Beitrag drucken

Sicherheit in der Fertigungsindustrie

Schutzschild für Roboter

Stuxnet, Duqu, Nitro – eine neue Dimension von Malware hat Industrienetzwerke erreicht. Anders als im Rechenzentrum gestaltet sich der Schutz industrieller Anlagen schwierig: Höchste Verfügbarkeit für Produktionsanlagen, lange Lebenszyklen für Maschinen und Steuerungssysteme und ungenaue Vorstellungen über schützenswerte Komponenten erschweren die Implementierung von Security-Konzepten. Dennoch führt kein Weg mehr daran vorbei.




Bild: Symantec

Als im Jahre 2010 ein Computerwurm Siemens-Steuerungssysteme attackierte, gingen Branchenbeobachter noch von einem seltenen Phänomen aus: Doch nach Stuxnet folgten weitere Angriffe wie zum Beispiel mit dem Trojaner Duqu, einer Stuxnet-Mutation, der seinen Weg in Industrieanlagen über vernetzte Office-Rechner fand oder mit Nitro. Letztgenannte Malware hatte es auf das Ausspionieren von Geschäftsgeheimnissen in der chemischen Industrie abgesehen. Spätestens seitdem ist klar: Das Risiko für Industrieanlagen, durch Computerschadcode manipuliert zu werden, ist gewachsen.

Es stellt sich die Frage, weshalb diese Anlagen getroffen werden konnten. Die Gründe hierfür sind vielfältig: Im industriellen Umfeld herrschen andere Anforderungen an die Systemsicherheit als in der Bürowelt. Kaum ein Unternehmensbereich mit IT-Unterstützung ist für gewöhnlich schlechter geschützt als ein Schweißroboter im Automobilbau oder das Hochregal eines Maschinenbauers. Hinzu kommt die für die Fertigung typische Situation mit Anlagen-Laufzeiten von bis zu 20 Jahren. Das gilt entsprechend auch für den vorgeschalteten Steuerrechner.

Verfügbarkeit geht vor Vertraulichkeit

Das größte Hindernis für eine adäquate Sicherheit nach Vorbild eines Rechenzentrums ist jedoch die zwingend benötigte hohe Verfügbarkeit der Anlagen. Hier genießt nicht die Vertraulichkeit der Daten oder die Integrität von Informationen höchste Priorität, sondern der unterbrechungsfreie Betrieb der Produktionsanlagen. Jede größere Einschränkung der Verfügbarkeit, sei es durch Störfälle oder Wartungsarbeiten, verursacht möglicherweise Kosten im sechsstelligen Bereich. In der Folge sind auch Latenzzeiten beim Einsatz gängiger Antivirus-Technologien, etwa für Updates und Aktualisierungen, inakzeptabel.

Hinzu kommt ein strukturelles, historisch bedingtes Problem: Während Industrie- und Rechenzentrumsnetze vor Jahren isoliert betrieben wurden, sind sie heute oft eng mit den Businessprozessen aus betriebswirtschaftlichen Systemen wie etwa Enterprise Resource Planning Lösungen (ERP) verknüpft. Diese Verzahnung aus Produktions- und Office-Netzen mit Backend-Systemen erhöht die Flexibilität des Geschäfts, erlaubt wesentlich reibungslosere Arbeitsabläufe – und führt im Umkehrschluss dazu, dass Kontrollsysteme, wie etwa das einer Robotersteuerung, mitunter nahezu so angreifbar werden wie ein offenes WLAN.

Zudem sind viele der verwendeten Kommunikationsschnittstellen nicht ausreichend gesichert. Auch tragen die aus der klassischen IT übernommenen Betriebssysteme, adaptierte Anwendungen und Standards selbst zu einem erhöhten Risiko bei. So sorgen heute in der Regel Betriebssysteme wie Windows NT, XP oder Linux und Netztechnologien wie TCP/IP und Ethernet für die Steuerung von industriellen Anlagen auf der Feldebene. Durch die ‚veralteten‘ Betriebssystemversionen sind industrielle Netzwerke allerdings anfällig für bösartige Attacken von Viren, Würmern und Trojanern – schon deshalb, weil aufgrund der hohen Verfügbarkeit selten Patches und Updates greifen. Hinzu kommen Aspekte wie ein fehlender physikalischer Zugriffsschutz, etwa für USB-Ports oder das Problem der Abstrahlung von Geräten.

Ganzheitliches Sicherheits- konzept unumgänglich

Diese Faktoren führen dazu, dass sich ein umfassendes Schutzszenario in der Fertigung nicht mit bewährten Methoden aus der IT umsetzen lässt. Entscheidend bei einer Implementierung nachhaltiger Sicherheitsstandards ist zunächst ein strikt systematisches Vorgehen: Dazu bewerten in der Regel Spezialisten zusammen mit Verantwortlichen des Unternehmens den Ist-Zustand der Betriebsprozesse in Produktion und IT und entwickeln auf dieser Basis konkrete Empfehlungen. Der Maßnahmenkatalog ISO 27000, ISA99 oder das BSI-Grundschutzhandbuch dienen hier häufig als Grundlage.

An erster Stelle steht in der Regel ein Asset-Management, mit dem einzelne Anlagen, Prozesse und Datenpools beispielsweise mit einer Configuration-Management-Datenbank (CMDB) inventarisiert werden. Dabei gilt es, sämtliche Automatisierungsprozesse gründlich zu analysieren, um Bedrohungsszenarien aufzuzeigen und eine aussagekräftige Risikobewertung vornehmen zu können. Dazu gehört die Beantwortung typischer Fragen etwa nach dem Aufbau des Ethernet-Netzwerks und als Folge die Frage, welche Systeme und Geräte in die Bewertung einfließen müssen, beispielsweise Roboter oder Hochregale. Erst nach diesem Schritt lässt sich eine geeignete Gesamtlösung implementieren. Diese muss nicht aus einem einzelnen Produkt bestehen, sondern kann sich auch aus dem Zusammenspiel unterschiedlicher Strategien ergeben.


Das könnte Sie auch interessieren:

Mehr Dinge besser machen und dabei weniger Ressourcen verbrauchen. Wie dieses Ziel mit Software näher rücken kann, stand im Mittelpunkt der Keynote von Autodesk-CEO Andrew Anagnost auf der diesjährigen Autodesk University. Auf dem Nutzertreffen waren rund 10.500 Anwender, Journalisten und Analysten, um zu lernen – und sich ein Bild über die Zukunftsvision des amerkanischen Softwareanbieters zu machen. Neues zu Produkten und den Bereitstellungsoptionen der Autodesk-Lösungen gab es übrigens auch.
‣ weiterlesen

Der Limburger Technologieverein Smart Electronic Factory und die Technische Hochschule Mittelhessen machen ihre Industrie 4.0-Demonstratoren künftig Teilnehmern einer BMBF-Inititative zugänglich. Im Projekt des Bundesministeriums für Bildung und Forschung sollen gerade kleine und mittlere Unternehmen Erfahrungen mit Digitalisierungsprojekten sammeln. ‣ weiterlesen

Das integrierte Manufacturing Execution Systeme (MES) insbesondere für Zulieferer der Automobilindustrie von großer Bedeutung sind, zeigt der Einsatz des MES Hydra von MPDV bei Heinrich Huhn GmbH+Co. KG‣ weiterlesen

Der Antriebssystemhersteller Rolls-Royce will enger mit Tata Consultancy Services zusammenarbeiten. Das Ziel ist es, datengetriebene Produktinnovationen auf der Basis einer IoT-Plattform voranzubringen.‣ weiterlesen

Maschinelles Lernen (ML) ist im Unternehmen angekommen – und unterstützt gerade Führungskräfte bei ihrer Arbeit. Doch wie das amerikanische Softwareunternehmen Servicenow herausfand, müssen Manager erst einmal geeignetes Fachpersonal finden, das mit Maschinen umgehen kann und zusätzlich viele Unternehmensstrukturen und -prozesse umgestaltet.‣ weiterlesen

Auch im dritten Quartal 2017 ist die Wirtschaftsleistung deutlich gestiegen. Wie das BMWi mitteilte, lieferte die globale Situation wieder mehr Impulse als zuvor. Die Auftragseingänge und Stimmungsindikatoren ließen zudem auf positive Signale für die kommenden Monate schließen. Dazu zählen die Kauflaune der Verbraucher sowie die ungebrochen stabile Lage auf dem Arbeitsmarkt.‣ weiterlesen