Set up cybersecurity technology protection concept.

Set up cybersecurity technology protection concept. (Bild: sasun Bughdaryan – Adobe Stock)

Industrial Cyber Security ist ein absolutes Muss! Warum? Die Digitalisierung in allen Lebensbereichen schreitet unaufhaltsam voran – nicht nur zu Hause im Smart Home oder im vernetzten Auto, sondern vor allem auch in der Produktion.

Die Fabrik von heute basiert als Smart Factory ebenfalls auf Informationsverarbeitung und Vernetzung. Das potenzielle Risiko dabei: Jede Art von soft- und hardwarebasierender Informationsverarbeitung birgt die Gefahr von Schwachstellen; zumeist handelt es sich dabei um unbewusst eingebrachte Fehler im Softwarecode, die ausgenutzt werden und damit einem produzierenden Unternehmen enorm schaden können. Adäquate IT-Sicherheit im Sinne von Informationssicherheit und Datenschutz ist damit auch für die Smart Factory zwingende Voraussetzung. Verwirklichen lässt sich das am besten mit einem ganzheitlichen Sicherheitsansatz.

Industrial Ethernet bringt Performance-Gewinn, aber auch neue Sicherheitsrisiken

Bild 2: Industrial Cyber-Security benötigt Governance im Rahmen unternehmens- bzw. branchenspezifischer Vorgaben (Compliance).

Bild 2: Industrial Security benötigt Governance im Rahmen unternehmens- beziehungsweise branchenspezifischer Vorgaben (Compliance). Escrypt

Im Bereich der Produktion schreitet die digitale Transformation unter dem Schlagwort Industrie 4.0 spürbar voran und bringt viele Vorteile mit sich: Miteinander vernetzte Maschinen und Anlagen geben Einblick in den Status einzelner Aufträge, sorgen für umfassende Prozesskontrolle, Dokumentation und Rückverfolgbarkeit, ermöglichen Überwachung von Lagerbeständen und Verbrauchsmaterialien in Echtzeit, gewährleisten vollautomatisierte Abläufe in Produktion, Auftragsabwicklung und Bestellwesen und melden proaktiv ihren eigenen Wartungsbedarf. Der Gewinn an Effizienz, Transparenz und Flexibilität innerhalb der Produktions- und Fertigungsprozesslandschaft birgt allerdings auch Risiken: Industrial Ethernet löst mehr und mehr herkömmliche Feldbusse wie zum Beispiel Profibus, Profinet, Modbus-RTU und CC-Link ab.

Mit der auf diese Weise zunehmenden Vernetzung und Adressierbarkeit der Systeme via Internet-Protokoll (IP) steigt jedoch die Gefahr eines nicht autorisierten Zugriffs auf Steuerungssoftware oder sensible Unternehmensinformationen. Im schlimmsten Fall ist der Betrieb kompletter Produktionsnetzwerke oder -linien gefährdet und damit manchmal sogar Lieferketten oder Auftraggeberprozesse. Mögliche Folgen sind massive Umsatzeinbußen oder gar Regressions- beziehungsweise Strafzahlungen. Dennoch wird der Bedarf an Security-Maßnahmen, die mit zunehmender Digitalisierung und Vernetzung industrieller Anlagen und deren Einbindung ins Internet der Dinge einhergehen, vielfach unterschätzt. Die Annahme, die eigene Produktion sei für Hacker nicht interessant und Industrial Cyber Security sei keine lohnende Investition, ist eine überholte, überaus riskante Fehleinschätzung (siehe Infobox: 5+1 gute Gründe für Industrial Cyber Security).

5+1 gute Gründe für Industrial Cyber Security

Bezeichnend für ein unzureichendes Risikobewusstsein sind verbreitete Fehlannahmen (5+1 populäre Irrtümer), aus denen sich „5+1 gute Gründe für Industrial Cyber Security“ ableiten lassen:

  • “Die Produktion wird nicht angegriffen. Es gibt viel wahrscheinlichere Ziele.” – Falsch!
    Richtig ist: Die Fertigung ist wegen des anhaltend geringen Schutzes ein sehr wahrscheinliches Ziel.
  • “Die Produktion ist kein attraktives Ziel, weil es nicht um direktes Finanzgeschäft geht.” – Falsch!
    Richtig ist: Die Fertigung ist ein wesentlicher Teil der Lieferkette. Dieser ist gut erpressbar und daher ein sehr attraktives Ziel.
  • “Meine Produktion ist nicht interessant und lukrativ genug.” – Falsch!
    Richtig ist: Eine Vielzahl der aktuellen Gefahren laufen hoch automatisiert und spezifisch entwickelt gezielt auf ihre Opfer ab.
  • “Für die Produktion ist Cyber Security zu teuer. Die Investition zahlt sich nicht aus.” – Falsch!
    Richtig ist: Cyber Security ist ein absolutes Muss und keine Option. Zusätzlicher Druck für die ganzheitliche Einführung von Cyber-Security-Maßnahmen entsteht durch zukünftig noch weiter zunehmende gesetzliche und versicherungsrechtliche Vorschriften.
  • „Meine Produktion ist nicht verbunden. Ich bin sicher!” – Falsch!
    Richtig ist: Auch die nicht verbundene Produktions-IT kann betroffen sein, unter anderem über lokale Wartungsprozesse mit PC und unkontrollierter USB-Schnittstelle.
  • +1   “Cyber Security hat für meine Produktion keinen Mehrwert.” – Falsch!
    Richtig ist: Cyber Security Ihrer Produktion wird zukünftig ein wesentlicher Wettbewerbsvorteil und ein zusätzliches Verkaufsargument sein.

Zu erkennen, dass IT Security für die vernetzte, digitale industrielle Fertigung kein „nice-to-have“, sondern ein „must-have“ ist, ist der erste wichtige Schritt. Das nötige Risikobewusstsein zu entwickeln und dauerhaft aufrechtzuerhalten ist umso schwieriger, als die Gefahren fehlender Absicherung erst evident werden, wenn ein Security Incident mitsamt seiner wirtschaftlichen Folgen tatsächlich eintritt. Industrial Cyber Security muss von Anfang an berücksichtigt werden.

 

Industrial Cyber Security braucht spezifische Expertise

Bild 3: Informationssicherheits-Managementsystem (ISMS) bei Industrial Cyber-Security

Bild 3: Informationssicherheits-Managementsystem (ISMS) Escrypt

Bleibt die Frage der Implementierung und Umsetzung von Industrial IT Security. Unternehmen der Fertigungsindustrie unterliegen gerne dem Irrglauben, die eigene IT-Abteilung könne basierend auf ihren Erfahrungen mit der traditionellen Büro-IT-Umgebung ein Sicherheitskonzept für die Produktion erstellen. Ist sie doch vordergründig mit den gängigen Bedrohungen und Gegenmaßnahmen wie Firewalls, Antiviren-Software, Intrusion-Prevention-Systemen, sicherem Remote Access oder Patch-Management vertraut. Diese Annahme lässt jedoch eine ganz grundlegende Prämisse eines jeden Sicherheitskonzepts außer Acht: Wenn man ein System absichern will, muss man zunächst einmal dieses System verstehen. Genau das fällt Mitarbeitern aus der klassischen IT oftmals schwer. Es werden Experten benötigt. Denn es gibt grundlegende Unterschiede zwischen Büro- und Produktionsnetzwerk – gerade auch im Hinblick auf die jeweiligen allgemeinen Sicherheitsrisiken:

Im Vordergrund stehen zuallererst mögliche Fehlfunktionen von Maschinen und Anlagen. Die Verfügbarkeit von Daten und Anwendungen, Authentifikation und Zugriffsrechte oder die Abwehr von Schadsoftware spielen hier höchstens eine untergeordnete Rolle.

Bild 4: Ganzheitlicher Schutz bei Industrial Cyber-Security reicht von der Prognose über Prävention und Angriffserkennung bis zur Abwehr von Angriffen.

Bild 4: Ganzheitlicher Schutz bei Industrial Cyber Security reicht von der Prognose über Prävention und Angriffserkennung bis zur Abwehr von Angriffen. Escrypt

In Büro-IT-Umgebungen geht es darum, eine vergleichsweise geringe Anzahl von Servern und zentralen Komponenten der IT-Infrastruktur abzusichern; besonders kritische Systeme können redundant ausgelegt und deren Ausfall relativ einfach kompensiert werden. In der Produktion dagegen gibt es weder unkritische Systeme noch Redundanz. In Zeiten der Just-in-time-Fertigung gilt hier der Satz vom schwächsten Glied in der Kette: Der Ausfall oder eine Fehlfunktion nur eines Systems hat Auswirkungen auf den gesamten Produktionsprozess – bis hin zum kompletten Stillstand.

Büroumgebungen verfügen heute über vergleichsweise homogene Systemlandschaften mit möglichst wenig unterschiedlichen Systemen. In der Fertigung dagegen wird die Steuerung mit der Maschine geliefert und der Anwender hat in der Regel nur wenig Einfluss auf die technischen Einzelheiten. Da eine Fertigungslinie meist aus einer Vielzahl völlig unterschiedlicher Maschinen mit jeweils eigenen Steuerungen besteht, ist eine enorme Vielzahl an produktionsspezifischen Systemen und Protokollen vorhanden, die zudem oft ohne jede Berücksichtigung von Sicherheitsaspekten implementiert wurden.

Bild 5: Riskoanalyse und -bewertung im Rahmen von Industrial Cyber-Security

Bild 5: Riskoanalyse und -bewertung im Rahmen von Industrial Cyber Security Escrypt

Das Patchen beziehungsweise Aktualisieren der Software vorhandener Systeme ist in klassischen IT-Umgebungen ein probates Mittel, um erkannte Sicherheitslücken zu schließen. In der Fertigung hingegen ist das Schließen von Sicherheitslücken durch Patches oder neue Software-Releases nahezu ausgeschlossen. Hier gilt der Grundsatz  „Never touch a running system“. Denn in der Produktion wird in Echtzeit gearbeitet, und jede Modifikation der Steuerungssoftware oder des darunterliegenden Betriebssystems kann die ausgeklügelten zeitlichen Abläufe durcheinanderbringen. Genau aus diesem Grund koppeln viele Maschinenhersteller auch ihre Garantie an eine unveränderte Software. Etwaige Softwareveränderungen können – wenn überhaupt – nur nach umfassende Tests in isolierten Versuchsumgebungen erfolgen. Allein schon dieser Aspekt zeigt, dass Industrial Cyber Security einen ganzheitlichen Ansatz erfordert.

Fertigungsanlagen und ihre Steuerungen, auch innerhalb vollautomatisierter Umgebungen, haben deutlich längere Lebensdauern als Büro-IT-Systeme. So finden sich in der Fertigung eine Vielzahl häufig ungepatchter Systeme auf Basis vieler unterschiedlicher (Echtzeit-) Betriebssysteme mit all ihren jeweiligen Sicherheitslücken. Zusätzliche Sicherheitssoftware, etwa Virenscanner, lässt sich auf solchen Systemen wegen der zeitkritischen Abläufe oder wegen des Alters der Betriebssysteme meist nicht installieren.

Bild 6: Zielgerechte Übersetzung strategischer Security-Vorgaben in operative Maßnahmen.

Bild 6: Zielgerechte Übersetzung strategischer Security-Vorgaben in operative Maßnahmen Escrypt

In herkömmlichen IT-Umgebungen sind die Vergabe von Zugriffsrechten und Authentifikation zentrale Stützpfeiler eines jeden Security-Konzeptes. Im Fertigungsnetzwerk dagegen muss darauf weitgehend verzichtet werden: Maschinen und ihre Steuerungen werden in der Regel von mehreren Mitarbeitern in völlig gleicher Weise bedient; das Konzept von User Accounts ist praktisch unbekannt. Wenn es überhaupt ein Passwort gibt, ist es allgemein bekannt. Zudem müssen kritische Komponenten wie eine Notabschaltung oder Produktionsleitstände immer verfügbar sein und lassen einen Schutz per Passwort oder Tokens überhaupt nicht zu. Die Absicherung gegen unbefugte Zugriffe muss daher auf andere Weise sichergestellt werden. Gleiches gilt für Remote-Access-Lösungen für die Fernwartung von Maschinen.

Implementierung geeigneter Schutzmaßnahmen im Rahmen von Industrial Cyber Security

Wo also setzen notwendige Schutzmaßnahmen im Rahmen eines umfassenden, ganzheitlichen IT-Sicherheitskonzeptes für industrielle Fertigungsprozesse an? Wie lassen sie sich implementieren und sinnvoll miteinander verzahnen? Folgende Aspekte sind dabei zu beachten:

  • Industrial IT Security muss innerhalb der Unternehmensorganisation und -prozesse verankert werden (Governance). Sie basiert auf einem umfassenden Risikomanagement und folgt regulativen und unternehmens- beziehungsweise branchenspezifischen Vorgaben für Informationssicherheit (Compliance, Bild 2)
  • Sicherheit muss als immer wiederkehrender Prozess mit Prüfung auf Wirksamkeit im Rahmen eines PDCA-Zyklus (Plan – Do – Check – Act) betrachtet werden, eingebettet in ein Informationssicherheits-Managementsystem (ISMS, Bild 3).
  • Es gilt, konkrete Maßnahmen für einen ganzheitlichen Schutz einzuführen, um Gefahren aktiv zu verhindern (prevent) und zu erkennen (detect), um auf Sicherheitsvorfälle reagieren zu können (respond) und um mögliche zukünftige Gefahren proaktiv verhindern (predict) zu können (Bild 4).
  • Alle beteiligten IT-Komponenten und -Systeme sind abzusichern, unter Beachtung der Sicherheitsziele: Vertraulichkeit – Integrität – Verfügbarkeit – Authentizität.

Gemeinsames Planen und Handeln von IT- und Produktionsverantwortlichen

Bild 7: Industrial Cyber-Security vom strategischen Security-Consulting bis zum Response-Management.

Bild 7: Industrial Cyber Security vom strategischen Security Consulting bis zum Response Management Escrypt

Um einen organisatorischen Rahmen für einen effektiven Schutz der relevanten Umgebungen und Systeme zu schaffen, sollten unter anderem die zentralen Unternehmenswerte (Assets) erhoben und die Organisationsstrukturen, die Wirtschaftsgüter sowie die eingesetzten Technologien dokumentiert werden. Gemäß eines zuvor festgelegten systematischen Ansatzes, der an den Geschäftszielen des Unternehmens ausgerichtet ist, sind anschließend Risiken und Gefahren zu analysieren und zu bewerten. Dabei werden Maßnahmen entsprechend der gewählten Risikobehandlungsstrategie identifiziert, priorisiert und umgesetzt. Ziel ist es, die Risiken auf ein für das Unternehmen akzeptables Niveau zu senken (Akzeptanz des Restrisikos möglich, Bild 5).

Das Vorgehen bei der Maßnahmenimplementierung richtet sich nach der Governance-Struktur der Informationssicherheit. Auf diese Art und Weise wird der organisatorische Kontext berücksichtigt und sichergestellt, dass sich die Einführung des geforderten Mindestniveaus an IT-Sicherheit an den Geschäftszielen und den unternehmerischen Rahmenbedingungen des Unternehmens orientiert (Bild 6).

Da IT-Verantwortliche im Unternehmen oft nur eingeschränkte Einblicke in die speziellen Gegebenheiten und Abläufe in der Fertigung haben, die Produktion dagegen wenig Erfahrung mit IP im allgemeinen und IT Security im Besonderen hat, sollte die nachhaltige und ganzheitliche Absicherung der Fertigungsanlagen ein Gemeinschaftsprojekt sein. Idealerweise erarbeiten Produktion und IT-Abteilung gemeinsam ein Konzept, das alle Aspekte der Betriebssicherheit und Betriebsverfügbarkeit umfasst.

Good Practice: Konkrete Schutzmaßnahmen in der Fertigung

Bild 8: Best Practice bei Industrial Cyber-Security in Form von End-to-End-Security by Design.

Bild 8: Best Practice in Form von End-to-End Security by Design. Escrypt

In der traditionellen Industrial IT sind Schutzmaßnahmen auf den Systemen selbst schwierig implementierbar. Daher sollten im Rahmen der Industrial Cyber Security einzelne Maschinen oder Sicherheitszonen innerhalb der Fertigungslinie durch vorgeschaltete Systeme geschützt werden. Diese Systeme sind nicht in die Prozesskommunikation an sich involviert, sondern trennen beziehungsweise filtern als schadhaft erkannten Netzverkehr.

Über ein entsprechendes Zonenmodell innerhalb der traditionellen Fertigungs-IT wird die Kommunikation zwischen den einzelnen Zonen durch unterschiedlich ausgeprägte Firewall-Systeme eingeschränkt. Diese erlauben explizit lediglich die notwendige Kommunikation (basierend auf den jeweiligen Quell- und Zielinformationen) und ermöglichen einen gesicherten, autorisierten und authentifizierten Fernwartungszugriff. Zudem lassen sich auf solchen Sicherheitssystemen Antivirensoftware oder Angriffsabwehrfunktionen (IPS, Intrusion Prevention Systems), Applikations- und Benutzererkennung beziehungsweise -steuerung installieren und jederzeit aktualisieren.

Um den speziellen Umgebungseigenschaften der Fertigung Rechnung zu tragen, gibt es speziell für den Einsatz im Produktionsumfeld konzipierte Sicherheits-Appliances. Diese sind unter anderem mit Hutschienenmontage, 24-V-Versorgung und an raue Bedingungen angepassten Gehäusen versehen, sodass sie sich relativ einfach in die bestehende Umgebung integrieren lassen.

Eckdaten

Die digitale Transformation ist vielerorts in der Produktion angekommen. Industrial Ethernet löst mehr und mehr herkömmliche Feldbusse ab. Gleichzeitig bringen die Segnungen digitalisierter, vernetzter Fertigung Security-Risiken mit sich. Mit ganzheitlichen IT-Sicherheitskonzepten lässt sich die industrielle Produktion wirksam gegen Cyberattacken schützen – zum Beispiel über intelligente Zonenmodelle oder per End-to-End Security by Design.

Konzeption, Einführung und Durchsetzung von Zonenkonzepten sind in der Regel klassische IT-Aufgaben. Hingegen zeichnen die Verantwortlichen in der Fertigung für die Begrenzung von Kommunikationsbeziehungen in der Produktionsumgebung an sich verantwortlich (unter anderem durch Bilden sogenannter Security-Inseln).

Dringend notwendig ist indes ein übergeordnetes Betriebs- und Notfallkonzept. Hier sollten alle Beteiligten darauf achten, dass die wegen der Vielzahl von Sicherheitszonen zwangsläufig komplexe Security-Umgebung beherrschbar bleibt. Sie sollte einfach administrierbar sein sowie Updates und Änderungen, gesetzeskonformes Reporting und Change Management ermöglichen.

Best Practice: End-to-End Security by Design

Anders ist die Situation beim originären Aufbau einer Smart Factory mit all ihren Vorteilen der Digitalisierung und Vernetzung sowie den entsprechenden Chancen für mehr Effektivität und Effizienz in der Produktion. Hier kann ein ganzheitliches Konzept für Industrial Cyber Security bereits mit Aufbau der Fertigungsanlagen intrinsisch in den Soft- und Hardwaresteuerungen für die Fertigungslinien integriert und in Form weitreichender IT-Sicherheitsmaßnahmen implementiert werden.

Der Gleichklang aus Security-Organisation, wiederkehrendem IT-Sicherheitsmanagement sowie der Absicherung aller Komponenten und Systeme lässt sich hier initial herstellen. Der PDCA-Zyklus aus Vorbeugung, Erkennung, Gefahrenabwehr und Verbesserung kann hier von vorne herein auf nachhaltige Sicherheit im gesamten Lebenszyklus einer Fertigungslinie ausgerichtet werden (Bild 7).

Ziel einer solchen Kette wiederkehrender Maßnahmen ist es, ganzheitliche End-to-End Security by Design zu erreichen. Die Fertigungsanlage beziehungsweise ganze Fertigungsbereiche werden als vernetztes IT-basierendes System betrachtet und von Beginn an mit allen beteiligten angeschlossenen Systemen unter der Prämisse umfassender IT-Sicherheit entwickelt. Damit wird die Security als wichtiges Kernelement in der Planung einer intelligenten Fertigung in der Industrie 4.0 verankert (Bild 8).

Norman Wenk

escrypt_norman_wenk
Teamleiter Cyber Security Consulting Services bei Escrypt in Stuttgart

(av)

Sie möchten gerne weiterlesen?