Fakt ist, dass heutzutage auch industrielle Produktionsanlagen Angriffsflächen bieten. Denn wo ehemals die Kommunikation in der Fertigung über Feldbusse und herstellerspezifische Kommunikationsprotokolle erfolgte, sind heute zusammenhängende Ethernet-basierte Lösungen oder Betriebssysteme wie Windows oder Linux im Einsatz. Positiv im Sinne der Effizienz, negativ hinsichtlich der Sicherheit, da hierdurch neue Schwachstellen entstehen. Die Folge: Auch die Produktionsanlagen werden zunehmend anfällig für Viren und Würmer.
Dabei steht die Neugestaltung der Infrastruktur erst am Anfang – auf der Suche nach weiterem Potenzial, die Wirtschaftlichkeit zu steigern, werden zukünftig mehr und mehr mobile Endgeräte in der Produktion zum Einsatz kommen. Denn, so eine gängige Meinung, ökonomisches Handeln bedingt fortgesetzt agilere Produktionsprozesse, was mit dem Stand von heute zunehmend auf Echtzeit-Informationen basiert.
Viele Informationen, viel Angriffsfläche
Doch der Blick auf die mögliche Effizienzsteigerung sollte den Verantwortlichen nicht den Blick darauf verstellen, dass sich „mit dem Einsatz von mobilen Endgeräten alles ändert“, stellt Prof. Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen, fest. Unbenommen sei zwar der Nutzen nachvollziehbar, unter anderem weil jene Geräte eine intelligente Art der Steuerung darstellen, aber sie eröffnen eben auch viele Möglichkeiten zur Wirtschaftsspionage. Dabei ist die Bandbreite der weit gesteckt. Ein Beispiel: Unternehmen gehen dazu über, Tablet-PCs zur Steuerung von Maschinen einzusetzen oder sie zur Messdaten-Übertragung zu nutzen. Dies ist sinnvoll, um frühzeitig Gegenmaßnahmen einzuleiten, etwa wenn Bauteile und Komponenten nicht planmäßig geliefert werden. Meist werden diese Daten unverschlüsselt abgespeichert. Hier entsteht akuter Handlungsbedarf, denn mobile Endgeräte werden mittlerweile überall genutzt, auch in – aufgrund der offenen Netze – unsicheren Umgebungen, etwa am Bahnhof. Manche Angriffsmöglichkeiten sind noch trivialer. So weist Pohlmann darauf hin, dass während der Bearbeitung in der Öffentlichkeit „die Informationen auf den Displays meist sehr gut einsehbar sind“. Folglich könne wertvolles Produktions-Know-how sowohl einfach aus- als auch abgelesen werden. Hierzu bieten Mobile Datenerfassungsgeräte (MDE) mit direktem Zugang zu den Produktionsnetzen ebenso gute Zugriffsmöglichkeiten. Denn meistens sind diese unverschlüsselt oder mittels Wired Equivalent Privacy (WEP) nur schwach gesichert – folglich ist es möglich, alles, was das Gerät sendet, abzufangen.
Mehrere Schutzwälle errichten
Die bekannten Konzepte aus der Büro-IT, wie etwa der Einsatz von Virenschutzprogrammen oder Patch-Management, sind auf die Rechner in der Produktion nicht ohne weiteres übertragbar. Teilweise würde hierdurch eine System- und Netzlast erzeugt, die bei Echtzeit-Anwendungen nicht tolerierbar ist, da dies unmittelbar negative Auswirkungen auf die Produktionsabläufe hätte.
Somit erfordert das Absichern der Produktionsnetze beim Einsatz mobiler Endgeräte andere Vorgehensweisen. Eine grundlegende Strategie besteht darin, möglichst wenig Information aus der Produktion auf den Geräten zu speichern, da diese per se schlecht zu schützen sind. Um zu vermeiden, dass Produktionsanlagen über Smartphone & Co. angegriffen werden können, ist es essenziell auf diesen Geräten eine Personal Firewall, Anti-Viren-Software sowie – soweit überhaupt schon vorhanden – einen getesteten Patch-Zustand zu nutzen. Doch hier offenbart sich eine weitere Schwachstelle: solche Sicherheitslösungen sind noch längst nicht für jedes mobile Endgerät verfügbar oder ausgereift.
Ein generell wichtiger Schritt besteht in dem Aufbau eines sicheren sowie transparenten Netzwerk-Designs; zum Beispiel beruhend auf einem so genannten Zonenkonzept, das zum einen für den Schutz der unterschiedlichen Bereiche sorgt und zum anderen diese sicher miteinander verbindet. Mithilfe eines solchen Konzepts ist auch das Problem ein Stück weit lösbar, dass viele Komponenten im Produktionsnetzwerk nicht mittels der standardisierten Mechanismen abgesichert werden können, da hierbei die Installation der Absicherungsmaßnahmen außerhalb der Fertigungs- und Automationsebene, also um das System herum, stattfindet.
Ein zentraler Grundsatz
Eine adäquate Sicherheitsstrategie ist ein Muss – insbesondere bei der Einführung neuer Technologien – jedoch nicht jeweils im Sinne eines Projektes sondern im Rahmen eines kontinuierlichen Prozesses. Dazu gehört auch eine periodische Durchführung von Sicherheitsaudits, da hierdurch fortwährend Schwachstellen im Unternehmen aufgedeckt werden.
Doch die wesentliche Maßgabe lautet: Da von Herstellerseite zurzeit für die Absicherung der Produktionsanlagen nicht im notwendigen Umfang gesorgt ist, ist es die Aufgabe der Verantwortlichen aus Produktion und IT hier gemeinsam Lösungen zu finden. Dies erfordert die Festlegung einer Organisationsstruktur, welche Verantwortlichkeiten zuweist sowie die entsprechenden Kompetenzen im Hinblick auf Planung und Durchführung von Maßnahmen.
Wolfgang Straßer
(mf)
