Cybersecurity in der Produktion
Fabrik-it: Sicherheit und Vernetzung in Balance
Mit dem IOT öffnen produzierende Unternehmen bisher abgekapselte Fabrikumgebungen. Was ist nötig, um kritische Prozesse und Anlagen vor Cyberattacken abzusichern? Cybersecurity-experte Jörg Schuler berichtet, wie sich Iiot-systeme absichern lassen – und welche Herausforderungen bei der Einführung von 5G in der Produktion zu beachten sind.
RUND 50 MILLIARDEN Euro Schaden entstehen der deutschen Wirtschaft Marktanalysten zufolge jährlich durch Cyberangriffe. Vorrangiges Ziel der Angreifer ist der Diebstahl von Informationen. Dabei soll die Anzahl der Angriffe weiter ansteigen, wie auch Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) meint. Kürzlich erklärte er:„die It-sicherheit darf nicht länger als Zusatz zur Technologie gesehen werden, sondern als das, was sie ist: Eine notwendige Voraussetzung für den Einsatz von moderner Technik“.
Wie sich mehr Sicherheit in die Praxis bringen lässt
In der Praxis wird häufig noch zu wenig getan, um sicherheitskritische Produktionsnetzwerke zu schützen. Zum einen wird das Sicherheitsrisiko eines Remote Zugriffs für Wartungsarbeiten von Produktionssystemen nach wie vor unterschätzt und es fehlen teilweise passende Sicherheitsmaßnahmen. Auch im Bereich Usb-policy ist immer noch einiges zu tun. Hier haben viele Unternehmen noch keine ausreichenden Schutzmaßnahmen umgesetzt, so dass unbeabsichtigte Sicherheitslücken entstehen.
Speziell im Produktionsumfeld sollte die Nutzung von Usb-sticks ausgeschlossen oder gezielt überwacht werden. Grundsätzlich gilt weiterhin: der Faktor Mensch ist das größte Sicherheitsrisiko. Gegen bewusste Sabotage von Mitarbeitern haben Unternehmen jedoch schlechte Karten. Auch Ransomware wie Wannacry, die Computer stilllegt und dann Erpressungsgelder fordert, ist keineswegs ungefährlich, selbst wenn es mittlerweile um das Thema etwas ruhiger geworden ist. Doch das sind erst die Grundlagen.
Welche Risiken bringen Wlan und Smartphone?
Mehr Risiko bringt auch die Wlan-vernetzung in die Fabrik, vor allem, wenn die Implementierung nicht ausreichend hohen Sicherheitsvorgaben folgt. Hier kann an anderer Stelle, zum Beispiel im Officebereich, ein Teil des Netzwerks attackiert werden und als Zugang ins Produktionsnetz dienen.
Mit dem Industriellen Internet der Dinge (IIOT) entsteht eine deutlich höhere Abhängigkeit zwischen Wlan und Applikationen, und so steigt die Gefahr, dass ein kritischer Service unterbrochen wird. Das kann die Verfügbarkeit und Integrität des gesamten Produktionssystems in Frage stellen.
Ein großes Problem sind auch Smartphones, die Mitarbeiter in die Produktionsumgebungen mitbringen. Sie können zum Einfallstor werden. Zwar sind auf dem Shopfloor hauptsächlich Industrial Ethernet oder DSL im Einsatz, aber schon jetzt sind rund 25 Prozent der Verbindungen kabellos – physische Verbindungen sind oft aus baulicher Sicht nur schwer möglich.
Neben Wlan sind heute viele drahtlose Standards vertreten: 2G, 3G, 4G und LTE, ebenso wie Low Power WANS. Im gesamten Produktionsumfeld sollte grundsätzlich für Verschlüsselung gesorgt werden
– zu deutlich höherer Sicherheit trägt die Umsetzung des Sicherheitsstandards für kabellose Verbindungen IEEE 802.11i auf jedem einzelnen Endgerät bei. Mit WPA2 Enterprise Mode, das auf dieser Norm basiert, lässt sich ein relativ hoher Sicherheitsstandard erreichen.
Low-power-wan-netzwerke
Low-power-wan-ansätze wie Sigfox oder Lora haben sich etabliert. Die Sigfox-infrastruktur beispielsweise ist „Secure by Design“– das gilt für die komplette Iiot-kette, einschließlich Geräten, Netzwerkinfrastruktur und Cloud-devices. Zum Einsatz kommt das Konzept eines Offline-betriebs im Sinne eins sogenannten „Air Gap“.
Dieser Zugang sorgt dafür, dass Komponenten innerhalb der Fabrik verbunden aber dennoch nicht offen nach außen sind. Sollte ein Angriff erfolgen, ist das nur auf ein Device von vielen möglich. Aber selbst wenn damit die Auswirkung auf das Netzwerk begrenzt bleibt, hängen die möglichen Folgen von der Kritikalität des Devices ab, dessen Sicherheit beeinträchtigt wurde.
Mehrschichtige Sicherheitsarchitektur fürs IIOT
Ganz wichtig: Es reicht nicht, sich auf nur eine Sicherheitstechnologie zu verlassen. Vor allem müssen auch die Verbindungen geschützt werden. So sollte zum Beispiel das Wlan in verschiedene Bereiche segmentiert (Network Segmentation) und mit einer Management-software überwacht werden, was die einzelnen Devices tun, mit wem sie Verbindung aufnehmen und Daten austauschen.
Protected Management Frames stellen dabei die Integrität des Netzwerkmanagementverkehrs sicher. Werden all diese Strategien eingesetzt, entstehen zwei bis drei Abwehr-level. Mit Layer 2-Firewalls, die Deep Packet Inspection nutzen, lassen sich die Wlan-verbindungen zudem noch besser schützen. Sie analysieren den Netzwerk-traffic in Echtzeit, untersuchen nicht wie klassische Firewalls nur den Header-, sondern auch den Datenteil von Datenpaketen, und initiieren Reaktionen auf Angriffe.
Da sich immer mehr Fabriken für IIOT aus der Cloud öffnen, sollten auch hier dieselben Regeln gelten: Es bedarf nicht nur der Sicherung der Connectivitywerkzeuge, sondern es muss ein umfassendes Enterprise-security-system implementiert sein. Die Voraussetzung für letzteres ist ein ausgefeiltes Risikoassessment und Management, das für jeden Prozess alle denkbaren Bedrohungen und Risikominimierungen adressiert. Mit Blick auf Cloud-angebote gilt: Viele der Industrie-clouds im Markt sind in punkto Sicherheit verlässlich und verfügen über eine sehr gut integrierte Security. Unternehmen sollten immer darauf achten, dass sie bekannte und bewährte Protokolle verwenden, anstatt eigene Wege zu gehen; sonst wird es deutlich schwerer, Sicherheitslösungen für ihre Produktion zu implementieren.
Vorsicht beim Retro-fit
Im Kontext von Industrie 4.0 und Industrial IOT geht es zunehmend um das Retrofit älterer Anlagen und Maschinen. Dabei werden neue Devices auf alte Controller aufgesetzt. Sie stellen die Verbindung zu Netzwerken her, um Maschinendaten auszutauschen. Für alte Industrie-controller gibt es jedoch oft keine Patches mehr, ihre Sicherheitslücken sind teilweise offene Geheimnisse. Derart verwundbare Infrastruktur zu beschützen ist deshalb eine Herausforderung. Die Antwort darauf liegt wiederum in vielen Protection-layern: Die Fabrik muss auf allen Ebenen resistent gemacht werden. Dazu gehören Konnektivität, Operations und Prozesse.
Mit Blick auf Retro-fit oder den Einsatz von Low-power-wan-technologie ist dringend zu empfehlen, in regelmäßigen Abständen Risikobewertungen durchzuführen, um mögliche Angriffspunkte zu ermitteln. Dabei kommt es darauf an, alle Verbindungen und Konnektivitätspunkte zu berücksichtigen und vom Worst-caseszenario einer Sicherheitsverletzung auszugehen. Wichtig ist zudem, dass die Produktionsingenieure mit Blick auf diese Maßnahmen involviert und informiert sind, um die Sicherheitskonfigurationen zu unterstützen.
Was bringt 5G?
Mit der neuen Mobilfunkgeneration 5G werden zwar echtzeitkritische Szenarien unterstützt, zugleich bleibt aber fraglich, ob produzierende Unternehmen bestehende und funktionierende Lösungen zum Beispiel mit LP WAN zugunsten von 5G ablösen werden. Die Verwendung von 5G wird vom Anwendungsfall abhängen. 5G-devices verbrauchen beispielsweise mehr Energie. Aber das ist nur ein Aspekt, der bei der Wahl der richtigen Vernetzungstechnologie betrachtet werden sollte: Datenmenge pro Gerät, Bidirektionalität, Echtzeit und Latenz, Abdeckung und Roaming, öffentliches oder privates Netzwerk, offene oder proprietäre Frequenz… Am Ende wird wohl eine Mischung aus aktueller Technologie wie Lora oder Sigfox und 5G-technologie in der Praxis anzutreffen sein.
5G nur mit Security-upgrade
Klar ist jedoch: Mit höherer Bandbreite und höherer Geschwindigkeit sind bei 5G noch mehr Daten zu schützen. An diese Realität muss sich die bestehende Technologie erst einmal anpassen. Es gilt, Firewalls für den Peripherieschutz und Systeme für Intrusion Prevention, aber auch alle anderen peripheren Sicherheitsvorrichtungen wie Web Application und Data Base Firewalls (WAF und DBF) fit für 5G zu machen. Jörg Schuler ist OT Security Portfolio Manager bei Airbus Cybersecurity.