Festung für Daten

Mit einer vernetzten Produktion à la Industrie 4.0 wachsen die Risiken für die IT-Sicherheit. Die Unternehmen müssen dringend Vorsorge treffen, um Vertrauen zu gewinnen und Wertschöpfungspotenziale zu nutzen.

Die meistverkauften Musiktitel der Woche, die beliebtesten Arbeitgeber oder die peinlichsten TV-Promis – Charts und Hitlisten sind beliebt. Weniger beliebt sind die Charts, wenn sie vom Bundesamt für Sicherheit in der Informationstechnik stammen. Die Bonner Behörde, die Unternehmen und öffentliche Einrichtungen vor Cyber-Angriffen schützen soll, hat 2012 eine Top-Ten-Liste der größten Bedrohungen für Industrial Control Systems (ICS) herausgegeben. Mit ICS sind alle Automatisierungs-, Prozesssteuerungs- und Leitsysteme gemeint, die physische Prozesse abwickeln, also etwa Produktionsprozesse in Fabriken. Klassiker sind „Menschliches Fehlverhalten und Sabotage“ oder das „Einschleusen von Schadcode über Wechseldatenträger“. Auf Platz eins schaffte es die „Unberechtigte Nutzung von Fernwartungszugängen“, womit meist schlecht gesicherte Verbindungen zum Internet gemeint sind, über die sich Wartungspersonal – und leider häufig auch Cyberkriminelle – in eine Industrieanlage einwählen können.

Das mulmige Gefühl, das die „Hitliste“ erzeugt, ist gewollt, denn viele, vor allem kleine und mittelständische Unternehmen, agieren nach Auffassung des BSI immer noch zu lax, was den Schutz vor Angriffen angeht. Gleichzeitig zeigt die Liste, dass Schutz möglich und bezahlbar ist und wo Unternehmen ansetzen können, wenn sie sich absichern wollen. Das müssen sie auch, denn ungeklärte Sicherheitsfragen sind ein Hemmnis für die Einführung von Industrie 4.0. Wenn schon Fabriken mit althergebrachter Softwaresteuerung nicht sicher sind – siehe der Stuxnet-Vorfall in einer iranischen Atomanlage 2010 –, wie soll es dann erst werden, wenn sämtliche Produktionsanlagen und Bauteile miteinander vernetzt sind? Und das nicht nur im eigenen Unternehmen, sondern mit allen Partnern entlang der Wertschöpfungskette eines Produkts?

„Das BSI ist wie ein Zahnarzt“, beklagt Holger Junker, „man geht erst hin, wenn es weh tut.“ Der Leiter des Referats für die Sicherheit von Industrieanlagen beim BSI plädiert stattdessen für Prophylaxe. Er hält Vorträge, redet mit Verbänden, besucht hin und wieder auch Firmen, die ein besonderes Sicherheitsbedürfnis haben. Junker redet den Unternehmen ins Gewissen: „Sicherheit ist ein Prozess, keine einmalige Aktion.“ Wer glaubt, das betreffe nur die anderen, wird vielleicht von dieser Zahl eines Besseren belehrt: Laut Symantec, dem Anbieter von Antiviren-Software, richtete Schadsoftware 2011 Schäden von 388 Milliarden Euro an. Vermutlich jeder fünfte PC weltweit ist von Schadsoftware befallen.

„Bei der hochgradig autonomen Kommunikation von Industrie 4.0 ergeben sich ganz neue Bedrohungsszenarien“, warnt Rainer Glatz, Geschäftsführer des Fachverbandes Software im Verband Deutscher Maschinen- und Anlagenbau (VDMA). Sabotage mit einem Stillstand der Produktion ist das geringste Problem, denn der Schaden ist überschaubar. Kritischer wird es, wenn Kriminelle Informationen absaugen. Daraus können sie Produktionsverfahren rekonstruieren und Produktionskosten errechnen, was langfristig eine viel größere Bedrohung fürs Geschäft ist. Woher solche Angriffe kommen, ist ein offenes Geheimnis: Vor allem China und Russland versuchen an Informationen über innovative Produkte und Verfahren zu kommen. Nach dem jüngsten Datenskandal sind auch die Nachrichtendienste in den USA unter Verdacht geraten. Strafverfolgung und Täterermittlung gehört nicht zum Aufgabenbereich des BSI, daher hält sich Holger Junker in Bezug auf die Herkunft der Angriffe bedeckt und spricht von „Spekulationen“. Elmar Gerhards-Padilla, Leiter des Teams zur Analyse und Bekämpfung von Schadsoftware am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie in Bonn, wird da deutlicher: „Ein amerikanisches Beratungsunternehmen hat kürzlich Hackerangriffe bis in ein Gebäude in Shanghai zurückverfolgt.“

Ausgerechnet die Branchen, die am meisten von Industrie 4.0 profitieren wie Maschinen- und Anlagenbauer, hinken sicherheitstechnisch um mehrere Jahre hinterher. Dabei muss guter Schutz nicht aufwändig und teuer sein: In der Regel reichen wenige Prozent des gesamten Investitionsbudgets eines Unternehmens für Maßnahmen der IT-Sicherheit – wenn das Geld richtig eingesetzt wird. Damit lassen sich die meisten Bedrohungen abwenden. Hundertprozentige Sicherheit gibt es nicht, jedenfalls nicht zu vertretbaren Kosten.

Gäbe es auch eine Hitliste der Schutzmaßnahmen, so wäre diese auf Platz 1: Zonen bilden, das heißt Fabrikanlagen mit dem gleichen Schutzbedürfnis in einem Netzwerk zusammenfassen, ohne Verbindung zu anderen Zonen. Eine Maschine, die unbedingt aus dem Internet erreichbar sein muss, braucht einen höheren Schutz und sollte nicht mit Maschinen einer niedrigeren Schutzstufe vernetzt sein. Die Zonenbildung ist die beste Versicherung gegen ein unkontrolliertes Ausbreiten einer Infektion mit Schadsoftware.

Ein weiterer BSI-Tipp: Verbindungen ins Internet kappen, sofern nicht unbedingt erforderlich. Junker kennt einen Fall, wo zwar eine Spionage-Software auf einem USB-Stick eingeschleust wurde, diese aber keinen Schaden anrichtete, weil die Steuerung der Anlage nicht mit dem Internet verbunden war. Die Schadsoftware sammelt dann Daten, kann diese aber nicht an ihren Auftraggeber übermitteln. Das Kappen von Internetzugängen ist oft gar nicht so leicht, weil viele Betriebe keine Ahnung haben, welche Anlagen überhaupt am Internet hängen. Häufig gibt es nicht einmal einen Netzplan, auf dem die Netzwerkverbindungen innerhalb der Fabrik und nach außen verzeichnet sind. Dieser sei das A und O, um Risiken einschätzen zu können, sagt Junker.

Beim Thema Industrie 4.0 tritt der BSI-Experte auf die Bremse. Plug ’n’ Produce, also eine Produktion, die sich flexibel wie ein Organismus an die Anforderungen anpassen lässt, sei derzeit noch schwierig. Ebenso dass alle cyber-physischen Systeme Teil einer einzigen Sicherheitszone sein sollen, denn das sei schlicht nicht abzusichern. Junker: „Industrie 4.0 macht alles leichter und effizienter, aber man bezahlt einen Preis bei der Sicherheit.“ Das bedeutet aber nicht das Aus für Industrie 4.0, es verlangt nur erhöhte Aufmerksamkeit. Denn beim BSI ist man davon überzeugt, dass die Sicherheitsprobleme lösbar sind, unter anderem, indem Hersteller in jedes Bauteil, in jede Maschine und in jedes Endprodukt Sicherheitsmechanismen einbauen und nicht die Verantwortung an den Kunden weiterschieben. Security by Design heißt dieser Ansatz, Sicherheit soll schon in der Planungsphase einer Produktion mitgedacht werden. Der Arbeitskreis Industrie 4.0 hat dazu eine Empfehlung mit acht Maßnahmen ausgearbeitet, die von einem Wissenspool mit Sicherheitsstandards bis zur Weiterbildung des Personals reicht.

Mit dem Trend zu Industrie 4.0 etablieren sich Sicherheitsstandards wie IEC 62443, eine Norm für IT-Sicherheit in der Automatisierung. Ganz im Sinne des BSI-Experten Holger Junker sieht IEC 62443 die Segmentierung des Netzwerks in Zonen vor, die nur über definierte Kommunikationspfade, sogenannte Conduits, miteinander kommunizieren. Das intelligente Netzwerk kann manipulierte oder defekte Teilnehmer isolieren, setzt die geplanten Kommunikationspfade mit den vorgesehenen Protokollen durch und verhindert andere, erkennbar eingeschleuste Protokolle.

Ein weiteres Beispiel ist OPC-UA, die neue standardisierte Software-Schnittstelle für die Automatisierungstechnik. Der Kommunikationsstandard vernetzt die komplette Automatisierungspyramide, vom Sensor in der Maschine bis zur Ressourcenplanung in einem SAP-System. „OPC-UA wird eine entscheidende Rolle beim Wandel hin zur Industrie 4.0 oder zur Integrierten Industrie spielen“, sagt Darek Kominek, Marketing Manager bei Matrikon, einem Anbieter von OPC-Lösungen. Auch Holger Junker vom BSI ist zufrieden: „Bei OPC-UA sind gute Verschlüsselungstechniken schon integriert.“

OPC-UA sorgt für einen sicheren durchgängigen Datenaustausch von der Basis, der so genannten Automatisierungspyramide, wo Sensoren und Aktoren kommunizieren, bis zu ihrer Spitze mit der Produktionsplanung. Ein Problem bleibt allerdings bestehen: Richtig sinnvoll ist eine Industrie 4.0 nur, wenn viele Akteure aus Produktion und Vertrieb verschiedener Unternehmen zusammenwirken. Dann jedoch stehen zahlreiche dieser Pyramiden nebeneinander. Und erst wenn diese verbunden sind, wenn also Daten über Unternehmensgrenzen hinwegfließen, lassen sich die Wertschöpfungsvorteile erschließen. Das geht am besten über Software-Dienstleistungen aus der Cloud – erzeugt aber wieder neue Sicherheitsrisiken. Gerade nach den jüngsten Datenabhörskandalen sind Unternehmen vorsichtig, wertvolles Know-how auf virtuelle Rechner zu legen.

Virtual Fort Knox soll diese Angst nehmen: Das Projekt ist eine Initiative des Fraunhofer-Instituts für Produktionstechnik und Automatisierung mit Hewlett Packard, unterstützt wird es vom Wirtschaftsministerium Baden-Württemberg. „Industrie 4.0 ist ein wichtiges Anwendungsgebiet für das Cloud-Computing“ sagt Martin Rapp, Berater für IT-Sicherheit bei Hewlett Packard. Wie das reale Fort Knox im US-Bundesstaat Kentucky, das die amerikanischen Goldreserven schützt, soll sein virtuelles Pendant eine für Datendiebe uneinnehmbare Festung sein. Gleichzeitig soll es Kollaboration zwischen Unternehmen erleichtern und zwar bis hinunter auf die Maschinenebene. Zielgruppe: Mittelständler, die nach Bedarf Software-Services aus der Cloud buchen und gemeinsam Wertschöpfung erhöhen wollen. Bezahlt wird nach Nutzung, das senkt die Fixkosten und erlaubt es kleineren Betrieben, risikolos mit Bausteinen von Industrie 4.0 zu experimentieren. So können Betriebe in Echtzeit Planungsdaten für die Produktion einsehen und verändern, Wertschöpfungsketten und -netzwerke flexibilisieren sowie passende Dienstleistungen ergänzen und technisch sicher abbilden. Aus dem Blickwinkel der IT-Sicherheit hat Virtual Fort Knox Vorteile: Die Schutzmechanismen sind stets auf dem neuesten Stand, weil sie zentral von erfahrenen Spezialisten gepflegt werden. Rapp: „Vertrauenswürdige Sicherheit und Transparenz sind unser wichtigstes Argument.“

Die sind auch nötig, denn „ohne IT-Sicherheit wird Industrie 4.0 nicht fliegen“, warnt Stefan Ferber, Leiter Business Development im Internet der Dienste & Dinge von Bosch Software Innovations. Ferber glaubt aber, dass es zunächst mehrere konkurrierende Plattformen geben wird, bevor sich die Anbieter in Zukunft vielleicht auf zwei bis drei gemeinsame Plattform einigen. „Es könnte gut möglich sein, dass es dann eine deutsche Cloud-Plattform sein wird, denn das Vertrauen in US-Dienstleister sei nach dem NSA-Skandal erschüttert“, so Ferber. Der hohe Anspruch deutscher Firmen an die Datensicherheit, der bisher als Hindernis beklagt wurde, könne sich nun als Vorteil erweisen. Ferber: „Security made in Germany wird zum wichtigen Alleinstellungsmerkmal.“

(jlu)