gerade ausreichende” Ethernetverkabelung genutzt, kann schön die simple Nutzung eines Portscanners die zur Verfügung stehende Bandbreite soweit reduzieren, dass es zu Ausfällen bei der Produktionskommunikation kommt. Letztendlich also ein Problem, dass man Office-IT Komponenten für Produktions-IT Kommunikation nutzt, dabei aber vergisst, dass die Produktion teilweise Anforderungen hat, für die die jetzt genutzte Office-IT Technologie nie konzipiert war. In solchen Umgebungen ist wirklich Vorsicht angeraten, sonst steht die Produktion nach dem Sicherheitscheck.

Ist mehr Grundlagenforschung nötig?

Neue Ansätze oder Grundlagenforschung ist nie falsch - es würde aber schon viel helfen, wenn man nur die Office-IT Technologien nutzen würde, welche die von der Produktions-IT benötigen Rahmenparameter nicht von vorne herein untergräbt. Das heißt in der Praxis: Nicht sofort übernehmen, sondenr zunächst einmal nachdenken!

Was empfehlen Sie beim Umstieg auf Industrie 4.0?

Beratung ist entscheidend, und natürlich eigenes Nachdenken. Das Know-how wird sicher aus der IT-Security kommen. Hersteller, Consultingunternehmen oder die IT-Sicherheitsabteilung stehen bereit. Völlig ungelöst ist leider die Frage, was mit existierenden Umgebungen passieren soll. Wenn diese in der Vergangenheit ohne die Anforderung zur Vernetzung konzipiert wurden, und dies plötzlich als zwingend notwendig erachtet wird, treten die oben angesprochenen Probleme mit aller Deutlichkeit zu Tage, ohne das bislang eine Patentlösung zur Verfügung steht.

Bernd Schöne

Foto: Fraunhofer IPA

Industrie 4.0

Neue Sicherheitsstandards sind nötig

Rund um das Thema Industrie 4.0 ist bereits eine beachtliche Industrie entstanden, die ihre Produkte anbietet. Doch noch längst nicht für alle Bereiche stehen Lösungen „fertig aus dem Regal“ zur Verfügung. Hier ist die angewandte Forschung gefragt. Eines der Zentren in Deutschland ist das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching, das von Prof. Claudia Eckert geleitet wird.

Foto: Fotolia/Fotohansel

Industrie 4.0

Anpassung mit Augenmaß

Industrie 4.0 ist längst in der Produktion angekommen – wenngleich noch nicht in vollem Umfang und in allen Bereichen. PROTECTOR sprach mit Sicherheitsexperten von IBM und Bosch, an welchen Stellschrauben noch gedreht werden muss. Ohne externes Know-how und speziell geschulte Mitarbeiter wird es dabei nicht gehen. Denn es wachsen Gewerke zusammen, die bislang streng getrennt waren.

Das IT-Sicherheitslabor des Fraunhofer IOSB bietet die Möglichkeit, reale Szenarien nachzustellen und Auswirkungen zu untersuchen.

IT-Sicherheit

Cybergefahren: Industrie-Systeme auf dem Prüfstand

Industrieanlagen sind heute digital vernetzte, komplexe Systeme. Das macht sie einerseits immer effizienter, aber auch anfälliger für Cyberangriffe.

Foto: Dieter Schütz/Pixelio.de

Giesecke & Devrient Sicherheitskonferenz

Die vierte industrielle Revolution

Im Dezember 2013 trafen sich beim Münchner Geldscheindrucker Giesecke & Devrient Experten zu einer internen Sicherheitskonferenz, um über die neuen Bedrohungen zu diskutieren.