Problemzone Sicherheit

Der VDE-Trendreport 2015 weist die Sicherheit als das derzeit mit Abstand größte Hemmnis für die Ausbreitung der Industrie 4.0 in Deutschland aus. Das ist nachvollziehbar, denn die Folgen eines Hackerangriffs auf Fertigung und Produktion – zum Beispiel der Stillstand einer Produktionsstraße oder eine marginale Manipulation der Steuerungssysteme, die im weiteren Verlauf die Produktqualität massiv beeinflusst – sind mit gravierenden finanziellen Folgen oder sogar Gefahren für Mensch und Umwelt verbunden. Mittlerweile sind dies keine fiktiven Szenarien mehr. In der Praxis hat sich längst bestätigt, dass die Verwundbarkeit von IT-Systemen in industriellen Steuerungssystemen gegenüber böswilligen Angriffen unterschätzt wurde. Wenn hier nicht rechtzeitig die richtigen vorbeugenden Maßnahmen zur Gefahrenabwehr ergriffen werden, ist abzusehen, dass dieses Angriffspotenzial aufgrund der zunehmenden Vernetzung, insbesondere über sogenannte offene Netze im Rahmen von Industrie 4.0, weiter ansteigt.

Die Frage nach der idealen Sicherheitsstrategie muss einerseits gemäß der Schutzziele CIA (confidentiality, integrity, availability; Vertraulichkeit, Integrität, Verfügbarkeit) der IT-Sicherheit und andererseits an den höher zu bewertenden Safety-Anforderungen ausgerichtet sein. Gleichzeitig gilt zu beachten, dass sich die bekannten IT-Sicherheit-Mechanismen aus der Bürowelt nicht eins zu eins auf den Bereich kritischer Infrastrukturen übertragen lassen: Bereits eine, zum besseren Schutz der übertragenen Maschinenbefehle verwendete, höhere Verschlüsselung der Daten kann aufgrund der geringeren Übertragungsrate zu nicht tolerierbaren Verzögerungen in den Produktionsabläufen führen. Aus diesem Grund bedarf es einer detaillierten Auseinandersetzung mit dem Sicherheitsbedarf bis hin zur Umsetzung.

Die Bedrohung steigt

Aus der Umsetzung aktueller Technologietrends in die Produktion resultieren neue Bedrohungsszenarien, was zu der Notwendigkeit führt, dem Thema IT-Sicherheit mehr Aufmerksamkeit als bisher zu widmen. So ist zunehmend verbreitet, dass auch in industriellen Steuerungssystemen verstärkt handelsübliche Systeme, insbesondere Betriebssysteme und Übertragungsprotokolle, zum Einsatz kommen. Zudem hat in den vergangenen Jahren die Anzahl der Angriffe auf IT-Systeme stark zugenommen, nicht zuletzt, da die Tools für solche Angriffe frei im Internet verfügbar sind und ein Markt für entsprechende Aktivitäten entstanden ist. Zudem trägt die Globalisierung der Märkte dazu bei, dass die Infrastrukturen der Unternehmen zunehmend komplexer werden, da die Anzahl der beteiligten Partner an den Geschäftsprozessen stetig wächst. Den kurzlebigen Innovationszyklen der Technologie steht außerdem die Langlebigkeit der Anlagen entgegen – dies spielt ebenso eine wichtige Rolle bei der Suche nach einer adäquaten Sicherheitsstrategie.

Wo liegen Problemfelder tatsächlich?

Pauschal lassen sich nicht alle Problemfelder definieren – die Gefahrenquellen sind vielfältig, einige Ausfallarten, die durch die komplexen Strukturen eingebetteter Systeme entstehen, sind auf den ersten Blick so exotisch, dass sie in der Theorie unrealistisch erscheinen. Von daher gilt es die grundsätzlichen Problemstellungen zu eruieren, auf denen die Gefährdung basiert.

Eine grundlegende Problematik ist, dass IT-Sicherheit und funktionale Sicherheit bisher getrennt bearbeitet und in unterschiedlichen Gremien der Normung behandelt werden: So fordert die IEC 61508 die Berücksichtigung boshafter sowie nicht autorisierter Handlungen im Verlauf der Gefährdungs- und Risikoanalyse und verweist dabei hauptsächlich auf die IEC 62443, während aber die IEC 62443 die funktionale Sicherheit nicht ausreichend fokussiert.

Daneben resultieren aus der unterschiedlichen Herangehensweise im Bezug auf Fragen der funktionalen Sicherheit und IT-Sicherheit per se Schwachstellen für die Unternehmensnetzwerke. Deutlich wird dies am Beispiel der Risikoanalyse: hier unterscheidet sich die Methodik fundamental. Bei der IT-Sicherheit wird eher eine subjektive Wahrscheinlichkeit (Likelihood) abgeschätzt. Die Ermittlung der funktionalen Sicherheit hingegen lässt sich häufig auf statistische Daten oder Modelle zu Ausfallraten abstützen. Während sich die Gefährdungslage bei der funktionalen Sicherheit eher langsam entwickelt, ist die Bedrohungslage im Hinblick auf die IT-Sicherheit schwer zu kalkulieren, da sie sich – durch äußere Einflüsse bedingt – im Prinzip täglich ändern kann, etwa durch einen neuen Virus.

Auf Unternehmensebene kann noch ein ganz anderer Zielkonflikt entstehen: bei der Entwicklung neuer Produkte. Einerseits ist die Absicherung von Produkten und Produktionsprozessen zunehmend komplex geworden und damit verbunden sind hohe Anforderungen an jene, die sich damit auseinandersetzen müssen. Andererseits stellt die Sicherheit für einen Ingenieur, der auf das Umsetzen neuer Leistungsmerkmale und Funktionalitäten fokussiert ist, oft ein Hindernis dar.

Im gesamten Ablauf gibt es einen weiteren Aspekt im Bezug auf die mangelhafte Durchsetzung von Sicherheitsstandards. In dem Prozess von der Entwicklung bis zur Implementierung sind drei Parteien involviert: Hersteller, Systemintegrator und Betreiber. Selbst wenn der Hersteller komplexe Passwörter per Default vorsieht, erhöht dies per se nicht die Sicherheit eines Systems, wenn der Integrator oder der Betreiber des Systems diese Maßnahme deaktivieren oder umgehen kann.

Empfehlungen für die sichere Industrie 4.0

Eine einfache Lösung – quasi den Königsweg – um Industrie 4.0 sicher zu gestalten wird es Stand heute auch zukünftig nicht geben. Es wird vermutlich auf einen Kompromiss hinauslaufen, der sich stark an der Gefährdungslage orientiert. Wenn potenziell aus Sicherheitslücken eine Gefahr für Mensch und Umwelt erwächst, sind hohe Anforderungen an die IT-Sicherheit zu stellen, um die funktionale Sicherheit zu gewährleisten. Für den Fall, dass nur ein wirtschaftlicher Schaden entstehen könnte, ist es zulässig die Sicherheitsmaßnahmen im adäquaten Maße niedriger anzusetzen. Doch was hierzu bislang noch fehlt sind, von Einzelfällen abgesehen, allgemeine Anforderungen bezüglich der IT-Sicherheit von industriellen Steuerungssystemen. Ohne ein entsprechendes Regelwerk besteht die Gefahr, dass in Einzelfallentscheidungen unangemessene Anforderungen gestellt werden. Diese könnten sowohl vollkommen überhöht sein und dadurch die Wirtschaftlichkeit beeinträchtigen oder aber so restriktiv, dass sie die Produktion beeinträchtigen.

Safety und Security zusammenbringen

Zur Auflösung der Diskrepanz zwischen IT-Sicherheit und funktionaler Sicherheit erarbeitet die DKE in einem branchenübergreifend besetzten Gremium – dem TBINK-AK IT Security – einen Leitfaden, der Empfehlungen enthalten soll, wie sich die Themen IT-Sicherheit und funktionale Sicherheit harmonisieren lassen. Branchenübergreifend aus dem Grund, da diese Problematik nicht erst bei Industrie 4.0 wichtig wird, sondern unter anderem auch in den Bereichen Smart Home, Bahnsignalanlagen, Luftfahrt und Kerntechnik von großer Relevanz ist. Die Systeme der Industrieautomation sind daher im DKE-Leitfaden, der sowohl Hersteller, Systemintegratoren als auch Betreiber unterstützen wird, ein Anwendungsfall. Des Weiteren gilt es hierbei in Betracht zu ziehen, dass die bestehenden Geräte und Technikbestände angemessen geschützt werden müssen – dies bedeutet, dass es einer entsprechenden Migrationsstrategie für die deutsche Industrie bedarf. Auch an diesem Aufgabengebiet arbeitet die DKE.

Eines gilt es im Kontext der Industrie 4.0 zu bedenken: neben den Effizienzaspekten sowie den Potenzialen die Kosten zu senken, sollte die Sicherheit in der Fertigungs- und Produktionsumgebung einen gleichrangigen Stellenwert haben, wobei hier der Safety die oberste Priorität zufallen muss.

(mf)