IT-Security – Industrie 4.0

Das Thema IT-Security wird durch das Internet der Dinge in allen Lebensbereichen immer wichtiger. Dies gilt in besonderem Maße für Unternehmen, deren Schutz von Unternehmensgeheimnissen – beispielsweise von technischen Daten, Codes oder auch Finanzzahlen, welche missbraucht werden können – so stark wie nie zuvor mit der IT-Sicherheit zusammenhängt. Die Gewährleistung dieser Sicherheit steht in direkter Relation zum Erreichen von Unternehmenszielen, da ein bösartiger Eindringling dem System und dessen Prozessen Schäden zufügen kann, die über den bloßen Datenraub hinaus bis hin zu Produktionsstopps oder Wettbewerbsunfähigkeit führen können.

(Des weiteren müssen verkaufte Produkte natürlich auch sicher sein, um Unfälle zu vermeiden und Kunden zu gewinnen.)

In der Anlagensicherung werden von verschiedenen Seiten best practices aufgezeigt.

Ein wichtiger Anteil der Sicherheit liegt hierbei im Prozessbereich. Da auch in Produktionsanlagen viele Bereiche durch Passwörter geschützt sind, gilt es, diese auch sinnvoll zu vergeben und regelmäßig zu verändern. Dabei sollte die Neuvergabe nicht sporadisch, sondern regelmäßig in einer vereinbarten Taktung geschehen.

Ein weiterer wichtiger Punkt ist die Dokumentation der verwendeten Software. Gerade um Intrusion-Detection-Systeme verwenden zu können, muss bekannt sein, welche Softwareversionen aufgespielt sind, da so ein Abgleich mit bekannten Softwarelücken stattfinden kann. Des weiteren sollte die Software natürlich sorgfältig ausgewählt und bei der Beschaffung durch Downloads eventuell über Signaturen oder sonstige Maßnahmen die Authentizität der Software überprüft werden. Vor allem bei der Bedienung von Steuerungstools muss außerdem eine sichere Identifizierung der handelnden Person erfolgen (Hertel 2015, S. 732). Hier ist beispielsweise ein 2-Faktor-System wünschenswert. Dabei verfügt der Mitarbeiter etwa über einen physischen Nachweis in Form einer Schlüsselkarte und zusätzlich über ein Passwort.

Was die Sicherheitssysteme auf Softwareebene angeht, ist es nicht leicht, herkömmliche Konzepte aus dem Office-Bereich zur Anlagensicherung zu nutzen. Im Office-Bereich werden normalerweise alle Systeme durch eine standardisierte Lösung abgedeckt. Hierbei kommen Firewalls, Intrusion-Detection-Systeme oder ähnliches zum Einsatz. Da jedoch im Anlagenbereich die Sicherungsmaßnahmen häufig die Performance der Produktionseinheiten hemmen, gilt es zu überlegen, welche Einheiten in welchem Maße geschützt werden sollen um die optimale Balance aus Schutz und Produktivität zu erhalten.

Es empfiehlt es sich daher, einzelne Bereiche unterschiedlich zu behandeln und zu entscheiden, wie kritisch das jeweilige Modul sicherheitstechnisch zu sehen ist. Steuerungssysteme sind hierbei wahrscheinlich wichtiger als eine Kommunikation, die nur Maschinendaten nach außen trägt (Andelfinger 2017, S. 95 ff).

Ein weiterer Punkt, der auch im Anlagenbereich durchaus relevant ist, begründet sich im Faktor Mensch. Mitarbeiter müssen durch Seminare geschult und ein Bewusstsein für die Wichtigkeit von IT-Sicherheit geschaffen werden. Ebenfalls bedeutend ist der Fakt, dass – wie die Vergangenheit gezeigt hat – bestehende Sicherheitsrichtlinien gerade dann außer Acht gelassen werden, wenn sie nicht benutzerfreundlich sind. Nach Möglichkeit ist es also ratsam, dies zu vermeiden (Kagermann, Wahlster & Helbig 2013, S. 54 f).

Ein großes Problem bei der Anlagensicherung im Rahmen der Industrie 4.0 besteht darin, dass sich diese erst entwickelt und deshalb die Anlagen, die gesichert werden sollen, nur bedingt unter dem Gesichtspunkt der Sicherheit gestaltet wurden. Durch das wachsende Sicherheitsbewusstsein wurde in den vergangenen Jahren also immer öfter versucht, nachträglich IT-Sicherheitsmaßnahmen aufzusetzen. Hierbei wird natürlicherweise zuerst einmal auf bekannte Lösungsansätze zurückgegriffen, nämlich die IT-Sicherheit im Office-Bereich.

Hier ist das Monitoring ein beliebtes Mittel. Dabei wird quasi der gesamte Netzwerkverkehr überprüft und es werden beispielsweise Serveranfragen mit einer vorliegenden Liste von Sicherheitsschwachstellen abgeglichen. In einem anderen Verfahren werden über Pattern-Recognition-Algorithmen ungewöhnliche Muster erkannt und ein Netzwerkadministrator benachrichtigt. Ein weiteres essentielles Werkzeug ist das regelmäßige Aufspielen von Updates, ohne welche praktisch keine vernünftige Sicherheit möglich ist. Des weiteren wird auch Kryptographie zur verschlüsselten Übertragung oder Signatur verwendet.

Auf der anderen Seite wird oft betrachtet, welche nicht IT-spezifischen Sicherheitskonzepte für Industrieanlagen bereits vorliegen. Hier wurde ursprünglich Sicherheit durch Isolation erreicht. Gerade im Rahmen der Industrie 4.0 ist dies offensichtlich nicht mehr ohne Weiteres möglich. Nichtsdestotrotz ist daran abzulesen, dass in einem ersten Schritt möglichst wenige Schnittstellen zugelassen werden sollten, über die ein Zugang zum System möglich ist. Diese können dann umso effizienter überwacht werden.

Klassischerweise wurde auch häufig versucht, Sicherheit durch Geheimhaltung zu ermöglichen, also zum Beispiel versteckte Zugänge zu Anlagen zu verwenden, die nur derjenige kennt, der regelmäßig auf sie zugreifen muss. Davon ist allerdings eher abzuraten, genauso wie von der naiven Annahme, dass es sich bei der eigenen Anlage um etwas so Spezifisches und Komplexes handle, dass Angriffe uninteressant seien und ein Angreifer selbst beim Eindringen ins System keinen wirklichen Schaden anrichten könne. Dies hat sich in der Vergangenheit langfristig als gefährlich erwiesen.

Beim Versuch, ein neues IT-Sicherheitskonzept für Anlagen im eigenen Unternehmen aufzusetzen, wird vom jeweils Beauftragten häufig so vorgegangen, dass die beiden Seiten aus klassischer Office-IT-Security und der Anlagenseite kombiniert werden. Naiv sollen Konzepte wie Firewalls oder Virenscanner also auf Anlagen aufgespielt werden. Hierbei wird allerdings schnell klar, dass das einen nicht unerheblichen Konflikt bildet, da eine der obersten Prioritäten in jedem Produktionsprozess die Funktionstüchtigkeit der Anlage ist. Häufige Updates der aufgespielten Sicherheitssoftware können zu unvorhergesehenen Störungen führen. Hier tauchen normalerweise an irgendeinem Punkt Kompatibilitätsprobleme auf, was zumindest vorerst zu einem Ausfall der Anlage führen kann. Auch ergibt sich durch das Aufsetzen von Sicherheitssoftware unter Umständen ein Timing-Problem, da Anlagen häufig in einer gewissen Taktung Antworten von Servern erhalten müssen, um zu funktionieren. Es kann nur eine bestimmte Menge Software aufgespielt werden, ohne die Anlage lahmzulegen.

Die Konstruktion von Sicherheitskonzepten für die Produktion ist auch deshalb deutlich schwieriger als im Office-Bereich, da hier nur bedingt Versuche durchgeführt werden können. Verständlicherweise können Unternehmen nicht regelmäßig Maschinen für Tests vom Netz nehmen. Deshalb gibt es mittlerweile einige Projekte, die gerade für diesen Bereich Testumgebungen entwickeln. Ein Beispiel hierfür ist das „IT-Sicherheitslabor für die Produktion“ des Fraunhofer-Instituts (Fraunhofer IOSB, IT-Si-Lab).

Abschließend lässt sich sagen, dass ein deutlich effektiverer Weg hin zu IT-Sicherheit im Anlagenbereich der ist, von vornherein Anlagen mit Blick auf Sicherheitsfragen zu entwickeln und diese nicht später nachzurüsten. Die Produktionsstätten und Smart Factorys der Zukunft werden diese unweigerlich als Grundbestandteil beinhalten. Da Geräte und Maschinen in Produktionsbetrieben generell langen Innovationszyklen unterliegen, wird es noch eine Weile dauern, bis die Industrie 4.0 bestehende Systeme gänzlich abgelöst haben wird. Bis dahin ist es unvermeidbar, dass Elemente aus der Industrie 4.0 neben heutiger Technologie eingesetzt werden und diese parallel funktionieren müssen. Eine Herausforderung der nächsten Jahre wird es daher sein, nicht nur IT-Sicherheit im Sinne zukunftsfähiger Systeme zu entwickeln, sondern diese auch mit Überbleibseln der letzten Generation unter Verwendung der aufgezeigten best practices kompatibel zu gestalte�n.

Andelfinger, Volker P. Industrie 4.0. Wie cyber-physische Systeme die Arbeitswelt verändern. Heidenheim 2017.

Hertel, Michael: „Risiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory“ In: HMD Praxis der Wirtschaftsinformatik (2015), Ausgabe 5, S. 724-738

Kagermann, H. / Wahlster, W. / Helbig, J. Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0 – Abschlussbericht des Arbeitskreises Industrie 4.0. Forschungsunion im Stifterverband für die Deutsche Wissenschaft. Frankfurt/Main 2013

Fraunhofer IOSB. Themenbroschüre IT-Si-Lab, https://www.iosb.fraunhofer.de/servlet/is/57376/IOSB_Themenbroschuere_IT-Si-Lab.pdf?command=downloadContent&filename=IOSB_Themenbroschuere_IT-Si-Lab.pdf (07.03.2017)

Dieser Beitrag entstand nach einem Vortrag im Rahmen der Ringvorlesung „Forum Software und Automatisierung“ am IAS.

Vortragsdatum: 01.12.2016
Vortragender: Steffen Pfendtner, ads-tec
Vortragstitel: IT-Security in industriellen Netzwerken