Schutzkonzepte für das Internet der Dinge und die Industrie 4.0 Mehr Sicherheit für Roboter und Produktionssysteme

Autor / Redakteur: Bernd Schöne / Stephan Augsten

Das Internet der Dinge soll die Wirtschaft beflügeln und die vierte industrielle Revolution einläuten (Industrie 4.0). Derzeit wachsen Technologien zusammen, die jahrzehntelang ohne Interaktion nebeneinander existierten. Das birgt Gefahren und könnte zu kostspieligen Technikkatstrophen führen, warnten Experten auf einer Konferenz in München.

Firma zum Thema

Die mitunter veralteten Systeme in Fertigungsanlagen lassen sich nicht einfach aktualisieren oder ersetzen.
Die mitunter veralteten Systeme in Fertigungsanlagen lassen sich nicht einfach aktualisieren oder ersetzen.
(Bild: Archiv)

Die vierte industrielle Revolution steht in den Startlöchern, weil das „Internet der Dinge“ (Internet of Things, IoT) flexiblere Fertigung, schnellere Prozesse und höhere Effizienz verspricht. Nach Dampf und Elektrotechnik erhofft sich die Wirtschaft nun also Effizienzsteigerungen durch die universelle Vernetzung über die Cloud.

Das Wirtschaftsleben wird durch ein lückenloses Netz von Informationsgebern und -empfängern umgekrempelt. Der Übergang von isolierten hin zu vernetzten Systemen macht diese aber auch empfindlicher, denn in Zukunft ist jeder Roboterfinger mit dem Internet verbunden. Damit sind Industrieanlagen und komplette Fertigungsstrecken denselben Risiken ausgesetzt wie die geschäftliche IT.

Bislang blieben die Angriffe und ihre Folgen der Öffentlichkeit meist verborgen. Die Betroffenen reden nicht gerne über die erlittenen Schäden, selbst den Beschäftigten springen sie nicht unbedingt ins Auge. Die betroffenen Rechner stehen nicht mit Bluescreens auf dem Schreibtisch, sondern sind innerhalb der betroffenen Apparate diskret verbaut.

Diese verborgenen Computer funktionieren wie normale Personal Computer und können somit auch Opfer von Schadsoftware werden. Sie sind sogar noch wesentlich verwundbarer, gerade weil sie oft tagelang ohne menschliche Kontrolle arbeiten. Es kann einige Zeit dauern, bis sich die Folgen zeigen.

Gefahren für Produktionsanlagen

Im Jahr 2009 ruinierte der Wurm Stuxnet im Iran diverse Uranzentrifugen und warf das Atomprogramm des Landes um Jahre zurück. Er nutzte vier bis dahin unbekannte Sicherheitslücken aus, erforderte geschätzte sechs Mannjahre Entwicklungszeit und wurde über einen Datenträger eingeschleust, nicht über das Internet.

Stuxnet war vom Aufwand her eine Besonderheit, das Schadensszenario aber alles andere als exklusiv. Im Dezember 2013 trafen sich beim Münchner Banknotendrucker Giesecke&Devrient Experten zu einer internen Sicherheitskonferenz, um über die neuen Bedrohungen zu diskutieren.

Im Fokus standen zunächst Produktionseinrichtungen, doch lassen sich auch in der Gebäudeleittechnik und bei den aktuell ausgerollten Smart Metern ähnliche Angriffsvektoren aufzeigen. Über das Geschäft wurde nicht geredet, obwohl auch Anbieter diverser Sicherheitslösungen sowie Berater zu Wort kamen.

Die Besonderheiten industrieller Fertigungssysteme

Fertigungsanlagen stellen eine besondere Herausforderung dar, denn sie haben eine lange Lebensdauer, und die Lieferanten machen Wartungsverträge und Garantien abhängig vom unveränderten Zustand ihrer Apparate. Bei Schweißrobotern, Aktoren und Pneumatischen Stellgliedern mal eben einen Bug zu patchen, ist also nicht so einfach möglich.

Eine sich ständig aktualisierende Antivirensoftware verbietet sich in diesem Umfeld daher schon fast von selbst. Im Gegensatz zu Desktop-PCs und Serverfarmen müssen Roboterstraßen daher oft gänzlich ohne aktiven Schutz auskommen.

Anders als bei Stuxnet kommt es hier aber selten zu gezielten Angriffen. Meist handelt es sich um eher zufällige Vorfälle und Schäden, verursacht durch Unvorsichtigkeit, schlechtes oder nicht vorhandenes Sicherheitsdesign oder schlicht das zusammentreffen unglücklicher Umstände.

Beispiele für Malware- und Hacker-Attacken

„Bei einem großen Automobilhersteller wollte ein Service-Techniker nichts weiter tun, als die Service-Mitteilungen und Zustandsbeschreibungen eines Roboters auszulesen“, erläuterte einer der Experten, „anschließend stand für sechs Stunden die Motorblockgießerei.“ Auf dem Notebook des Technikers befand sich Malware, die sich sofort ausbreitete.

Zunächst legte der Schadcode den angeschlossenen Roboter lahm, breitete sich dann über das Netzwerk aus und führte schließlich zum Produktionsstopp in der gesamten Halle. Ein zu Hilfe eilender Kollege machte die Sache nicht besser. Auch auf seinem Computer befand sich Malware. Kein Einzelfall: Auch in den Prozessrechnern von US-Kraftwerken wurden inzwischen Viren gefunden, wie Michael Krammel, Sicherheitsspezialist für Prozessleittechnik der KORAMIS GmbH erläuterte.

Im Jahr 2000 schaffte es ein Mann namens Vitek Boden in Australien, mehrfach städtische Abwässer umzuleiten und so insgesamt 800.000 Liter in Flüsse, Parks und sogar ein Hotel zu pumpen. 140 Pumpstationen gehorchen seinen Befehlen, bis Privatdetektive ihn fassten. Es kostete Millionen Euro, die Stadt von der dreckigen Brühe zu säubern. Der Mann war ein Insider. Bis zu seiner Entlassung hatte er für die Firma gearbeitet, der das System betrieb.

Schon 1994 schlichen sich Hacker in die Steuerung des Roosevelt-Damms in den USA ein, über Schäden ist allerdings nichts bekannt. Im Gegensatz zum Jahr 1982. Damals explodierte eine Pipeline in Sibirien, was ebenfalls einem gehackten Steuercomputer, genauer gesagt einem SCADA-System (Supervisory Control and Data Acquisition), zugeschrieben wird. Diese Prozessrechner steuern die wichtigen Funktionen es Gerätekomplexes, lesen Temperatur und Druck aus, steuern Ventile und Schieber.

Meldepflicht könnte das Sicherheitsbewusstsein steigern

Dass solche Angriffe bekannt werden, ist die extreme Ausnahme. Der Berliner Sicherheitsberater und Praktiker Felix Lindner fordert eine Meldepflicht für solche Vorkommnisse, damit „endlich mehr Klarheit herrscht.“ Lindner sprach in München, wie so oft, als „Hacker zum Anfassen“, über die Methoden und die Erfolgsaussichten von Angriffen. Die sind nach wie vor gut, nicht zuletzt wegen der Schludrigkeit der Betreiber.

Während im Business-Umfeld zumindest ein gewisses Maß an Aufmerksamkeit hinsichtlich Sicherheit, Virenschutz und Zugangskontrolle besteht, ist das in Produktionsumgebungen oft nicht der Fall. Mitarbeiter schleusen ohne Wissen des Managements WLAN-Zugänge in das Rechnernetz, um sich die Arbeit zu erleichtern, und öffnen so unwissentlich einen Gerätepark im Wert von Millionen Euro Angriffen von außen. Erschwerend kommen externe Wartungszugänge hinzu, die Grenzen vom Ländern und Kontinenten sprengen.

Im Jahr 2002 listete das BSI die zehn wichtigsten Bedrohungen der Industrie-Elektronik auf und führte diese unkontrollierten Zugänge als häufigstes Sicherheitsproblem an. Jüngst fand Felix Lindner völlig ungesichert Stromgeneratoren eines deutschen Herstellers, die auf weit entfernten Baustellen ihren Dienst verrichteten. Wenn man lange genug sucht, findet man über das Internet sogar die Systeme kompletter Kohleminen.

Risiken der Erreichbarkeit über das Internet

Nachlässigkeiten beim Einrichten von Webservices erschweren die Situation zusätzlich, gehören aber technisch eher in den Bereich der Internet-Sicherheit. Spezifische Probleme des „Internets der Ding“ und des „Internets der Dienste“ tauchen hingegen überall dort auf, wo Schwachstellen von Steuersystemen zu Schäden durch Hacker oder durch Malware führen.

Außer Kontrolle geratene Roboter können Menschen ernsthaft verletzte, falsch gesetzte Schweißpunkte ganze Chargen ruinieren und rezeptwidrig zusammengemischte chemische Produkte stellen eine erhebliche Bedrohung für die Anwender dar. Unter Umständen sind sogar die Industriestädte selbst gefährdet.

„Die Produktionstechnik ist in ihrer Gesamtheit als kritische Infrastruktur zu werten“, meint Dr. Thorsten Henkel, Bereichsleiter für Sichere Informationstechnik am Fraunhofer Institut SIT in Darmstadt. Er wies darauf hin, dass nach einer VDE-Umfrage die Frage der IT-Sicherheit noch vor dem Mangel an Standards und dem hohen Qualifizierungsbedarf innerhalb der Industrie als einer der größten Hürden auf dem Weg zur „Industrie 4.0“ gesehen wird.

Wichtige Aktualisierungen müssen oft warten

Zu den Besonderheiten der Industrie-IT gehört, dass selbst wichtige Updates Ruhepausen des Produktionsprozesses aufgespielt werden können. Bei einem durchgängigen Betrieb sind die nur schwer zu finden. Ein spontaner Reboot ist nicht akzeptabel. Dazu kommt die lange Lebensdauer der Anlagen: 20 bis 30 Jahre Betriebszeit für eine Fertigungsstrecke sind keine Seltenheit.

Am Ende sind die verwendeten Computer Museumsstücke, für die es weder Ersatzteile noch Sicherheitsupdates gibt. Dies gilt insbesondere für industrielle Kontroll- und Leitsysteme, die auf veralteten PC-Betriebssystemen aufsetzen. Rechner mit Windows-NT- und sogar DOS-Betriebssystem sind auch heute noch anzutreffen, obwohl die Hersteller den Service längst abgekündigt haben.

Die Besonderheiten von CNC- und Robotersteuerungen sowie PCs im Produktionsumfeld lassen sich aber auch nutzen, um die Anlagen sicherer zu machen. Darauf wies Rainer Rodler vom Zulieferer ZF Friedrichshafen AG hin: „Whitelisting ist eine der Möglichkeiten, die Anlagen abzusichern.“

Im Gegensatz zur Business-IT sei die Anzahl der benötigten Operationen innerhalb einer Produktionsumgebung übersichtlich klein und ändere sich auch nicht. Dazu ist es laut Rodler lediglich notwendig, die erlaubten Befehle zu erfassen und den Datenverkehr zu überwachen. Anschließend werden nur noch die benötigten Prozesse erlaubt und das System auf dem Stand „eingefroren“.

Im Idealfall auch unbekannte Schadcodes blocken

Der Vorteil dieser aktiven Sicherheitsmaßnahmen: Im Gegensatz zu Antivirengrammen schützen sie auch vor bislang noch unbekannter Malware. Ein Patch-Management ist weitestgehend nicht erforderlich. Da keine ständig wachsenden AV Signaturen benötigt werden und auch Installationen nicht möglich sind, bleiben der Ressourcenverbrauch und damit die Belastung der IT-Komponenten konstant. Dies ist bei zeitkritischen Prozessen besonders wichtig.

Zeitkritische Prozesse werden durch Schutzmaßnahmen also nicht gefährdet. Gleichzeitig sollte die Netzwerktechnik schlau genug sein, infizierte Rechner zu isolieren, um nicht weitere Produktionsapparate zu gefährden. Dazu ist aber zunächst ein begründetes Vertrauen der Roboter zueinander nötig.

Dies wird gerade im Rahmen des „TrustMANET“ Projektes und von „ANSII“ (Anomalieerkennung und eingebettete Sicherheit in industriellen Informationssystemen) untersucht. Sie sollen eine sichere Umgebung für Prozeßtechnik schaffen, und beruht im Wesentlichen auf TPM-Modulen (Trusted Platform Module). Diese sind in der Lage, den unmanipulierten, authentischen Gerätezustand nachzuweisen und sind aus der PC-Welt bekannt.

TPMs bieten Zugriff auf starke Kryptographie und ein eingebaute PKI mit Herstellerzertifikaten oder kundenspezifischen Schlüsseln. Ändert sich etwas am Gerätezustand, geben die Sicherheitsmodule Alarm. Ähnliches gilt, wenn jemand zusätzliche Komponenten wie WLAN-Router in das Netz einklinkt.

Sicherheitsinitiativen und Forschung

Zur neuen Sicherheitsphilosophie gehört der Gedanke, dass jeder Netzwerkknoten den Zustand jedes anderen Netzwerkknoten überwacht und Änderungen erkennt. Besondere Aufmerksamkeit legen die Designer auf Nutzerfreundlichkeit. Die neue Sicherheitstechnik soll möglichst ohne aufwendige Konfiguration auskommen und auch vom Gebäude-Elektriker installierbar sein.

Ob diese Wünsche in Erfüllung gehen, wird sich zeigen, wenn aus den Projekten ein Produkt geworden ist. Forscher und Verbände haben aber noch mehr in der Pipeline. Dazu gehört das zügige Auffüllen aller Lücken, die durch die teilweise noch recht rudimentären Sicherheitsnormen der ISO-27000-Familie noch nicht abgedeckt sind.

Die im Produktionsumfeld verwendeten Bussysteme sollten eigene Sicherheitsfeatures bekommen, ähnlich dem ethernetbasierten SafetyNet, das vertrauenswürdige Netzwerkbereiche kennt.

Ein Vertrauensverhältnis zwischen den vernetzten Geräten kann nur unter folgenden Umständen bestehen:

  • Sichere Identität der Geräte, die nicht nur auf MAC-Adressen beruhen darf.
  • Konfiguration und Software entsprechen den Anforderungen und wurden nicht verändert .
  • Die Apparate sind über eine vertrauenswürdige und zuverlässige Verbindung vernetzt.

Es ist zu wünschen, dass sich die partiell deckungsgleichen Überlegungen von Organisationen wie „Safety Network International e.V. und der Profibus Nutzerorganisation e.V. in diesem Punkt synchronisieren lassen. Der VDE hat zwischenzeitlich eine eigene deutsche Roadmap dazu veröffentlicht.

Eine neue Netzwerktechnik würde die Basis für ein durchgängiges Bussystem schaffen, das Gebäudeautomation und Produktionstechnik umfasst. Dann könnten alle Brandmelder in einem Industriebetrieb in ein Netz einspeisen.

Das würde im Brandfall kostbare Zeit sparen, da es zu direkten Reaktionen bei den Maschinen in der Halle führen würde. Etwa durch Reduktion der Brandlast bei Schweißrobotern durch Stopp der Gaszufuhr. In ein solches Bussystem ließen sich dann auch die Zutrittskontrolle und die Gebäudeleittechnik integrieren.

(ID:42506446)