Dr. rer. nat. Masud Fazal-Baqaie ist Gruppenleiter am Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM im Forschungsbereich Softwaretechnik und IT-Sicherheit
Foto: Fraunhofer IEM
Unzureichend gesicherte Industrieanlagen können attraktive Ziele für Hacker sein, weil sie einen einfachen Zugriff auf kritische Daten ermöglichen. Dr. rer. nat. Masud Fazal-Baqaie vom Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM in Paderborn, über Sicherheitsrisiken bei industriellen Produktionssystemen und wie sie sich minimieren lassen.
m&w: Bei der Absicherung von industriellen Produktionssystemen und -netzwerken gelten andere Maßstäbe als bei IT-Security-Lösungen für Büroumgebungen. Woran liegt das und wie sicher sind sie?
Masud Fazal-Baqaie: Die teilweise schmerzlichen Erfahrungen mit Cyber-Bedrohungen in Büroumgebungen haben dazu geführt, dass hier Maßnahmen wie Viren-Scanner, Backups, Patch-Management (Ausrollen von Fehlerkorrekturen), Firewalls, etc. mittlerweile Standard sind. Zwar sind wir auch hier noch nicht am Ziel, es hat sich jedoch im Allgemeinen ein gewisses Sicherheitsbewusstsein und ein professioneller Umgang mit dem Thema Sicherheit eingestellt. Bei industriellen Anlagen hatte man sich lange Zeit darauf verlassen, dass die entsprechenden Netze physikalisch abgetrennt und nicht über das Internet erreichbar waren. Damit waren sie vermeintlich nicht angreifbar. Mit diesem Konzept sind die meisten Unternehmen auch lange Zeit gut gefahren. Es bestand zwar ein nicht unerhebliches Risiko, z.B. über spionierende Innentäter oder über das Büronetzwerk Viren einzuschleppen, die auf Konfigurations-Rechnern von Produktionsanlagen verbreitet wurden. Aber es war geringer als bei dem an das Internet angeschlossenen Büronetzwerk selbst. Leider hat sich dadurch das entsprechende Sicherheitsbewusstsein in dieser Domäne nicht im gleichen Maße eingestellt wie in Büroumgebungen, wo es teilweise spektakuläre Sicherheitsvorfälle regelmäßig in die Presse schafften. Man wähnt sich hinter einer Firewall als sicher abgeschirmt von der Außenwelt. Oft werden die Systeme so konfiguriert, dass sie möglichst „offen“ von überall aus dem Produktionsnetzwerk angesprochen und verwaltet werden können, um die Einstellung und den Betrieb der Produktionsanlagen zu erleichtern. Dementsprechend sind dann nur sehr wenige Sicherheitsmaßnahmen wirksam, sollte es doch einmal zu einem Sicherheitsvorfall innerhalb des Produktionsnetzwerkes kommen. Betriebszeiten von mehr als zwei Jahrzehnten sind in der Industrie durchaus die Regel. Um den Sicherheitsstatus dauerhaft hoch zu halten, muss man patchen können, nur so kann man auf auftretende Bedrohungen und bekannte Lücken reagieren. Grundsätzlich ist es aber in der Produktion schwieriger, Updates durchzuführen. Das liegt zum einen an der teilweise fehlenden Internetverbindung, zum anderen aber auch an den notwendigen Echtzeitanforderungen, denn es gilt: „never change a running system“.
m&w: Industrie 4.0 und der Austausch von Daten über das Internet fördern Angriffe auf industrielle Systeme durch Hacker und Cyberkriminalität. Welche Schäden sind hier bei unzureichender IT-Sicherheit zu befürchten?
Masud Fazal-Baqaie: Sie bemerken ganz richtig, dass Produktionssysteme zunehmend für die Überwachung und Auswertung an Cloud-Dienste angebunden werden oder Schnittstellen bieten, um sich direkt z.B. per Handy oder Tablet zu verbinden. Damit sind diese Systeme im äußersten Fall direkt aus dem Internet erreichbar und geraten damit nicht nur in das Visier von Angreifern, die es direkt auf die Anlage oder den Betrieb abgesehen haben, sondern können auch als Kollateralschäden in Mitleidenschaft gezogen werden. Beispielweise dienen Würmer Kriminellen oft dazu Systeme zu übernehmen, um anschließend von dort aus Angriffe auf Drittsysteme zu starten.
Mögliche Schäden reichen hier von Störungen im Betriebsablauf und dem Stillstand bis hin zur nachhaltigen Beschädigung von Produktionsanlagen. Damit sind Angriffe oft mit einem größeren Schadenspotential verbunden als bei Attacken auf das Büronetzwerk. Wenn die Produktion einen Tag lang steht, hat das in der Regel größere Auswirkungen als wenn einen Tag lang keine E-Mails verschickt und empfangen werden können. Außerdem bedroht ein Cyber-Angriff automatisch auch die Betriebssicherheit (Safety) von Anlagen, sodass hier potentiell auch direkt Menschenleben gefährdet sind. So wurde erst kürzlich in Saudi-Arabien beinahe eine Explosion in einem Chemiewerk ausgelöst. Neben diesen direkt bemerkbaren Angriffen besteht aber auch die Gefahr von Industriespionage und damit der Abfluss von vertraulichem Know-how.
m&w: Spezialisten für IT-Sicherheit im Industrie-Umfeld befürchten, dass infolge der mangelhaften Sicherheit einerseits und der Weiterentwicklung der SCADA-Technologie andererseits die Sicherheitsrisiken mit weitreichenden Konsequenzen dramatisch anwachsen werden. Wie lassen sich besonders ältere Systeme besser schützen bzw. nachrüsten. Welche Branchen oder Systeme sind vornehmlich hiervon betroffen?
Masud Fazal-Baqaie: Wie bei einer Kette ist die Security eines Produktionssystems im Grunde nur so gut wie ihr schwächstes Glied. Das heißt zum einen, dass bei der Nachrüstung von Anlagen über sogenannte Retrofit-Kits oder Industrial Control Gateways darauf zu achten ist, dass diese Geräte auf dem neusten (software-)technischen Stand sind und regelmäßig aktualisiert werden. Letztlich gilt dies genauso auch für neuere Systeme, die entsprechende Funktionen beinhalten. Bei den Industrial Control Gateways sind beispielsweise Geräte im Umlauf, die auf veralteten Versionen des Linux-Betriebssystems basieren und damit angreifbar sind. Zum anderen heißt dies, dass alle Systeme in Gefahr sind, sobald ein Angreifer Zugang zu dem Produktionsnetzwerk erlangt hat. Daher ist es wichtig, dass verschiedenste Sicherheitsmaßnahmen kombiniert werden, um es Angreifern möglichst schwer zu machen. Wir sprechen hier von defense in depth: wie bei einer Festungsanlage mit Burggraben und mehreren Reihen von Mauern greifen weitere Schutzmaßnahmen, sollte ein Angreifer eine Maßnahme überwunden haben. Dazu gehören unter anderem Maßnahmen zur Absicherung von Funktechnologien oder zur Angriffserkennung.
So lässt sich beispielsweise das Produktionsnetzwerk in kleinere Segmente aufteilen, damit sich eine Gefahr nicht ungehindert ausbreiten kann. Auch ältere Systeme können so ein Stück weit isoliert und abgesichert werden. Was die Bedrohungslage angeht, sind potentiell sowohl alte als auch neue Systeme und alle Branchen verwundbar und damit auch betroffen. Für sehr sensible kritische Infrastrukturen gelten besondere Meldepflichten bei Cyberangriffen. Der aktuelle Bericht zur IT-Sicherheitslage in Deutschland des BSI (Bundesamt für Sicherheit in der Informationstechnik) berichtet hier von Meldungen vornehmlich aus den Bereichen IT und IKT sowie der Energieversorgung. Der Branchenverband VDMA der deutschen Maschinen- und Anlagenbauer hat im letzten Jahr eine Befragung unter seinen Mitgliedern zum Thema Security durchgeführt. Die Mehrheit geht von einer steigenden Zahl von Security-Vorfällen aus. Im Vergleich zur Studie aus dem Jahr 2013 haben außerdem insbesondere Kapitalschäden zugenommen, gefolgt von Produktionsausfällen. Die größte Gefahr sehen die Mitglieder durch menschliches Fehlverhalten und Sabotage, sowie durch die Einschleusung von Schadsoftware.
m&w: Wo bieten sich z. B. schon bei der Softwareprogrammierung Möglichkeiten, um die Informationssicherheit industrieller Systeme und den Austausch der Daten zwischen Systemen zu verbessern?
Masud Fazal-Baqaie: Security sollte bei jeder Komponente eines industriellen Gesamtsystems bedacht werden. Darüber hinaus empfiehlt es sich, schon früh im Entwicklungsprozess an Security zu denken. Dies ist auch der Kern der Security-Richtlinie IEC 62443, die aktuell etabliert wird und das Thema Security für die Automatisierungsdomäne regelt. Wir sprechen von „Security-by-Design“, denn das Ziel ist es, Security gewissermaßen in das System hinein zu entwickeln und bei jedem Entwicklungsschritt Security-Maßnahmen zu berücksichtigen. Zu Security-by-Design gehört es frühzeitig abzuschätzen, welche Teile des Systems Absicherung benötigen und welche Bedrohungen bestehen, z.B. die Übernahme des Systems über die Fernwartungskomponente. Basierend auf dieser Bedrohungsanalyse kann die Architektur des Systems entsprechend ausgelegt und geprüft werden, z.B. durch die Verwendung moderner Verschlüsselungsalgorithmen an bestimmten Stellen. Bei der eigentlichen Softwareprogrammierung geht es insbesondere um die Vermeidung von Fehlern, die durch Hacker ausgenutzt werden können, z.B. bei der Implementierung der Zugriffskontrolle. Bei der anschließenden Inbetriebnahme sollten Security-Prüfungen nicht fehlen, beispielsweise ob programmierte Sicherheitsmechanismen auch aktiv sind.
Unser Institut unterstützt bereits einige Unternehmen, indem wir bei ihnen nicht nur Security-Maßnahmen durchführen, sondern Security bereits in deren eigene Entwicklungsprozesse einbauen. Hier gehen die ersten Betriebe in der Region bereits mit gutem Beispiel voran.
