Image: Industrie 4.0 steht und fällt mit SicherheitFERCHAUFERCHAU
TrendDie intelligente Fabrik

Indus­trie 4.0 steht und fällt mit Sicher­heit

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Intelligent vernetzte Maschinen und Anlagen, die unterein­ander mit Werkstücken und ihrem Umfeld kommunizieren – entweder via Internet oder über Inhouse-Netze. So soll die schöne Welt der Industrie 4.0 aussehen. Das Ziel: die intelligente Fabrik, die sich durch Wandlungs­fä­hig­keit, Ressourcen­ef­fi­zienz und Ergonomie auszeichnet. Der Haken: Herkömmliche IT-Sicherheits­maß­nahmen greifen zu kurz.

01. Juli 2014

Den Anwender eines Office-PCs stört es kaum, wenn er beim Einloggen in ein verschlüs­seltes System für mehrere Sekunden keine Antwort erhält. Anders ist das bei Steuerungen von kompletten Fertigungs­an­lagen: Hier müssen die Sensorwerte in Echtzeit zur Verfügung stehen. Auch lassen sich die üblichen Reaktions­weisen auf einen Virusbefall nicht einfach vom Büro-PC auf einen Industrie­rechner übertragen. Schließlich kann man eine Produkti­ons­an­lage im Schadens­fall nicht mal so eben vom Netz nehmen.

Verschie­dene Sicherheits­be­hörden und Verbände haben bereits diverse Maßnahmen­ka­ta­loge veröffent­licht. Laut einer Untersuchung der Hochschule Augsburg gibt es europaweit rund zwanzig unterschied­liche Kataloge, die sich teilweise überschneiden. Allein in Deutschland existieren mehrere Regelwerke, wie der Maßnahmen­ka­talog des BSI, ein Whitepaper des Bundes der deutschen Energie- und Wasserwirt­schaft oder eine VDI/VDE-Richtlinie 2182 über Informati­ons­si­cher­heit in der industri­ellen Automati­sie­rung.

Vernetzung muss vertrauens­würdig sein

Dr. Bernhard Diegner, Leiter der Abteilung Forschung, Berufsbil­dung, Fertigungs­technik vom Zentralver­band Elektrotechnik- und Elektronik­in­dus­trie (ZVEI), sieht das Problem der fehlenden Sicherheits­stan­dards als zentrale Herausfor­de­rung auf dem Weg zur vierten industri­ellen Revolution. „Sicherheits­stan­dards sind eine notwendige Bedingung – IT-Security muss sicherge­stellt werden. Wenn es nicht gelingt, in die Vernetzung Vertrauen aufzubauen, kann die gehoffte Revolution schnell ausbleiben.“ Es gehe darum, Angriffs- und Betriebs­si­cher­heit in eigentlich offen kommunizie­renden und kooperie­renden Teilsystemen herzustellen. Manchmal ein Widerspruch. Die offene Kommunika­tion sei essentiell, um nicht nur Zulieferer und Partner, sondern auch den Kunden in den Produkti­ons­pro­zess einzubinden. „Wir müssen eine sichere Anbindung verschie­dener Komponenten erreichen, die vermutlich nie vollständig sicher sein werden“, so Diegner.

Trotz mannigfal­tiger Bedrohungs­arten sind Industrie­an­lagen wie Automati­sie­rungs-, Prozesssteue­rungs- und Prozessleit­sys­teme oft immer noch nicht im Fokus von IT-Security-Fachleuten. Das Bundesamt für Sicherheit in der Informati­ons­technik (BSI) will mit dem „ICS Security Kompendium" den Betreibern von Industrie­an­lagen für die Absicherung ihrer Produktions- und Steuerungs-Systeme, sogenannter Industrial Control Systems (ICS), Schützen­hilfe leisten. Die Idee: Die Implemen­tie­rung von IT-Security in Form der erarbeiteten Best Practices soll zu einer Risikomin­de­rung in ICS führen. In dem 124 Seiten starken Werk werden die wichtigsten Bedrohungen für industri­elle Kontroll­sys­teme zusammen­ge­stellt. Das Ergebnis: Die sich aus der Komplexität der Vernetzung von Systemen ergebenden Risiken sind gravierend.

Angreifer finden immer neue Wege

Neben den klassischen Gefahren wie Viren oder Trojanern bedrohen zudem neuartige und auf industri­elle Kontroll­sys­teme ausgelegte Attacken durch Schadpro­gramme wie Stuxnet, Duqu und Flame die vernetzten Produkti­ons­an­lagen. Diese können befallene Computer fernsteuern und ausspionieren. Dazu können von der Software zum Beispiel am Computer angeschlos­sene oder im Computer integrierte Mikrofone, Tastaturen und Bildschirme ausgewertet werden. Die Malware kann sich ebenfalls auf andere Systeme über ein lokales Netzwerk oder per USB-Stick ausbreiten.

Da sie unbekannte Sicherheits­lü­cken ausnutzen, lassen sie sich von Intrusion-Detection-Systemen und Firewalls nicht erkennen. Der Stuxnet-Wurm beispiels­weise, der im Jahr 2010 in iranischen Atomkraft­werken entdeckt wurde, setzte gezielt die dortigen Scada-Steuerungs­sys­teme außer Gefecht, um Zentrifugen zu manipulieren.

Die Sicherheits­for­scher von F-Secure meldeten jüngst in ihrem Blog eine Serie von Attacken auf Industrie­an­lagen: ICS und SCADA-Software sei durch Trojaner infiziert, die auf den betroffenen Systemen Hintertüren öffnen. Die Angriffe basieren auf der in PHP geschrie­benen Trojaner-Familie Havex Remote Access Trojan (RAT). Dafür haben die Angreifer Apps und Installer, die Anwender von den Seiten der Hersteller herunter­laden können, mit den Schädlingen infiziert. Die Schädlinge verbreiten sich jedoch auch via Spam-Mails und Exploit-Kits.

Audits geben Aufschluss über Gefährdungs­po­ten­ziale

Gefahren­po­ten­ziale identifi­ziert das BSI hauptsäch­lich in Bereichen, die bei jüngsten Sicherheits-Audits aufgefallen sind und Rückschlüsse auf die aktuelle Gefährdungs­lage sowohl bereits eingesetzter Automati­sie­rungs­lö­sungen als auch zukünftiger Vorgehens­weisen auf Basis von Industrie 4.0 zulassen. Genannt werden hier die Anbindung unbekannter Systeme zur Datensiche­rung, nicht ausreichende oder nicht dokumentierte Regeln für Firewalls und Router, ungeschützte oder ständige (Allways-on) Netzwerk­ver­bin­dungen, fehlende Betriebs­system-Patches und veraltete Netzwerk­ele­mente. Entgegen der klassischen IT haben ICS insbeson­dere abweichende Anforderungen an die Schutzziele Verfügbar­keit, Integrität und Vertraulich­keit. Dies äußert sich beispiels­weise in längeren Betriebs­zeiten und kleineren Wartungs­fens­tern.

Es gibt mehrere Lösungsan­sätze

Wie nun stellt man das Konzept der Industrie 4.0 auf sichere Füße? Laut BSI steht ein wirksames Schutzsystem auf drei Säulen: Die erste, „Security by Design“, bezeichnet ein Prinzip, wonach Sicherheits­an­for­de­rungen von Beginn der Produktent­wick­lung an berücksich­tigt werden. Der Anwender muss sich also im Klaren darüber sein, wie die Komponenten zusammen­spielen und getrennt werden, und wie die Datenflüsse deshalb zu verschlüs­seln sind.

Als weitere Maßnahme, insbeson­dere zum Schutz vor Schadsoft­ware, ist dem BSI zufolge „Whitelis­ting“ geeignet. Ein Werkzeug also, mit dessen Hilfe gleiche Elemente wie Programme, Befehle oder Apps zusammen­ge­fasst werden, welche nach Meinung der Verfasser der Liste vertrauens­würdig sind. Eine Maßnahme, die sich anbietet, da die Zahl der erwünschten Operationen in einer Produkti­ons­um­ge­bung im Vergleich zur IT vergleichs­weise gering ist.

Ergänzend dazu empfiehlt sich das „Trusted Computing“. Um sicher zu stellen, dass nur an der Produktion beteiligte Geräte auf die Daten zugreifen, können an bestimmten Elementen wie Steuerungen nur mittels Trusted-Platform-Module-Chips authenti­fi­zierte Geräte angeschlossen werden. Sobald also ein unberech­tigtes Element eingesetzt wird, erkennen das die anderen Akteure und schließen die auffällige Maschine von der Kommunika­tion aus.

Neben aller Technik ist auch der Mensch gefordert. Nicht nur Betreiber, auch Integratoren und Hersteller müssen einen notwendigen Beitrag zur Erhöhung des ICS-Sicherheits­ni­veaus leisten, beispiels­weise durch verstärkte Tests der ICS-Produkte. Insgesamt muss bei allen Beteiligten eine ausreichende Sensibilität geschaffen werden, um das Know-how der deutschen Wirtschaft und Industrie international zum entschei­denden Wettbewerbs­vor­teil auszubauen.

Mögliche Gefahren­po­ten­ziale
In jüngerer Vergangen­heit bei ICS-Sicherheits-Audits festgestellte Beobachtungen, welche Rückschlüsse auf die aktuelle Gefährdungs­lage zulassen:

ICS-Komponente

Sicherheits­re­le­vante Beobachtungen

Netz

Anbindung unbekannter Systeme zur Datensiche­rung

    Firewall/Router

    Regeln nicht ausreichend restriktiv
    undokumen­tierte Regelein­träge
    offenbar nicht mehr benötigte Datenflüsse
    Bypass im Routing
    IP-Forwarding auf Servern

      Modems

      Ungeschützter Zugang
      Anschluss nicht dokumentiert
      Ständige Verbindung (always-on)

        Fernwartung

        Anschluss direkt in Feldebene

          Betriebssys- teme/Härtung

          Betriebs­sys­tem­kom­po­nenten nicht gehärtet
          nicht benötigte Dienste angeboten
          nicht-unterstützte Betriebs­sys­tem­ver­sion und fehlende Patches

            Funkverbin­dungen

            fehlende Verschlüs­se­lung
            veraltete Netzelemente

              Industrie- Switche

              fehlende Robustheit gegen unerwartete bzw. nicht-standard­kon­forme Kommunika­tion
              Backdoors (z.B. hardcodierte Passwörter)

                veraltete Netzelemente

                administra­tiver, webbasierter Zugang ohne Absicherung (z.B. SSL), fehlende Protokoll­un­ter­stüt­zung (z.B. nur ˈtelnetˈ -Zugang)