Schritt für Schritt auf den Berg

IT-Security in der industriellen Praxis

Schritt für Schritt auf den Berg

Im Rahmen der Veranstaltung Automatiserungstechnik-Dialog 2015 der Firma Blumenbecker griff Dr. Thomas Störtkuhl, Teamleiter Industrial IT-Security und Embedded Systems bei TÜV Süd, das Thema Sicherheit in den IT-Strukturen produzierender Unternehmen auf. Aus seinem Erfahrungsschatz schilderte er, woran es bei vielen Firmen mangelt und gab Tipps, wie dieses äußerst komplexe Thema angegangen werden kann.
Nichts ist so einfach wie die Definition der Ziele, die hinter der Implementierung einer IT-Sicherheitsstruktur in einem produzierenden Unternehmen stehen: Die Anlage soll möglichst zu 100% verfügbar sein, die Produkte, die am Ende der Fertigungskette stehen, sollen eine hohe Qualität besitzen, es darf kein Schaden für Mensch und Umwelt auftreten und die Ausfallsicherheit und Zuverlässigkeit der Lieferanten sollte – in Zeiten von ‚Just in time‘- bzw. ‚Just in sequence‘-Produktion – ebenfalls gewährleistet sein. Die meisten IT-Infrastrukturen sind, laut Störtkuhl, auf der Fertigungsebene in einer Zellstruktur aufgebaut, wo jede mit Robotik, HMIs und Steuerungen ausgestattete Zelle einen bestimmten Produktionsschritt übernimmt. Diese mehr oder weniger vorhandenen Zellen innerhalb einer Fertigungsumgebung sind mit der Office-IT verbunden, wo dann beispielsweise das ERP-System angesiedelt ist, über welches die Zulieferer-Logistik gesteuert wird. Aber durch die zunehmende Vernetzung entstehen auch neue Anforderungen an die Sicherheitsstruktur.

Bedrohungspotenzial

Die Häufigkeit der Angriffe auf Produktionsinfrastrukturen hat in den vergangenen Jahren enorm zugenommen. Eines der wohl bekanntesten und auch in den Medien sehr präsenten Beispiele war der Computer-Wurm Stuxnet, der im Jahre 2010 in der Leittechnik einer iranischen Urananreicherungsanlage für massive Störungen sorgte. Zwei Jahre später wurde der saudi-arabische Energiekonzern Aramco von einer Malware heimgesucht. Als eines der jüngsten Opfer – wenn auch aus dem nicht-industriellen Bereich – dürfte vielen noch der französische Fernsehsender TV5 Monde in Erinnerung sein, dessen Betrieb mittels Cyber-Attacke am 9. April diesen Jahres komplett lahmgelegt wurde. Das vorläufig letzte Ereignis auf diesem Gebiet ist das Ausspähen des Datennetzes des deutschen Bundestages, dessen Tragweite und Konsequenzen zum jetzigen Zeitpunkt noch gar nicht absehbar sind. Als weiteres Beispiel aus der Industrie nennt Störtkuhl den Hacker-Angriff auf die Hochofensteuerung eines Stahlherstellers. Hier sollte der Hochofen eigentlich planmäßig heruntergefahren werden. Ein in die Steuerungssoftware eingeschleuste Schadsoftware verhinderte dies jedoch, so dass der Hochofen beschädigt wurde. Neben Schadprogrammen wie Viren, Trojanern oder Computerwürmern sind es vor allem gezielte Angriffe auf Steuerungsanlagen, Spionageaktivitäten oder auch Sicherheitsprobleme bei Zulieferern, die produzierenden Unternehmen zunehmend zu schaffen machen. Die Unternehmen sind solchen Angriffen nicht wehrlos ausgeliefert, lautete die klare Botschaft von Thomas Störtkuhl. Sie müssten sich allerdings intensiv mit dem neuen Bedrohungspotenzial befassen, das konkrete Risiko für ihre Produktionssysteme analysieren und – in einem ganzheitlichen Ansatz – entsprechende Schutzmaßnahmen entwickeln. Um ermitteln zu können, wie sich industrielle IT-Systeme im Falle eines Angriffs von außen verhalten, hat TÜV Süd ein Penetration Test Laboratory Setup geschaffen. Mit dem Aufbau dieser Gefahreninfrastruktur können Angriffe auf SPS, Engineering Stations, Scada-Systeme oder Server mit historischen Datenbanken durchgeführt werden. Probate Mittel, um die Belastungsfähigkeit einer IT-Infrastruktur zu testen, seien die Schaffung extrem hoher Datenlasten oder das Attackieren einer Steuerung mit sog. Malformed Packets, also abnormalen, fehlerhaften und manipulierten IP-Paketen, so Störtkuhl. Allerdings werde meist nur die Verfügbarkeit in den Produktionsanlagen betrachtet, erklärt der Experte. Dabei stellen Manipulationsdaten etwa von Konfigurationen ebenfalls eine große Bedrohung dar, denn hier werden Parameter zum Beispiel für die Fertigung gesetzt. Werden diese geändert, so können Produkte nicht mehr korrekt produziert werden. Schwer entdeckbare Fehler sind dabei das größte Problem, wenn zum Beispiel Produkte mit Qualitätsmängeln ausgeliefert werden und dann zurückgerufen werden müssen.

Weit verbreitete Schwachstellen

Erfahrungsgemäß ist das Bewusstsein für den Schutz von Mensch, Umwelt und Maschine – also der klassische Safety-Bereich – in vielen Unternehmen bereits stark ausgeprägt. Ganz anders verhält es sich, laut Thomas Störtkuhl, beim Thema IT-Sicherheit. Zum einen sei dies dadurch begründet, dass die Gefahren für produzierende Unternehmen durch Cyber-Attacken erst in jüngster Zeit durch die zunehmende Vernetzung entstanden und daher für die meisten Verantwortlichen noch relativ neu sind. Zum anderen sei die Implementierung einer effektiven IT-Sicherheitsstruktur in einer bestehenden Produktionsumgebung meist nur mit erheblichem Aufwand möglich. Um so wichtiger ist es nach Aussage von Störkuhl, den ersten Schritt für mehr IT-Sicherheit zu tun und das Vorgehen genau zu planen. „Häufig kommen wir in Produktionsstraßen und fragen zunächst: Kennt ihr alle PCs, Laptops, Server, Engineering Workstations oder USB-Sticks, die in dieser Anlage verwendet werden und wisst ihr, wie diese miteinander kommunizieren? Habt ihr einen Netzwerkplan?“ Vielfach müssten die Beteiligten hier schon passen. Im Rahmen eines wirksamen Asset-Managements seien diese Kenntnisse allerdings unerlässlich. Ein weiteres Einfallstor für Hacker sind mangelnde Vorkehrungen bei der Authentifizierung für sicherheitsrelevante Komponenten. Nicht selten verwendeten Anwender noch die von den Komponentenherstellern festgelegten Default-Passwörter. Nachteil: Diese sind allgemein bekannt, was etwa eine SPS unter Umständen leicht angreifbar macht. Auch sollte man die Verwendung von ’schwachen‘ Passwörtern tunlichst vermeiden. Eine zu stark ausgeprägte Abhängigkeit von Zulieferern könne ebenfalls fatale Folgen haben. Dazu Störtkuhl: „Wir hatten einmal einen Fall, wo ein Server bei einem Anlagenbetreiber von einem externen Zulieferer gewartet wurde. Um das Root-Passwort dieses Servers – immerhin das Herz der Anlage – zu ändern, musste sich der Anlagenbetreiber an den Zulieferer wenden.“ Die Verantwortung für solche zentralen Sicherheitsaspekte sollte der Betreiber, laut Störtkuhl, im Rahmen eines umfassenden IT-Security-Ansatzes selbst übernehmen und sich nicht auf einen Zulieferer und seine Sicherheitsstrukturen verlassen. Bedenken sollten auch aufkommen, wenn ein externer Service-Provider beispielsweise Wartungsarbeiten mit einer Engineering Workstation durchführe, die auch bei anderen Kunden zum Einsatz kommt. Auf diese Weise könnte beispielsweise Malware eingeschleust werden. Für solche Arbeiten sind nach Aussage des TÜV Süd-Experten Geräte notwendig, die unter der Kontrolle des eigenen Unternehmens stehen. Ähnlich sieht es beim Thema Remote Access auf Produktionsanlagen aus, bei denen Zulieferer oft eine große Mitsprache bei Ausgestaltung und Zugriffsmöglichkeiten haben. Ein virulentes Problem, das man nicht nur technisch, sondern auch organisatorisch lösen muss, ist die Verwendung von mobilen USB-Geräten wie etwa Sticks oder externe Festplatten. Die Einführung eines Secutrity Monitoring ist, laut Thomas Störkuhl, die Voraussetzung dafür, dass Unternehmen solche Sicherheitsrisiken überhaupt wahrnehmen können. Der TÜV Süd-Experte benennt drei Phasen bei der Implementiereung: In der präventiven Phase werden Maßnahmen ergriffen, um einen Angriff von vornherein zu vermeiden. Bei der Detektion gilt es herauszufinden, ob man Ziel einer Cyber-Attacke ist. In der reaktiven Phase müssen Vorgehensweisen definiert werden, um nach einem Angriff die Gefahren möglichst rasch zu bannen (sog. Incident Handling). Vielfach ist ein Notfallkonzept für eine Störung während des laufenden Betriebs bereits vorhanden. „Security bedeutet aber nicht nur das Sicherstellen von Verfügbarkeit“, betont Störtkuhl. Zugleich müsse etwa die Manipulation eines Produktionssystems verhindert oder die Vertraulichkeit von existenziell wichtigem Firmen-Know-How sichergestellt werden.


  • Maintenance verzeichnet Besucherzuwachs

    Mit einem Besucherzuwachs von 25 Prozent ziehen die Veranstalter der Messen Maintenance und Pumps & Valves ein positives Fazit und wollen die…


  • Koenig & Bauer setzt Wachstumskurs fort

    Koenig & Bauer hat im zurückliegenden Geschäftsjahr 2023 seinen Wachstumskurs aus dem Vorjahr fortgesetzt. Demnach stieg der Umsatz des Konzerns um 12%…


  • Verbindungstechnik neu gedacht

    Edelstahl ist der Materialstandard für Installationen im Reinraum, für Abfüll-, Verpackungs- und Förderanlagen in der Lebensmittelindustrie und für alle korrosionsgefährdeten Bereiche. Leider…


  • NEONEX, Fabasoft Approve & KSB: „Win-win-win-Situation“ durch starke Partnerschaft

    Im Zuge einer Smart-Factory-Potenzialanalyse für ihren Kunden KSB identifizierte die Managementberatung NEONEX Opti mierungschancen bei der Beschaffung der Lieferantendokumentation sowie der Erstellung…