Industrial Security

Nur für geladene Gäste

Auf dem Weg zur Industrie 4.0 wächst die Außenwelt in die Produktion hinein, ehemals getrennte IT-Systeme werden integriert. Der Absicherung von Produktionsabteilungen gegen Cyber-Angriffe kommt daher eine steigende Bedeutung zu. Bei Fragen der Risikoverteilung können IT-Sicherheitsverantwortliche in der Produktion häufig von den Erfahrungen ihrer Office-IT-Kollegen profitieren.

Bild: Netiq

Der Schaden, der der deutschen Wirtschaft bereits jetzt durch Cyberkriminalität entsteht, geht in die dreistelligen Millionenbeträge. Dabei beschränken sich Hacker oft noch auf Industriespionage. Deren Schaden ist gerade Mittelständlern schmerzlich bewusst: Insbesondere Unternehmen mit schmalem Produktportfolio leiden nachhaltig darunter, wenn sich die Konkurrenz an ihrem Intellectual Property-Kapital bedient hat. In Zukunft könnten Cyberkriminelle weitere Wege finden, um Produktionsunternehmen zu schaden. Zur Spionage kann sich durch die neuen Trends in IT und Industrie auch die Sabotage im großen Stil gesellen. Ende 2014 sorgte das geplante IT-Sicherheitsgesetz für Aufsehen. Es soll eine Meldepflicht für Unternehmen einführen, die Opfer von Cyberangriffen geworden sind. Ein Großteil der Industrie, vor allem Mittelständler, verhält sich jedoch weiter so, als ginge sie das nichts an – und das völlig zurecht. Das Gesetzesvorhaben betrifft explizit sogenannte kritische Infrastrukturen, also etwa Krankenhäuser, Verkehr und Energieversorger.

Industrie sollte aufhorchen

Doch die genannten Entwicklungen, die das IT-Sicherheitsgesetz und eine fast identische Richtlinie der EU nötig machen, sollten auch Produktionsunternehmen aufhorchen lassen. Die ‚Fabrik der Zukunft‘ ist zu einem Teil bereits Realität. Was wir als Internet der Dinge bezeichnen, spaltet sich in zwei Entwicklungsäste: Für Konsumenten bedeutet das intelligente Geräte wie Wearables oder die Herausbildung des Smart Homes. Für die Industrie bedeutet es die Entwicklung einer intelligenten Fabrik. Diese lockt mit profitabler Just-in-Time-Produktion, der produktiven Fertigung in Losgröße 1 und ordentlichen Margen. Ein erheblicher Teil dieser Industrie 4.0 läuft über die Kommunikation von Maschinen untereinander (M2M), aber auch von Mensch und Maschine. Vor allem, wenn diese Kommunikation nicht über ein Display läuft, sondern über das Internet. An den öligsten Maschinen leuchtet heute ein RJ45-Anschluss. Neue Maschinen und Roboter kommen standardmäßig mit einer Internetverbindung. Hersteller werben mit Software-Updates und Fernwartung. Und einem externen Zugriff auf die Produktion zuzustimmen, kann viele gute Gründe haben. Der Hersteller etwa kann Maschinenbetreiber um einiges effizienter unterstützen und Probleme zügig lösen, wenn er sich aus der Ferne einloggen kann, anstatt fünf Stunden im Kleinlaster anzureisen.

Auch Anlagenbetreiber können Interesse an Fernwartung haben, etwa wenn es keine andere praktikable Lösung zur Instandhaltung gibt. Muss bei Offshore-Windanlagen die Software überprüft werden, kann schlecht jedes Mal ein Team mit dem Boot aufs Meer fahren. Um Industrie 4.0-Szenarien wahr werden zu lassen, sollte die Entwicklungsabteilung – heute oft noch physisch und digital getrennt – mit der Produktion verschmelzen, um die Marge insgesamt zu erhöhen. Heute existieren bereits Verfahren, in denen Kunden ihre Produktkonfiguration online in Auftrag geben, und sie etwa mittels Spritzgussverfahren in der Produktionshalle ausdrucken können. Die Außenwelt wächst hier in die Produktion hinein, und die bisher getrennten Kreise der Office-IT, die auch die Entwicklung beherbergt, und der Produktions-IT wachsen zusammen. Doch es gilt wie immer: öffnet man die Türe, treten nicht nur Gäste ein. Selbst wenn ein kriminell motivierter Eindringling ’nur‘ Parameter in der Produktion ändert, reicht das oft schon aus, um Rückrufaktionen wegen Materialfehlern anzurichten und hohe Kosten auszulösen. Ende letzten Jahres etwa gab das Bundesministerium für Sicherheit einen Fall bekannt, in dem sich Hacker Zugang zum Hochofen eines Stahlwerks beschafft hatten und verhinderten, dass dieser heruntergefahren werden konnte. Gegen Risiken wie diese müssen sich also auch Unternehmen in weniger kritischen Branchen schützen.

Eine neue Sicherheit

Bisher bedeutete Arbeitssicherheit in der Produktion, immer einen Helm zu tragen und seine Daumen von Zahnrädern fernzuhalten. Der Produktionssicherheitsbeauftragte erhält mit den neuen Entwicklungen in der Industrie ebenfalls neue Aufgaben – und muss nun zusätzlich dafür sorgen, dass keine Hacker seine Roboter tanzen lassen. Das Problem: Er bekommt nun Aufgaben zugewiesen, die bisher dem IT-Leiter zufielen – die Themen Zugriffskontrolle, Security Monitoring, Firewalls, Malware et cetera finden ihren Weg in die Produktionshalle. Dabei verfügen gerade die IT-Manager eines Unternehmens über Kompetenzen und Lösungen, die sich auch in der Produktion einsetzen lassen.

Diese Synergie zwischen Produktionssicherheit und Office-Sicherheit sollten erkannt und genutzt werden, bevor sich wenig effektive Strukturen festsetzen können. Beispiele für die Anwendung klassischer Sicherheitslösungen in der Produktion sind die Verwaltung von Zugriffsrechten und Identitäten (IAM) sowie das Security Monitoring: Beim Zugriffsmanagement geht es im normalen Office-Umfeld eher um die Masse der zu verwaltenden Identitäten; im Produktionsumfeld ist dies nicht der Fall, da sich die Anzahl der Befugten mit Zugriff auf Produktionsmaschinen in Grenzen hält. Hier geht es um die Berechtigungsvergabe. Wer kontrolliert den Zugang externer Fernwarter? Wer darf sonntagnachmittags den Produktionsroboter Drei in einem bestimmten Werk steuern? Was passiert, wenn diese Person krank wird?

Kritische Zugriffsrechte

Die Verwaltung von Nutzern mit besonderen und kritischen Zugriffsrechten ist zugleich eine Risikoverwaltung. Die sogenannten Superuser bringen ein großes Zerstörungspotenzial mit sich, die Rechtevergabe muss daher hier besonders eingehend geprüft und mit klaren Richtlinien versehen werden. Ein weiteres, bereits aus der Office-IT bekanntes Feld, ist das Security Monitoring. Jede intelligente Maschine, jeder Roboter bringt seine vom Hersteller eigens eingebaute und angepriesene Sicherheits-Kontrollfunktion mit sich, die eine missbräuchliche oder verdächtige Anwendung melden soll. Die Frage ist, an wen? Wer prüft Meldungen von tausenden Maschinen, die akribisch Eingaben aufzeichnen und mehr Protokolle als Prototypen produzieren? Hier lohnt sich die Planung eines nachgelagerten Security Monitorings, das Meldungen auffängt und mittels intelligenter und lernfähiger Algorithmen überprüft.

Dies ist im Endeffekt nichts anderes als bekannte Lösungen zum Security Information and Event Management (SIEM), wie sie in der Office-IT seit Jahren erfolgreich eingesetzt werden. Das Feld der Industrial Security ist jetzt an einem Punkt, an dem die klassische IT-Security schon vor zwei Jahrzehnten war. Als in den 90er Jahren das interne Firmennetz an die Außenwelt angeschlossen wurde und man die ersten Mails verschicken konnte, öffnete sich für Unternehmen eine neue Welt mit neuen Möglichkeiten, Problemen und Aufgaben. Für die meisten Punkte haben sich praktikable und bewährte Lösungen herausgebildet, wie etwa IAM und Security Monitoring-Systeme. Nun steht die Produktion vor der gleichen Lernkurve. Sie muss die beiden Kreise der Office-IT und der Produktion so miteinander verbinden, dass Gelerntes direkt übertragen wird und Synergien entstehen. Unternehmen sollten auf ihr eigenes Wissen vertrauen und sich nicht durch das Potenzial der ‚Fabrik der Zukunft‘ von den Erfahrungen der Vergangenheit ablenken lassen.