Würzburger Runde diskutiert IT-Security: Es hapert in der Fabrik an Bewusstsein

Autor: Reinhard Kluger

Automatisierung ist kein geschlossenes System mehr. Offene Software fordert ihren Tribut. So muss sich nach dem Büro nun auch die Fabrik mit dem Thema IT-Security befassen. Die Würzburger Runde hat nachgefragt: Eine unterschätzte Gefahr?

Firmen zum Thema

IT-Security in der Fabrik - eine unterschätzte Gefahr?
IT-Security in der Fabrik - eine unterschätzte Gefahr?
( Alexandr Mitiuc - Fotolia.com, Oliver Raupach - Fotolia.com)

Stuxnet sei der Weckruf in Sachen IT-Sicherheit gewesen, sagt Franz Köbinger, System Manager Industrial Communication und Identification bei Siemens. Der wohl bekannteste Angriff auf eine industrielle Anlage brachte das Thema Security in der Fabrik zwar erstmalig in den Fokus, aber IT-Sicherheit stand schon lange vorher auf der Agenda der Branche. „ZVEI, VDMA und die PNO gründeten schon 2004 einen entsprechenden Lenkungskreis. Obwohl Stuxnet die meisten industriellen Anbieter nicht berührte, zeigte dies doch deutlich, wie verwundbar industrielle Anlagen sein können und dass es Handlungsbedarf gibt“, blickt Franz Köbinger zurück.

Bildergalerie
Bildergalerie mit 11 Bildern

Plötzlich im Kreuzfeuer

Dass mit Stuxnet die Automatisierung medienwirksam in das öffentliche Interesse rückte, hat auch SAIA-Burgess Controls erfahren müssen. Die Steuerungen dieses Herstellers nämlich standen vor gar nicht so langer Zeit plötzlich im Kreuzfeuer. Hacker wollten an ihnen aufzeigen, wie einfach es sein kann, unberechtigt Brauereien, Klärwerke oder Heizungen herunterfahren zu können. Man sei schon davon überrascht worden, berichtet Peter Steib, Leiter Marketing und Sales bei Saia Burgess Controls. Obwohl das Unternehmen seit dem Jahr 2000 auf webbasierte Automation setze, habe es nie Probleme in Sachen Sicherheit gegeben. „Faktisch hatten die Angriffe keine Auswirkungen, aber wir waren schon erstaunt, wie viele Steuerungen ungeschützt im Netz betrieben wurden“, berichtet Peter Steib und fordert: „Man muss Steuerungen im Netz sichern und in einem geschützten Umfeld betreiben. Ein Thema, das wir schon 2007 in einem White Paper thematisiert haben.“ Erstaunt habe ihn jedoch, dass, „bei einer überschaubaren Anzahl von Kunden dieser Schutzgedanke nicht gefruchtet hat.“

Zwangsläufig auch das Thema Security betrachten

Wie häufig es am Bewusstsein beim Thema IT-Security in der Fabrik mangelt, das weiß auch Uwe Nolte, bei Phoenix Contact zuständiger Marketing-Manager für Netzwerktechnik: „Wer die Möglichkeiten von Ethernet in Maschinen und Anlagen nutzen will, der muss zwangsläufig auch das Thema Security betrachten.“ Uwe Nolte rät deshalb zu entsprechenden Strukturierungen der Netzwerke, zu integrierten Firewall-Konzepten, die den gewünschten Datenverkehr zulassen, den unerwünschten sicher blockieren. Ebenso müsse man auf VPN-Technologie setzen, insbesondere sei dies bei Fernwartungslösungen erforderlich: „Ethernet bietet vielfältige Chancen in der Fabrik, muss aber vernünftig konzipiert werden. Dabei muss man der IT-Security den Stellenwert zukommen lassen, den sie benötigt. Das fängt schon bei der Kostenplanung für eine Anlage an, denn auch Security bekommt der Anwender nicht zum Nulltarif.“

Automatisierung mit eingebauter Security

Preissensibilität ist Thema auch für Christoph Müller, Geschäftsführer des Systemintegrators MST System Solutions. Wenn Kunden bei ihm Steuerungen ordern, steht immer auch der Preis im Fokus. Automatisierung mit eingebauter Security koste halt mehr als solche ohne, weiß Christoph Müller: „Da bauen sich beim Kunden, besonders bei solchen mit kleineren Lösungen, rasch Hemmschwellen auf, für Security extra zahlen zu müssen.“ Bei Kunden mit umfangreicheren Lösungen, wie dem Energieversorger der Stadt Bern oder Zürich, sei das Bewusstsein ganz anders: „… die beauftragen sogar externe Unternehmen, unsere Netze in Sachen Security zu überwachen.“

Es gibt von dem Schädling aktuell zehn Derivate

Dass nicht nur Rechner angegriffen werden können, die mit dem Internet verbunden sind, auch dafür stehe Stuxnet, mahnt Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter der Softcheck GmbH. „Stuxnet hat seinen Weg in die Anlage nicht übers Internet gefunden, sondern die iranischen Zentrifugen sind per USB-Stick infiziert worden.“ Hartmut Pohl warnt vor der noch vorhandenen Gefahr: „Stuxnet ist sieben Jahre alt, mehrfach modifiziert worden und es gibt von dem Schädling aktuell zehn Derivate in Form von anderen Würmern. Und die geistern durchs Internet.“ Hartmut Pohl warnt: „Den Wurm kann man modifizieren, um dann eine – auch eine bestimmte – Brauerei anzugreifen.“

Einzelne Maßnahmen reichen nicht

Stuxnet, er ist nicht allein der erste und bekannteste Fall in Sachen Security in der Fabrik, er ist auch ein Wurm, für den, wer auch immer, einen immens hohen Aufwand getrieben hat, bei dem viele andere Faktoren stimmen mussten, und der in dieser Form nicht alltäglich für die Fabrik ist. Dennoch zeigt das Beispiel, dass das Thema die Branche sensibilisiert hat. „Nicht einzelne Maßnahmen reichen“, sagt Franz Köbinger, „man müsse ein mehrschichtiges Verteidigungssystem aufbauen.“ Das fange damit an, gar keine oder nur zertifizierte USB-Sticks an Anlagen anschließen zu können. Und der Siemens-Manager weiter: „Hundertprozentig wird man das Risiko nie ausschalten können, aber man kann durchaus mit 20 Prozent Aufwand 80 Prozent Sicherheit erreichen.“

Security funktioniert nur im Zusammenspiel

„Die Technologie für ausreichende Sicherheit in der Fabrik ist vorhanden, es gibt VPN-Lösungen, es gibt Lösungen mit Proxyservern und sogar Portallösungen“, da ist sich Peter Steib sicher. Wichtig sei etwas ganz anderes: „Wir müssen daran arbeiten, dass Security mehr in die Köpfe kommt.“

Inwieweit in der Praxis funktionierende Produkte allein ausreichen, für Uwe Nolte stellt sich eher die Frage nach der Struktur des Netzwerks. Und so der Phoenix-Contact-Manager weiter: „Ein einzelnes Produkt allein kann nicht viel bewirken, Security funktioniert nur im Zusammenspiel verschiedenster Maßnahmen.“

Selbst für die richtige Absicherung Sorge tragen

„Die Industrie macht es sich zu einfach“, postuliert Prof. Dr. Hartmut Pohl und warnt: „Wir schieben die Schuld auf den Anwender, statt den Fehler bei uns zu suchen. Ein Angriff kann nur dann erfolgreich sein, wenn die Sicherheitslücke nicht bekannt ist. Kann doch der Anwender die Produktqualität der Sicherheitslösung nicht prüfen.“ Hartmut Pohl spitzt zu: „Die aktuellen Sicherheitsmaßnahmen stammen sämtlich aus dem letzten Jahrhundert.“

Franz Köbinger hält dagegen. Der Anwender könne nicht erwarten, dass der Hersteller ein supersicheres Produkt entwickelt, alle denkbaren Anforderungen abdecke und nie mehr etwas passiert: „Schwachpunkte in Lösungen kommen auch deswegen zustande, weil Geräte falsch konfiguriert werden, weil Passwörter öffentlich gemacht werden.“ Und: Der Anwender dürfe nicht eine für den Schaltschrank konzipierte Steuerung einfach ins Netz stellen: „Er muss dann selbst für die richtige Absicherung Sorge tragen. Weil das so ist, geben wir für unsere Produkte genau diese Security-Hinweise.“ Sicherheit hängt letztendlich davon ab, wie und wo der Anwender seine Steuerungen einsetze. Sein Fazit: „Beide Fraktionen haben da ihre Verantwortung.“

Umfassende Sicherheitskonzepte erfordern die Disziplin des Anwenders

Dem beipflichten kann auch Uwe Nolte: „Der, der das Netzwerk plant, muss sich Gedanken machen: Wie gehe ich damit um? Wer bekommt Zugriff auf die Ethernet-Komponente und wer nicht?“ Natürlich erfordern umfassende Sicherheitskonzepte auch die Disziplin des Anwenders: Sicheres Passwort merken, mit Sicherheitszertifikaten richtig umgehen und Konfigurationen verschlüsseln.

So fordert Peter Steib, Produkte so zu entwickeln, dass sie zu den unterschiedlichen Sicherheitstechnologien passen, mit ihnen zusammenarbeiten können. Saia Burgess Controls selbst setze dabei auf Modularität: „Die Steuerung muss sich in bestehende IT-Infrastrukturen einfügen können.“

Preissensiblen Bauherren Security nahebringen

Bei allem Aufwand in Sachen Sicherheit gilt es, so weiß der Systemintegrator für Gebäudeautomation Christoph Müller, dem preissensiblen Bauherren Security weiterhin nahezubringen. Der Bauherr sage genau, was er haben möchte, wie das funktionieren soll und was seine Gebäudeautomation kosten darf. Christoph Müller: „Den interessiert kein Virus in seiner Steuerung, solange er warm duschen kann.“

Bildergalerie
Bildergalerie mit 11 Bildern

Man mag es kaum glauben: Das Thema Security ist zwar in der Fabrik angekommen, was aber noch fehlt oder häufig gar nicht bekannt ist, das sind Gesetze, Vorschriften oder Richtlinien.

Aus seiner Praxis und weil er selbst daran beteiligt war, weist Franz Köbinger auf die VDI/VDE 2182, Blatt 3.3 hin. Dort ist beschrieben, wie Anwender, Systemintegrator und Hersteller zusammenarbeiten sollen. Dass jeder für sich die Verantwortung übernimmt. „Die Blätter 2 bis 4 zeigen beispielhaft die Umsetzung in verschiedenen Branchen.“ Dabei handele es sich um eine nationale Norm. International greift die IEC 62443, die sich an die Norm ISA 99 anlehnt und diese teilweise übernimmt. „Eine Norm, die sich speziell mit der Industrial-Security befasst. Verbindliche technische Vorschriften gibt es in der Regel nicht, die Normen schaffen aber Bewusstsein für Security und stellen Maßnahmen und Konzepte vor zum Schutz industrieller Anlagen.“

Sicher produzieren

Dem Systemintegrator Christoph Müller gibt der Kunde vor, was er haben möchte. Einfacher ausgedrückt: „Gebäudeautomation darf nicht zu teuer sein.“

Im Interessengemenge zwischen Generalunternehmer, Planer und Betreiber bleibe Security in der Gebäudeautomation schnell auf der Strecke, bilanziert Peter Steib. Im Gegensatz dazu gibt es in der Industrie eine einheitliche Interessenslage. Man will sicher produzieren. Produktionsstillstand kostet Geld. Peter Steib: „Dementsprechend höher ist hier die Bereitschaft, in Security zu investieren.“

Eine Situation, die auch Uwe Nolte kennt. Bei seinen Kunden, den Maschinen- und Anlagenbauern, ist die Bereitschaft für Security hoch. Nolte: „Wir erleben, dass man die Themen der ISA 99 aufgreift und diese auf andere Branchen umsetzt. So habe beispielsweise der VDEW ein entsprechendes Papier erstellt, wie Energieversorger mit dem Thema umgehen sollten. Ähnliches gelte ebenfalls für andere Bereiche der Automation. wie, Profinet und Ethernet-IP. Hier liegen entsprechende Richtlinien und Whitepaper zum Thema Sicherheit vor. Uwe Nolte: „Für den sensibilisierten Anwender gibt es eigentlich eine Menge an Informationen, Hinweisen und Empfehlungen.“

Sabotage als Schlagwort noch gar nicht erwähnt

„Beim Thema Security müssen wir bei uns selbst anfangen und uns aus dem Sumpf der Unsicherheiten herausziehen“, sagt Prof. Hartmut Pohl. „Wir müssen sichere Produkte auf den Markt bringen.“ Der Virenfachmann ist überzeugt, dass das Thema künftig weiter an Dramatik gewinnt, nämlich dann, wenn wegen mangelnder Security Schadensersatzklagen oder Haftungsfälle anfallen. Hartmut Pohl: „Und das Thema Sabotage haben wir als Schlagwort noch gar nicht erwähnt."

(ID:42369043)

Über den Autor