IT-Sicherheit in der Fertigungsindustrie

Industrie 4.0 muss IT-Sicherheit noch lernen

| Autor / Redakteur: Udo Schneider / Peter Schmitz

Erfolgreiche Industrie 4.0 steht und fällt mit der richtigen Cyber-Sicherheits-Strategie.
Erfolgreiche Industrie 4.0 steht und fällt mit der richtigen Cyber-Sicherheits-Strategie. (Bild: gemeinfrei / Pixabay)

Die vierte industrielle Revolution ist in vollem Gange. Mit ihr verschmelzen Welten, die zuvor nicht viel miteinander zu tun hatten: Cyber-physikalische Systeme (CPSs) in Produktions­prozessen sind heute alles andere als eine Seltenheit. Befürworter von Industrie 4.0 drängen auf eine vernetzte und effizientere Produktion, die gleichzeitig die Wettbewerbs­fähigkeit im Markt stärkt.

Die Digitalisierung führt Informationstechnologie (IT), traditionelle Betriebstechnik (Operational Technology, OT) und geistiges Eigentum (Intellectual Property, IP) zusammen, um so zukunftsfähiges Wirtschaften zu ermöglichen.

Verschmelzung von IT, OT und IP

In der Fertigungsindustrie lässt sich seit einiger Zeit eine beispiellose Zusammenführung von OT, IT und IP beobachten. Damit einher geht die Zusammenführung von IT- und OT-Netzwerken, die Zentralisierung und Spezialisierung der Produktion und die Integration von Protokollen und Geräten, die nicht als Teil einer TCP/IP-Welt (Transmission Control Protocol/Internet Protocol) konzipiert wurden.

Verschiedene Geräte und Systeme in der Produktionslinie müssen miteinander kommunizieren können. Das vollständig zu realisieren, ist für die meisten Unternehmen eine Aufgabe, die einige Zeit in Anspruch nimmt. So können wir miterleben, wie sich eine gesamte Branche langsam aber sicher in Richtung Industrie 4.0 bewegt, indem sie das Equipment Stück für Stück ersetzt – sei es im Rahmen des normalen Upgrade-Lebenszyklus oder des Baus neuer Anlagen. Wir sehen damit eine Branche, die sich an einem Wendepunkt befindet – weg vom aktuellen Stand, aber noch nicht ganz angekommen in der digitalen Zukunft der Industrie 4.0. Unglücklicherweise bringt dieser Zwischenzustand eine ganz eigene Reihe von Bedrohungen und Risiken mit sich.

Risiken für IT, OT und IP

Die am weitesten verbreiteten Betriebssysteme in der Fertigungsindustrie. Basierend auf Daten von Trend Micro Smart Protection Network im Zeitraum von Juli bis Dezember 2018.
Die am weitesten verbreiteten Betriebssysteme in der Fertigungsindustrie. Basierend auf Daten von Trend Micro Smart Protection Network im Zeitraum von Juli bis Dezember 2018. (Bild: Trend Micro)

Bestimmte Betriebsabläufe und Netzwerkkonfigurationen machen die Produktionsnetzwerke anfälliger für einige Arten von Malware-Bedrohungen. Beispielsweise wird der in der IT übliche Software-Update- und Patch-Zyklus in der Fertigungsindustrie nicht so streng eingehalten wie in anderen Branchen – aus unterschiedlichen Gründen. Darüber hinaus wird – fälschlicherweise – allgemein angenommen, dass Fertigungsnetzwerke isoliert arbeiten und damit vor externen Bedrohungen geschützt sind. Dazu verdeutlicht die Tatsache, dass auf über 65 Prozent der von Trend Micro untersuchten Industrieanlagen noch Betriebssysteme auf dem Stand von Microsoft Windows 7 oder älter laufen, dass oftmals immer noch veraltete Mittel genutzt werden. Dabei ist Never change a running system kein Motto, dass der Sicherheit zugutekommt. Aufgrund von Legacy-Betriebssystemen ist in der Fertigungsbranche eine große Anzahl von nicht gepatchten Schwachstellen zu finden. Es ist deshalb keine Überraschung, dass Bedrohungen wie WannaCry häufig produktionsnahe Systeme treffen.

Das bisher isolierte und mit eigenen Protokollen ausgestattete OT-Netzwerk wird langsam in das IT-Netzwerk integriert. Das ermöglicht neben Sichtbarkeit auch Kontrolle in Echtzeit. Außerdem wird nach und nach die Integration in verschiedene Systeme der Produktionslinie, der Lieferkette, des Vertriebs oder des Unternehmens verwirklicht. Leider haben auch OT-Gerätschaften – so wie alle „normalen“ Geräte – ihre Schwachstellen. Besonders beunruhigend ist der Umstand, dass die Anzahl der Schwachstellen in industriellen Systemen, die dem Industrial Control Systems Computer Emergency Response Team (ICS-CERT) der US-Heimatschutzbehörde gemeldet werden, seit einigen Jahren permanent ansteigt. Die meisten öffentlich zugänglichen Exploits betreffen dabei Schwachstellen in HMIs (Human-Machine-Interfaces). Teilweise sind das Anwendungen, die auch einen Web-Zugang haben, so dass auch herkömmliche Web-Exploits gefährlich werden können. Laut einer Studie von Trend Micros Zero Day Initiative (ZDI) beinhalten häufige Sicherheitsprobleme bei HMIs Speicherkorruption, schlechtes Credential-Management, fehlende Authentifizierung und unsichere Standardeinstellungen.

Geistiges Eigentum kann ein Produktdesign, ein Herstellungsprozess oder andere elementare Informationen sein. IP ist eine gängige Quelle für Wettbewerbsvorteile und sollte daher bestmöglich geschützt werden. In der Lebensmittelindustrie hängen teilweise sogar ganze Unternehmensexistenzen von Rezepturen für einzelne Produkte ab. Schlechte Sicherheitskonfigurationen können daher zu einem unbeabsichtigten Verlust von potentiell wettbewerbsentscheidenden Informationen führen. Die Crux daran ist, dass der Austausch von Informationen mit Lieferanten und Partnern im Betriebsalltag genauso reibungslos ablaufen muss wie deren Schutzmechanismen. Mit simpler Open Source Intelligence (OSINT) lassen sich bereits CAD-Dateien finden, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Das zeigt, dass beim Schutz von IP in vielen Fällen noch akuter Nachholbedarf besteht.

Industrie 4.0 meistern – mit Sicherheit

Bedrohungen für IT-, OT- und IP-Konvergenz.
Bedrohungen für IT-, OT- und IP-Konvergenz. (Bild: Trend Micro)

Durch die Implementierung der vernetzten Produktion und die Einrichtung smarter Fabriken, stellt Industrie 4.0 ein neues Cyber-Bedrohungsprofil dar. Während Industrie 4.0 ein Idealbild der Produktion zeichnet, das Unternehmen dabei hilft, besonders wettbewerbsfähig und maximal effizient zu sein, gibt es bisher kaum Vorgaben oder Richtlinien für sichere Praktiken und Implementierungen. Im Gegensatz zur Finanzindustrie hat die Fertigung leider (noch) nicht den Vorteil, dass klare Normen und Vorschriften für den Umgang, die Verarbeitung und Sicherung von vernetzten Systemen, Prozessen und Daten verbindlich sind.

Betroffene Unternehmen sind nichtsdestotrotz angehalten, gewisse Grundprinzipien zur Absicherung ihrer Gerätschaften einzuhalten. Dazu gehört, Benutzerzugriffe und Zugangsberechtigungen generell einzuschränken: Der Zugriff sollte selbstverständlich nur vertrauenswürdigen Nutzern gewährt werden und – falls möglich – ein Höchstmaß an Einschränkungen beinhalten. Alle Personen, die vertrauliche oder geschützte Informationen einsehen dürfen, sollten identifiziert werden. Wenn sie Daten nicht ändern können müssen, reicht ein schreibgeschützter Zugriff aus. Domain- oder Netzwerkbeschränkungen sind zusätzlich ein geeignetes Hilfsmittel.

Nicht jeder Laptop oder Desktop im IT-Netzwerk muss auf alle Produktionsmaschinen zugreifen können. Es macht definitiv Sinn, zu beschränken, welche Gerätschaften miteinander kommunizieren können. Außerdem empfiehlt es sich, Directory Listing zu deaktivieren. Ähnlich wie bei der Beschränkung des Benutzerzugriffs und der Berechtigungen sollten Unternehmen sicherstellen, dass nur solche Personen Zugriff auf Datei- und Webserver haben, die Dateien lesen, ändern oder erstellen müssen. Das regelmäßige Entfernen oder Deaktivieren von unnötigen Diensten kann potenzielle Sicherheitsprobleme verhindern und sollte ebenfalls zur Arbeitsroutine gehören. Wie bereits erwähnt, ist zudem der Einsatz alter oder nicht unterstützter Software relativ ausgeprägt. Administratoren können sich daher nicht auf Hersteller-Patches verlassen, um Schwachstellen zu schließen. Virtuelles Patching und Intrusion Prevention können hier Abhilfe schaffen.

Traditionelle Berufsfelder müssen sich zudem den Umständen anpassen. Ein IT-Spezialist, der ausschließlich Daten schützt, während der OT-Ingenieur nur Safety und den kontinuierlichen Betrieb im Blick hat, führen – insbesondere bei mangelnder Kommunikation – zu Problemen. Hier lautet das Stichwort Kooperation: Nur durch regelmäßigen Austausch und gemeinsamer Zielsetzung gelingt IT-Sicherheit. Zugleich sollten sämtliche Anlagen erfasst und priorisiert werden. So wird sichergestellt, dass alle Systeme in der IT- und OT-Umgebung berücksichtigt und danach bewertet werden, wie kritisch sie für den Betrieb sind.

Insgesamt muss IT-Security zur Selbstverständlichkeit werden – und zwar nicht im Sinne von läuft natürlich irgendwie nebenher, sondern daran wird natürlich von Anfang an gedacht. Anlagen haben Lebensdauern von bis zu 35 Jahren. Bei jeder technischen Erweiterung und auch bei jeder Neuanschaffung muss IT-Sicherheit permanenter Bestandteil der Umsetzungsstrategie sein. Ferner legt der Cybersicherheitsstandard IEC 62443 einen bedeutenden Grundstein: Er umfasst mehrere Aspekte wie die Anforderungen an ein ICS-Sicherheitsmanagementsystem, Sicherheitstechnologien für ICSs und sichere Produktentwicklungszyklen. Er setzt Industriestandards für Anlagenbetreiber, Systemintegratoren und Gerätehersteller.

Erfolgreiche Industrie 4.0 steht und fällt mit der richtigen Cyber-Sicherheits-Strategie. Daher sollten sich Betreiber von Industrieanlagen von Beginn an mit dem Thema Sicherheit auseinandersetzen – sowohl im physikalischen als auch im virtuellen Sinne.

Über den Autor: Udo Schneider ist Security Evangelist bei Trend Micro.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46111679 / Internet of Things)