Suchen

Sicherheitskonzepte für Industrie 4.0 Sichere Netzwerke für die Smart Factory

| Redakteur: Peter Schmitz

Das Vernetzen von Anlagen automatisiert und individualisiert die Produktion, sorgt für mehr Effizienzund höhere Rentabilität – und macht die Systeme für Hacker angreifbar. Denn Cyberkriminelle könnten ausnutzen, dass die gängigen IT-Sicherheitsstandards im Industrie-4.0-Umfeld häufig nicht so greifen, wie IT-Experten das erwarten.

Firmen zum Thema

Das Planen und Umsetzen eines angemessenen Sicherheitslevels für eine Industrie-4.0-Umgebung verlangt IT- und OT-Wissen.
Das Planen und Umsetzen eines angemessenen Sicherheitslevels für eine Industrie-4.0-Umgebung verlangt IT- und OT-Wissen.
(Bild: Pixabay / CC0 )

In der Smart Factory sind Maschinen, Anlagen und Steuerungstypen mit Sensoren ausgestattet, vernetzt, und über IoT-Gateways mit einem Data Lake verbunden. Alle Geräte messen, erfassen und kommunizieren untereinander sowie mit dem ERP-System. Diese Vernetzung von IT und Operational Technology (OT) kennzeichnet Industrie-4.0-Umgebungen, in denen die IT über die automatisierten Abläufe in der Produktion wacht. Sie greift in die komplexen Systeme ein, um die Effizienz zu wahren oder Produkte zu individualisieren. Dieser unbestrittene Fortschritt geht allerdings mit einem Sicherheitsrisiko einher: Die Produktion wird durch die Verbindung zum Unternehmensnetzwerk und Internet zu einem möglichen Ziel für Cyberkriminelle.

Die Gefahr vor Augen führte bereits Stuxnet, der vermutlich 2011 in die iranische Urananreicherungsanlage Natanz eingeschleust wurde. Der Computervirus griff die Software WinCC von Siemens an, sollte Systemabstürze und Störungen herbeiführen – und gilt als Beleg dafür, dass auch SCADA-Systeme angreifbar sind. Ein Stillstand der Produktion kann die Folge sein und einen immensen Schaden für das betroffene Unternehmen bedeuten.

Bedrohungsrangliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft aktuell Social Engineering und Phishing als die Angriffswege ein, von denen die größte Gefahr für Industrieanlagen ausgeht. Auf den Plätzen dahinter folgen das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware, die Infektion mit Schadsoftware über Internet und Intranet sowie der Einbruch über Fernwartungszugänge.

Ransomware & Co bedrohen industrielle Steuerungssoftware nicht nur mit einer einzigen Attacke, sondern Cyberkrimelle versuchen auch, sich über Folgeangriffe sukzessive im Unternehmen auszubreiten. Beispielsweise könnten sie mit Brute-Force- oder Wörterbuchangriffen die Authentisierungsmechanismen attackieren, um sich Zugang zu weiteren internen Systemen zu verschaffen. Oder der Folgeangriff zielt auf die Feldbus-Kommunikation: Dann lesen die Angreifer mit, manipulieren oder spielen Steuerbefehle ein. Steuerungskomponenten rücken ins Visier der Angreifer, weil sie oft über Klartextprotokolle und somit ungeschützt kommunizieren.

Vernetztes Fachwissen nötig

Die Bedrohungslage macht es erforderlich, Sicherheitsmaßnahmen zu ergreifen, die Produktion und IT gleichermaßen schützen. Derzeit bewegen sich die nun miteinander vernetzten Welten nicht auf demselben Sicherheitsniveau. Herkömmliche Security-Produkte aus dem Enterprise-Umfeld eignen sich nicht für einen Maschinenpark, der andere und besondere Anforderungen auch durch äußere Einflüsse wie Hitze, Kälte oder Staub stellt. Stattdessen braucht man speziell für die Industrie entwickelte Komponenten. Diese Lösungen müssen die jeweilige Produktionsanlage absichern und sich schlüssig in ein Sicherheitskonzept fügen. Das Planen und Umsetzen eines angemessenen Sicherheitslevels verlangt IT- und OT-Wissen. Herstellerunabhängige Berater und Systemintegratoren wie Axians in Zusammenarbeit mit dem Automatisierungsspezialisten Actemium bringen beides mit. Die beiden Konzernschwestern der Vinci Energies arbeiten im Bereich Industrie 4.0 bereits engmaschig zusammen.

Zunächst sollte in einem Sicherheitsprojekt eine Bestandsaufnahme durchgeführt werden. Diese zeigt auf, über welche WLAN-Infrastruktur die Anlagen, die meist weit auseinanderstehen, miteinander vernetzt sind. Daneben haben die Experten die Protokolle zu ermitteln, über die sich die Maschinen austauschen. Für Industrie 4.0 existiert bisher kein einheitlicher Kommunikations-Standard. Stattdessen kommen oft mehrere Standards parallel zum Einsatz, wie Profinet und Profibus. Generell nutzen die Maschinen und Geräte in den Fabrikhallen andere Protokolle als im normalen IT-Netz. Daraus ergibt sich ein wesentliches Kriterium für Sicherheitskomponenten wie Firewalls: Sie kommen für die Installation nur in Frage, wenn sie die „Maschinen-Protokolle“ beherrschen.

Sicherheitsbedürfnis ausbalanciert umsetzen

In den Anforderungskatalog, der im zweiten Schritt erstellt wird, hat zudem einzufließen, wie sich die meist übliche Fernsteuerung und -wartung absichern lässt. Soll künftig ein externer Dienstleister die Anlage über das Internet steuern, ist eine verschlüsselte Verbindung und ein granulares Rechtemanagement zu implementieren. Im Mittelpunkt steht, das Sicherheitsbedürfnis des Industrieunternehmens zu definieren und mit den Gesetzesvorgaben in Einklang zu bringen. Zum Beispiel müssen Betreiber von kritischen Infrastrukturen etwa aus den Sektoren Energie, Wasser, Gesundheit oder Ernährung die strengen Anforderungen der KRITIS-Verordnung erfüllen.

Die IT- und Automatisierungsspezialisten haben anschließend einen Balanceakt zu meistern. Das technische Umsetzen der Anforderungen soll das höchste Sicherheitslevel erreichen, ohne die Produktion zu beinträchtigen. Beispielsweise dürfen Firewalls auf Netzwerkebene keine signifikanten Zeitverzögerungen verursachen, um Sicherheitsregeln durchzusetzen. Produktionsanlagen erwarten Antwortzeiten im Millisekundenbereich. Jede Produktionsumgebung sieht anders aus und verlangt ein individuelles Anpassen des Sicherheitskonzeptes. Das Feinjustieren fängt im Kleinen an – in der Standardanlage, die es so nicht gibt. Dennoch lässt sich meistens bereits die Steuereinheit einer Maschine vor Manipulation schützen. Dazu werden in der Steuerungssoftware Einstellungen vorgenommen, um festzulegen, welche Personen oder Geräte die Anlage überhaupt programmieren dürfen.

Frühzeitig sollten Sicherheitsverantwortliche darüber nachdenken, wie sie ihre eingesetzten Systeme regelmäßig patchen. Dazu zählen auch Updates der Software für die Produktionsanlage, um mögliche Sicherheitslücken zu schließen. Es lässt sich zwar in der Regel eine virtuelle Testumgebung für ein Software-Update aufbauen. Doch auch das garantiert nicht, dass sich die Ergebnisse eins zu eins in die reale Produktion übertragen lassen. Ein Restrisiko bleibt. Hier gilt es abzuwägen, was schwerer wiegt: ein Hackerangriff oder ein Maschinenstillstand.

Der Mensch bleibt die Schlüsselfigur in Sicherheitsfragen

Ein schlüssiges Sicherheitskonzept im Industrie-4.0-Umfeld umfasst nicht nur technische Maßnahmen und das Implementieren von Policies und Richtlinien, sondern legt einen Schwerpunkt auf die Mitarbeitersensibilisierung. Denn mit Social Engineering und Phishing zielen Cyberkriminelle direkt auf sie ab. Jeder in der Firma soll im Ernstfall richtig reagieren. Die Mitarbeiterschulung genießt deswegen weiterhin hohe Priorität.

Über den Autor: Florian Hermann ist Technical Expert bei Axians Networks & Solutions.

(ID:45286702)