Anzeige
Anzeige
Anzeige
Beitrag drucken

Security-by-Design

Das Allheilmittel für Industrie 4.0?

Trotz aller Effizienz- und Kostenaspekte muss der Sicherheit in der Fertigungs- und Produktionsumgebung eine hohe Priorität eingeräumt werden. Das erfordert bei den Herstellern nicht zuletzt ein Umdenken in Richtung ‚Security-by-Design‘. Doch lassen sich dadurch tatsächlich alle Probleme lösen?

Security-by-Design

Bild: ©sdecoret/Fotolia.com

Die Forderung nach Verfügbarkeit in der Fertigung beinhaltet – über die Echtzeit-Anforderung hinaus – eine ganz andere Dimension: während der Betriebsablauf im Büro keinesfalls komplett zusammenbricht, weil eine elektronische Kommunikation nicht möglich ist, zieht ein Ausfall der IT in der Produktionshalle gravierende – vor allem monetäre – Folgen nach sich. Diese Erkenntnis sollte bei der Betrachtung der Sicherheit im Umfeld von Industrie 4.0 stets im Vordergrund stehen. Daraus lässt sich unter anderem ableiten, dass aufgrund der durchgängigen Vernetzung und der daraus resultierenden Abhängigkeiten innerhalb der dynamischen Wertschöpfungsnetzwerke kein Teilbereich in der Prozesskette isoliert analysiert oder gar vernachlässigt werden kann. Hinzu kommt der Aspekt, dass mittlerweile vermehrt systematisch Attacken gegen Steuerungsanlagen in der Produktion erfolgen.

Angriffe mit Ransomware

So veröffentlichte das BSI bereits vor zwei Jahren in seinem Bericht ‘Die Lage der IT-Sicherheit in Deutschland 2015’, dass Industrieunternehmen zunehmend mittels Ransomware – wie etwa dem Verschlüsselungstrojaner ‘Locky’ – angegriffen werden. Davon besonders betroffen ist oftmals der Mittelstand, weil das für die Angreifer ein lohnendes Ziel darstellt. Denn viele Firmen, die nicht unter das Kritis-Gesetz fallen, sind immer noch eher dazu bereit, sowohl den finanziellen Verlust bei einem längeren Ausfall zu tolerieren als auch einfach die geforderten Erpressungsgelder zu bezahlen, um nichts in der Öffentlichkeit preisgeben zu müssen. Dies führt auch dazu, dass hier durch alte Malware-Programme nach wie vor großer Schaden angerichtet werden kann, wie zum Beispiel mit ‘Conficker’, einem der ältesten und bekanntesten Schädlinge, von dem noch immer Mutationen im Umlauf sind. Obwohl längst entsprechende Sicherheitspatche und Virensignaturen zur Verfügung stehen, werden diese in der Fertigung selten eingesetzt. Ungeschützte Leitsysteme sind gute Angriffsziele, weil sich innerhalb der bestehenden – historisch gewachsenen – Netzwerkstrukturen, die viele Freigaben beinhalten, Malware in Sekunden verteilt. Hinzu kommt, dass Prozessketten heute so eng verknüpft sind, dass ein Totalverlust bei Ausfall von Teilkomponenten droht. In einem Pharmaunternehmen wurde durch einen mit ‘Conficker’ verseuchten USB-Stick Malware auf Windows XP- und Vista-Rechner verteilt. Die Auswirkungen zeigten sich zunächst im Leitsystem – hier wurden aufgrund der Batch-Verarbeitung ganze Kolonnen abgeschaltet, mit der Folge, dass das aufwendig produzierte Material vernichtet werden musste.

Der Wunsch nach Prävention

Grundsätzlich besteht der Wunsch nach präventiven Maßnahmen zum Schutz der Prozesse in hochgradig vernetzten Produktionsumgebungen. Das bedeutet, dass die IT-Sicherheit bereits bei Planung und Entwurf dergestalt berücksichtigt werden soll, damit sich im Weiteren die Verantwortlichen in Produktion und Fertigung nicht mehr grundsätzlich mit additiven Vorkehrungen zur Absicherung der Anlagen beschäftigen müssen. So ließe sich zum Beispiel über Schnittstellen die Erlaubnis der Kommunikation nur zwischen berechtigten Geräten definieren. Doch dieser Ansatz hat bereits im Grundgedanken einen Haken, denn das Sicherheitsniveau, das hier geschaffen wird, basiert immer nur auf den antizipierten Angriffen von morgen. Folglich kann es kein Allheilmittel für die gesamte Lebensdauer einer Maschine darstellen, weil die Angriffsmethoden beständig weiterentwickelt werden und somit ein dynamisches Gap entsteht.

Die Konsequenz

Daraus lässt sich folgende Konsequenz ableiten: Tatsächlich müssen Hersteller in der Pflicht stehen, Maschinen gemäß Stand der Technik sicher zu gestalten. Doch das enthebt den Maschinenbetreiber nicht von der Verantwortung sich nach Inbetriebnahme kontinuierlich mit neuen Angriffsvektoren auseinanderzusetzen und diese bezüglich ihres möglichen Gefährdungspotentials für seine Anlage zu beurteilen – insbesondere unter dem Aspekt der individuellen Komplexität von Maschinenkonfigurationen, die durch spezifische Änderungen seitens der Betreiber für den Hersteller nicht mehr transparent sind. Andererseits wird der Hersteller dadurch jedoch nicht aus der Pflicht genommen, die Bedrohungslage für seine Komponenten kontinuierlich zu eruieren und – unter Berücksichtigung der bekannten Schwachstellen – entsprechende Schutzmaßnahmen offerieren.

Kein Allheilmittel

Obwohl Security-by-Design nicht als Allheilmittel bezeichnet werden kann, so bietet dieses Prinzip doch einen guten Ausgangspunkt, um den Schutz von Maschinen über den Lebenszyklus – der im Gegensatz zur Unternehmens-IT Jahrzehnte beträgt – aufrechtzuerhalten. Allein aus dem Grund, dass bei der Entwicklung auch bereits berücksichtigt wird, dass für eine kontinuierliche Absicherung das Patch-Management eine zwingende Voraussetzung ist. Somit könnte dies ein Ansatz sein, mit dem sich verhindern ließe, dass für Systeme in Produktionsumgebungen, wie etwa dem Betriebssystem XP, der Support und somit auch die Bereitstellung der Sicherheits-Updates eingestellt werden. Einen Königsweg, um die Produktionsumgebung optimal abzusichern, wird es Stand heute auch zukünftig nicht geben, sondern eher den bestmöglichen Kompromiss, der sich stark an der Gefährdungslage orientiert.


Das könnte Sie auch interessieren:

Seit kurzem ist Version 7.0 der Startup Tools von Inneo verfügbar. Die Lösung soll Anwenderunternehmen die einheitliche Arbeit mit Engineering-Software von PTC erleichtern.‣ weiterlesen

Condition-Monitoring-Systeme werden meist nur an wenigen hochkritischen Stellen installiert, weil sie noch immer kostspielig und kompliziert einzurichten sind. Mit den BCM-Sensoren von Balluf sollen sich auch normale Komponenten wirtschaftlich überwachen lassen.‣ weiterlesen

Der Anbieter von Wearables und AR-Lösungen Ubimax hat ein Release der AR-Softwareplattform Frontline angekündigt. Das kürzlich von Teamviewer übernommene Unternehmen hat in Frontline 3.0 eine Zwei-Faktor-Authentifizierung (2FA) sowie ein erweitertes Identitäts- und Zugriffsmanagement einschließlich Single-Sign-On (SSO) über das grundlegende Nutzerverwaltungssystem des Kunden eingeführt.‣ weiterlesen

Viele Anwendungen aus dem Industrie-4.0-Spektrum basieren auf der Verfügbarkeit von Produktdaten. Um diese strukturiert bereitzustellen, helfen Werkzeuge zur Datenklassifizierung wie die neue NovaDB im Zusammenspiel. Zusammen mit Anwendungspaketen können etwa elektronische Produktkataloge erstellt und gepflegt werden.‣ weiterlesen

Die MTU Maintenance Berlin-Brandenburg GmbH setzt zur Auswertung von Produktionsdaten selbstentwickelte Analysetools ein. Weil diese nicht den vollen Funktionsumfang moderner BI-Lösungen bieten, wurden in einem multiperspektiven Auswahlverfahren geeignete Softwareprodukte identifiziert. Dieses sollte sicherstellen, dass die gewählten Programme die Analyse- und Reportingprozesse bestmöglich unterstützen und im Unternehmen gut angenommen werden.‣ weiterlesen

KI-basierte Systeme und Maschinen werden immer autonomer, selbstständiger und intelligenter. Ob und wie ist es zu schaffen, dass sie auf Dauer menschlichen Werten und Regeln folgen? Dr. Kurt D. Bettenhausen, Vorsitzender des interdisziplinären Gremiums Digitale Transformation im VDI und Vorstandsmitglied der VDI/VDE-GMA, spricht im zehnten Teil unserer Serie Autonome Systeme mit dem VDI.‣ weiterlesen

Nachdem die PSI Software AG bereits bekanntgegeben hatte, das Finanzvorstand Harald Fuchs das Unternehmen im nächsten Jahr verlässt, steht nun fest, dass Gunnar Glöckner den Posten ab Juli 2021 übernehmen wird.‣ weiterlesen

Zurzeit liegt weder ein fest umrissenes Berufsbild noch klar formulierte Anforderungen an Projektingenieure vor, die in internationalen Projekten eingebunden sind.‣ weiterlesen

Der Getriebehersteller Neugart hat 18 Baureihen für Planetengetriebe mit vier Millionen möglichen Varianten im Programm. Trotz der Vielfalt kann der Hersteller seine Produkte innerhalb von 24 Stunden ausliefern. Denn Neugart hat den Aufwand für Konstruktion und Datenverwaltung durch ein regelbasiertes Variantenmanagement komplett automatisiert.‣ weiterlesen

Zum 1. November hat Dr. Clemens Weis die operative Geschäftsführung von Cideon übernommen. Er folgt auf Clemens Voegele, der den Posten des Chief Digital Officers der Friedhelm Loh Group übernommen hat. Als Vorsitzender der Geschäftsführung bleibt er jedoch Teil von Cideon.‣ weiterlesen

Gemeinsam wollen MHP und IFS verbesserte Lösungen für ein durchgängiges Service Lifecycle Management anbieten.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige