Die Risiken der Vernetzung

Angriff auf die Smart Factory

Gianluca De Lorenzis

© Shutterstock / asharkyu

Die zunehmende Vernetzung von Produktionsprozessen im Industrie-4.0-Zeitalter schafft neue Einfallstore für Cyberattacken. Das Risikopotenzial ist gravierend: Es droht der Ausfall einzelner Maschinen oder ganzer Produktionsanlagen, bis hin zur Lahmlegung des gesamten Stromnetzes über mehrere Tage oder Wochen. Für einen effektiven Schutz können nur spezielle Sicherheitslösungen für das Industrieumfeld sorgen.

Die Temperatur in der Schmelzzone des Hochofens hat bereits über 1.800 °C erreicht und steigt weiter unkontrolliert an. Die zentrale Steuerungseinheit reagiert nicht mehr auf Befehle. Weder eine Regulierung der Temperatur noch ein geregeltes Abschalten der Anlage ist noch möglich. Zurück bleibt ein massiver Schaden an der Anlage. Ein solcher Fall, wie er im Lagebericht des BSI zur IT-Sicherheit 2014 beschrieben ist, macht die Gefahr von Cyberangriffen auf Industrieanlagen deutlich. Im genannten Beispiel haben sich Hacker über das Büronetz Zugriff auf die Steuerung einer Hochofenanlage verschafft. Fälle wie dieser sind in Deutschland keine Ausnahme: Laut einer BITKOM-Umfrage verzeichnete nahezu jedes dritte deutsche Unternehmen in den vergangenen Jahren Angriffe auf seine IT-Systeme. Da für Unternehmen in Deutschland für Vorfälle dieser Art bislang noch keine Meldepflicht besteht, liegt die Dunkelziffer vermutlich noch höher. Nahezu alle Industriebereiche, deren Produktionsanlagen über offene Schnittstellen verfügen, sind potenziell gefährdet. Die Folgen solcher Angriffe sind in den meisten Fällen kaum abzuschätzen. Von Ausfallzeiten in der Produktion, über gezielte Manipulationen im Fertigungsprozess, bis hin zu einem kompletten Blackout der Energieversorgung eines Landes sind etliche Szenarien denkbar.

Vernetzung birgt Risiken

Die gestiegene Gefahr durch Cyberangriffe im Industriebereich ist eine direkte Folge der zunehmenden Vernetzung von Maschinen und IT-Systemen von Lieferanten, Kunden und Servicepartnern entlang der gesamten Wertschöpfungskette. Vereinfacht gesagt, funktionierten Maschinen vor Beginn des „Industrie-4.0-Zeitalters“ als in sich geschlossene Räume, die lediglich über einfache Sensoren mit den jeweils vor- und nachgelagerten Fertigungsschritten verbunden waren. Heute hingegen sind Maschinen, Produktionsanlagen und Systemkomponenten sowohl untereinander als auch mit der Officeinfrastruktur vollständig vernetzt. Über den Austausch von Protokollen können so aktuelle Betriebsdaten, wie etwa Produktionsmenge, Auslastung oder Energieverbrauch des gesamten Maschinenparks, laufend und in Echtzeit überwacht werden. Über gemeinsame Schnittstellen mit ERP-, APS- oder MES-Systemen ermöglicht das eine Optimierung der Fertigungsprozesse hinsichtlich Qualität, Ressourceneffizienz und Durchlaufzeiten. Zudem können Anlagenhersteller über IP-basierte Remote-Verbindungen Fernwartungen und Problemanalysen an einzelnen Maschinen oder Komponenten durchführen. Gleichzeitig entstehen durch die Anbindung des Produktionsnetzes an das Internet neue Sicherheitslücken.

Zum einen sind zahlreiche Maschinen bereits heute mit etlichen Viren, Bots oder Malware verseucht, die einen handelsüblichen PC aus dem Officeumfeld schon längst lahmgelegt hätten. Der Unterschied besteht darin, dass die Schadsoftware im Industrieumfeld gar nicht in dieser Art agieren kann, da die Anlagen bislang nicht mit dem Internet verbunden waren. Wird eine solche Netzverbindung hergestellt, können beispielsweise Bots über einen Command-and-Control-Server Befehle erhalten und dadurch Schäden im System anrichten. Oftmals befinden sich solche Schadprogramme bereits seit mehreren Jahren auf den Geräten, vergleichbar mit Krankheitserregern im menschlichen Körper, die erst ausbrechen, wenn bestimmte Einflussfaktoren hinzukommen.

Zum anderen entstehen durch die Anbindung externer Datenquellen an Industrienetzwerke neue Zugangswege für Hacker. Besonders deutlich wird dies am Beispiel der Energiebranche: Bis vor Kurzem waren Energienetze, etwa von Kraftwerken, in sich geschlossen und besaßen keinen Zugriff auf das Internet. Im Zuge der dezentralen Stromerzeugung öffnen mittlerweile immer mehr Energieversorger ihre Netze, um etwa Leistungsdaten von Fotovoltaikanlagen oder Blockheizkraftwerken einzuspeisen. Gerade im privaten Bereich sind diese Verbindungen meist nicht ausreichend abgesichert und eröffnen so neue Sicherheitslücken im Netz der Energieversorger.

Veraltete Systeme

Die Entwicklung in der Energiewirtschaft macht deutlich, wie stark sich Industrienetzwerke im Zuge der Digitalisierung gewandelt haben. Die Soft- und Hardwarekomponenten der Maschinen selbst können mit diesen Veränderungen meist nicht Schritt halten. Aufgrund der hohen Anschaffungskosten liegen die Lebenszyklen solcher Anlagen in der Regel bei weit über zehn Jahren. Das bedeutet, ein Großteil der heutigen IT-Infrastruktur im Produktionsumfeld ist überhaupt nicht für die Anforderungen einer modernen Smart Factory ausgelegt. Das betrifft einerseits veraltete Betriebssysteme wie z. B. Windows XP, CE oder 3.11, die zahlreiche Sicherheitslücken aufweisen und für die Microsoft keine Updates mehr bereitstellt. Anderseits bieten auch Hardwarekomponenten wie Firewalls meist keinen ausreichenden Schutz, sondern beschränken sich auf Grundfunktionen wie die Segmentierung von Netzwerken und den Aufbau eines VPN-Tunnels zur Zentrale. Vergleicht man das mit aktuellen Geräten aus dem Officebereich, haben Industriefirewalls einen technischen Rückstand von umgerechnet zehn bis fünfzehn Jahren.

Insgesamt hat das Produktionsumfeld im Hinblick auf Sicherheitsfragen gegenüber der klassischen Unternehmens-IT enormen Nachholbedarf. Bedrohungen, die dort bereits seit Jahren an der Tagesordnung sind, erreichen die Industrie erst durch die Einbindung von Produktionsanlagen ins Internet der Dinge. Vor dem Hintergrund des massiven Ausbaus der Industrie 4.0 müssen Unternehmen ihre Schutzmaßnahmen im Bereich Industrial Security allerdings schnell anpassen, um die neu entstandenen Sicherheitslücken zu schließen.

Stärkung der Netzwerkinfrastruktur

Aufgrund des hohen Investitionsaufwands für die Erneuerung von Maschinenparks sollten sich Unternehmen bei der Absicherung ihrer Produktionsnetzwerke vor allem auf den Schutz ihrer DCS- bzw. SCADA-Netze konzentrieren. Da moderne Industrieanlagen heute nahezu komplett über das Internet mit dem Unternehmensnetz verbunden sind, müssen hier grundsätzlich die gleichen Sicherheitsaspekte beachtet werden. Allerdings können Sicherheitslösungen und -produkte aus dem Officebereich nicht eins zu eins auf das Industrieumfeld übertragen werden, da insbesondere hardwareseitig zusätzliche Anforderungen gestellt werden.

Aufgrund der oftmals widrigen Bedingungen im Fertigungsbereich kommen hier spezifische Ruggedized PCs zum Einsatz. Diese sind besonders robust verarbeitet, verfügen über eine lüfterlose Kühlung und enthalten keine drehenden Teile, die durch Stöße oder Schläge beschädigt werden könnten, sondern verwenden stattdessen beispielsweise SSD-Laufwerke oder CF-Karten. Je nach Betriebsumgebung sind die Geräte zudem komplett staubresistent verarbeitet, bis hin zu speziell gesicherten LAN-Anschlüssen, die vor Verunreinigungen und Verschmutzungen schützen. Sicherheitsrelevante Komponenten, wie externe Netzwerkfirewalls, müssen ebenfalls an diese Anforderungen angepasst werden, um die Hardware nicht anfälliger zu machen als die Software.

Neben einer spezifischen Verarbeitung sollten Industriefirewalls die nötigen Protokolle unterstützen, wie etwa das Telemetrieprotokoll IEC 104, das vor allem für den Einsatz im Energiesektor benötigt wird. Moderne Produkte verfügen zusätzlich über einen Decoder, der so konfiguriert werden kann, dass er das Protokoll klassifiziert und nur bestimmte Befehle zulässt, die für das jeweilige Applikationsumfeld benötigt werden. Dadurch kann beispielsweise der Zugriff über fremde Geräte reglementiert werden. Ein weiteres Kriterium bei der Auswahl einer geeigneten Firewalllösung zum effektiven Schutz von komplexen SCADA-Netzwerken ist die Durchsatzleistung der Geräte. Besonders leistungsstarke Produkte erzielen dabei mithilfe von Single-Pass-Engine-Technologie einen Firewalldurchsatz von bis zu 8.000 MB/s.

Drei Thesen zur Industrial Security:

  1. Die meisten Fertigungsanlagen sind bereits heute mit Viren, Bots oder Malware verseucht, die einen handelsüblichen PC aus dem Officeumfeld schon längst lahmgelegt hätten.
  2. Im Vergleich zu aktuellen Geräten aus dem Officebereich haben Industriefirewalls einen technischen Rückstand von umgerechnet zehn bis fünfzehn Jahren.
  3. Die beliebteste Methode, um in ein Netzwerk einzudringen, ist weiterhin der Candy Drop, also die bewusste Platzierung von infizierten Speichermedien auf dem Betriebsgelände.

Risiko „Candy Drop“

Neben dem Schutz des Netzwerks durch technische Mittel ist auch die physische Sicherheit der Anlagen selbst ein zentraler Aspekt bei der Absicherung von Produktionsnetzwerken. Dies beginnt bei Zugangskontrollen für unternehmenskritische Bereiche wie Serverräume, Leitwarten oder die Maschinen selbst. Aber auch Sicherheitsrichtlinien für Mitarbeiter sowie regelmäßige Schulungen dazu sollten eher Regel als Ausnahme sein. Denn die beliebteste Methode, um in ein Netzwerk einzudringen, ist weiterhin der so genannte Candy Drop, also die bewusste Platzierung von Malware-infizierten Speichermedien (USB-Sticks, CDs, Speicherkarten etc.) auf dem Betriebsgelände. Auch Spearfishing-Angriffe oder Social Engineering zielen auf die Mitarbeiter eines Unternehmens als Übertragungsweg ab. Die Sensibilisierung von Mitarbeitern für die Gefahren solcher indirekten Cyberangriffe und Vorgaben für den Umgang mit nicht vertrauenswürdigen Quellen sind daher unerlässlich.

Aufmacherbild: PCB processing via Shutterstock / Urheberrecht: asharkyu

Geschrieben von
Gianluca De Lorenzis
Gianluca De Lorenzis
Gianluca De Lorenzis ist CEO der FGND Group. Er berät mittelständische Unternehmen und Konzerne bei der Lösung komplexer technologischer Herausforderungen und bei der Entwicklung zukunftssicherer IT-Strategien. Seit zwanzig Jahren ist Gianluca De Lorenzis als Management Consultant, Projektmanager, Entwickler und Infrastrukturspezialist in der IT-Branche tätig.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "Angriff auf die Smart Factory"

avatar
400
  Subscribe  
Benachrichtige mich zu:
Anna
Gast

Vielen Dank für diesen interessanten Beitrag.
Ich stimme zu dass die immer wachsende Vernetzung so eine Risiken mit sich bringt. Gerade die Angst for Cyberangriffen nimmt zu.
Ich denke, wenn Produktionsanlagen durch Cyberattacken ausfallen, kann dies dann auch negative Auswirkungen auf die Lieferung und denn Gewinn haben.