Security besteht nicht nur aus der Technik. Ein konkreter Verantwortlicher muss sich um den gesamten Management-Prozess und die Technik kümmern: der Automation Security Officer.

Security besteht nicht nur aus der Technik. Ein konkreter Verantwortlicher muss sich um den gesamten Management-Prozess und die Technik kümmern: der Automation Security Officer.Vladimirs Poplavskis – Fotolia.com

Vor allem US-amerikanische Experten  auf dem Gebiet der Steuerungs- und Antriebstechnik weisen seit Jahren auf die teilweise gravierenden Sicherheitslücken in Scada (Supervisory Control and Data Acquisition) und Steuerungssystemen (ICS, Industrial Control Systems) hin. Aber auch führende europäische Experten, wie Michael Krammel des Industrial-Security-Unternehmens Koramis oder Herbert Dirnberger von der Cyber Security Austria, weisen darauf hin, welch großer Handlungsbedarf für die Industrie in diesem Themenfeld besteht. Insbesondere in Vorträgen – etwa auf  der Konferenz ‚Industrial Security & Automation‘ in Essen oder vergangenes Jahr im Rahmen der Roadshow ‚Industrial IT Security‘ des Bayrischen IT-Sicherheitsclusters weisen die Experten immer wieder auf die Misstände hin. Verantwortliche Planer und Instandhalter hören diese Apelle und sehen selbst an Beispielen wie Stuxnet  die Schäden, die durch eine unzureichend abgesicherte Maschine entstehen können. Deswegen werden Themen wie ‚Integrity‘ – die einwandfreie und ungetrübte Bereitstellung von Steuerungsdaten – und die Vertraulichkeit von Daten ‚Confidentiality‘ – beispielsweise von Produktionspartnern – immer wichtiger.

Um dies zu erreichen, ist der erste Schritt eine Risikoanalyse. Neben dem primären Ziel des Risikomanagements – der strategischen Sicherung des Unternehmens – lassen sich insbesondere in der Automatisierungs- und Steuerungstechnik kurz- bis mittelfristige Mehrwerte generieren. Beispiele sind hier das verbesserte Bereitstellen von zeitnahen Informationen aus der Fertigung oder die koordinierte und optimierte Planung von  Instandhaltungszeiten für komplexe Anlagen. Werden die Planung des Einsatzes und die Vorprüfung der vom Fremdfirmen-Techniker mitzubringenden Rechnersysteme und Updates zusammen erledigt, verringert sich das Risiko eines unvorhergesehenen Ausfalls und das Wartungsfenster lässt sich eventuell sogar verkürzen. Voraussetzung hierfür ist jedoch, dass das Risikomanagement nicht nur reine Finanz- oder IT-Risiken erfasst, bewertet und nachverfolgt, sondern auch die Probleme und Anforderungen der Produktion und der Automatisierungstechnik einbezieht. Der Blick in die Praxis zeigt, dass die zu schützenden Unternehmenswerte oftmals völlig unterschiedlicher Natur sind und die entsprechenden Informationen nur unstrukturiert zur Verfügung stehen.

Hier ist langfristiges und Disziplinen übergreifendes Denken angesagt. Denn für die Automatisierung und die Fertigung im Allgemeinen ist der Wert einer Anlage oder Steuerungseinheit an sich eher nebensächlich. Wichtig ist, was die Anlagen produzieren. Deswegen ist es die strategische Management-Ebene, die entscheidet, welchem Produktionsprozess oder welcher Wertschöpfungskette bestimmte Anlagen oder Linien zuzuordnen sind. Nur so lässt sich bereits im Vorfeld realistisch abschätzen, welcher Schaden mit welchen Konsequenzen entstehen kann – mit der sogenannten Business Impact Analyse (BIA). Erst wenn valide Ergebnisse der BIA vorliegen ist erkennbar, welche potenziellen Folgekosten bei einem Ausfall einer vormals als vernachlässigbar angesehenen Teilkomponente auftreten können.

Sicherheit braucht Organisation: den ASO

Die wichtigste Erkenntnis bei der Einführung eines umfassenden Sicherheits- und Risikomanagements, ist die Tatsache, dass beide nur anhand zyklisch ablaufender Prozesse nachhaltig Wirksamkeit entwickeln können. Jede kurzfristige Panik-Maßnahmen, wie sie etwa nach Stuxnet vielfach zu beobachten waren, lassen sich mit einem Heftpflaster auf einer arteriellen Wunde vergleichen. Während das Lager der ‚Scada-Apologists‘ akzeptiert, dass viele Anlagen veraltet sind und nur schwer mit modernen Technologien zu schützen sind und deshalb auf Workarounds und Investitionsschutz bauen, vertreten die Befürworter eines ‚Rip-and-Replace-Ansatzes‘ die Meinung, dass nur ein radikaler Neuanfang – alte Technik raus, neue rein – einen sicheren Ansatz ermöglicht. Auch wenn die Meinungen zwischen den Lagern hinsichtlich des richtigen Ansatzes auseinander gehen, so ist man sich doch in einem Punkt einig: Jegliche Maßnahmen müssen im Rahmen eines umfassenden Programms erfolgen. Eingebunden in eine organisatorisch unterstützte Sicherheitsstrategie bedeutet dies, dass nicht nur einmalig ein Budget für Sofortmaßnahmen bereitgestellt werden muss. Ein stetiger Prozess braucht einen stetigen Geldfluss. Dazu gehört auch ein fester Ansprechpartner für die Sicherheit der Automatisierung, Anlagentechnik und Produktion. Dieser Automation Security Officer (ASO) sollte nicht nur organisatorische Nähe zum Aufgabengebiet des CSO (Chief Security Officer) haben, sondern auch über detaillierte Kenntnisse der Automatisierungstechnik verfügen. Hierarchisch empfiehlt sich eine solche Position etwa als Stabstelle in der Werks- oder Produktionsleitung.

Ohne Verantwortlichen fühlt sich keiner verantwortlich

Security ist ein fortlaufender Prozess, den ein Security-Verantwortlicher betreuen und überwachen muss.

Security ist ein fortlaufender Prozess, den ein Security-Verantwortlicher betreuen und überwachen muss.Accessesc

Ist für die generelle Sicherheit ein Ansprechpartner definiert, so finden auch die notwendigen Aufgaben und Prozesse des Risikomanagements eine feste Position innerhalb des Unternehmens. Ohne einen sachkundigen Fachverantwortlichen würden die aufwendigen Arbeitsschritte der Etablierung eines Risikomanagements schnell im Zuständigkeitsvakuum einer großen Organisation verschwinden. Erst wenn –  vor allem aus Sicht der Unternehmensführung – die wichtigsten Prozesse der Wertschöpfung definiert sind, kann ein CSO oder ASO beginnen, die Auswirkung seines Arbeitsbereiches auf diese Prozesse abzuschätzen. Auch wenn der Sicherheitsexperte sich aus den Reihen der Planer oder Instandhaltungsverantwortlichen rekrutiert, benötigt er dabei die enge Kooperation mit den Kollegen aus dem Feld, um die letzten Schritte der Zuordnung ‚Asset versus Prozess‘ sauber umzusetzen. Ist diese Zuordnung erfolgt, sorgt wiederum die Sachkenntnis der Automatisierungstechniker und Instandhalter für eine realistische Einschätzung der jeweiligen Abhängigkeiten im Produktionsprozess von einer bestimmten Steuerungsgruppe oder einem Netzwerkelement.

Problem behoben – Ursache noch da

Auch wenn sich Audits noch nicht als Standard etabliert haben, so arbeiten sich doch vermehrt sowohl interne Revision als auch externe Auditoren in die Systemtechnik der Automation und Steuerungstechnik ein. Ihre Aufgabe besteht darin, umfangreiche Audits der Steuerung- und Prozessleitsysteme durchzuführen und entsprechend zu dokumentieren. Hier werden oft große Daten- und Informationsmengen zusammengetragen, die auch für den ASO neue Einblicke ermöglichen. Sie helfen dabei, ein realistisches Bild über die aktuelle (IT-)Infrastruktur, Prozesse und Datenflüsse zu gewinnen und bringen oft auch neue Erkenntnisse hervor, die helfen, ungenutzte Ressourcen und Potenziale besser auszuschöpfen. Diese bieten einen Mehrwert, wenn man, anstatt endlose Excel-Tabellen mit allein stehenden Erkenntnissen vor sich zu haben, in der Lage ist, eine sinnvolle Nachverfolgung dieser Erkenntnisse zu erreichen. Das setzt jedoch voraus, dass die Produktion ihre Assets kennt – von den zentralen Netzknoten und Prozessleittechniken über kleine Hutschienen-Firewalls bis hin zu den SPSen im Feld. Nur dies ist eine gute Basis zur realistischen Selbsteinschätzung. Erst wenn diese Informationen in einer detaillierten Asset-Datenbank vorliegen, kann der ASO aus den Ergebnissen der Auditoren direkt eine Handlungsstrategie für die gravierenden Schwachstellen ableiten. Eine gänzliche Ausrichtung an den Wünschen der Revision ist jedoch nicht zu empfehlen: Ein ‚working to the audit‘ befriedigt zwar das Bedürfnis, einzelne Probleme schnell zu beheben, ob diese Probleme jedoch auch nachhaltig geschlossen werden, ist oft fragwürdig. Es muss im Interesse des ASO liegen, dass die zu ergreifenden Gegenmaßnahmen sich nicht darauf beschränken, die Symptome eines Problems zu bekämpfen. Vielmehr müssen die Ursachen dauerhaft beseitigt werden – und das wiederum erfordert die Analyse der Sachlage weit über den Umfang eines Audits hinaus.

Ganzheitlich analysieren – strategisch handeln

Ohne die klare Managementvorgabe, die Informationssicherheit in der Produktion mit Priorität zu behandeln, sind die meisten Maßnahmen nur Strohfeuer. Das Unternehmen Accessec macht in Projekten immer wieder die Erfahrung, dass Einzelmaßnahmen zur Sicherheit in der Produktion und Automation nur geringe Nachhaltigkeit in ihrer Wirksamkeit erzeugen. Das muss nicht so bleiben. Oft lässt sich mit Hilfe von außen schneller und effizienter ein umfassendes Sicherheitsprogramm implementieren.

Sowohl die Bundesregierung als auch die Industrie haben erkannt, dass die schnelle Vernetzung von elektronischen Systemen der dritten industriellen Revolution zu großen Problemen geführt hat, die sich in der Industrie 4.0 nicht wiederholen sollten. Hierfür bedarf es strategischer Ansätze, der Bereitstellung von Sonderbudgets und der Schaffung neuer Positionen – etwa ASO und IT-Sicherheitsingenieuren in Planung und Instandhaltung. Die Hersteller sind gefordert, ihre Produkte für die Anforderungen an eine vollständige Vernetzung sicherer zu machen und dementsprechend in ihre Entwicklung zu investieren. Kunden und Integratoren sollten ihren Bedarf für sichere Steuertechnik und Automation konkret an die Hersteller kommunizieren. Denn die Erfahrung zeigt: Damit einhergehende Zusatzkosten für umfassende Sicherheitsfunktionen zahlen sich schneller aus als gedacht.

Sebastian Rohr

ist technischer Geschäftsführer der Accessec GmbH in Groß-Bieberau.

(mf)

Sie möchten gerne weiterlesen?