Das politikforcierte Trendthema „Industrie 4.0“ fand sich natürlich auf der Nürnberger IT-Sicherheitsmesse It-sa – stets verbunden mit der Frage, wie – und wie gut – sich ans Internet angebundene Maschinen und Produktionsanlagen absichern lassen. Das Diskussionsspektrum der LANline-Interviews auf der It-sa (siehe auch Teil 1 bis 3 dieser Serie) reichte von eindringlichen Mahnungen zu stärkerem IT-Sicherheitsfokus in der Industrie bis hin zur Vorstellung konkreter Lösungen und Tools.

Will ein Industrieunternehmen in Richtung voll vernetzter Maschinen und Anlagen („Industrie 4.0“) gehen, so empfiehlt Stefan Strobel, Chef des Security-Beratungshauses Cirosec, den Ansatz einer „360-Grad-Security“ mit initialer Risikoanalyse und Assessment sowie Jahresplänen für die strukturierte Umsetzung ermittelter Maßnahmen.

Ein solches umfassendes, zielgerichtetes Vorgehen sei allerdings noch sehr selten, es fehle das nötige Personal mit IT-Security-Expertise und strategischem Überblick. Vielmehr hätten Unternehmen im Allgemeinen zu wenige Security-Leute, die noch dazu meist mit Alltagsproblemen ausgelastet seien. Ein weiterer Teil des Problems: „IT- und Produktionssteuerungsleute in den Unternehmen reden nicht miteinander“, so Strobel. Er rät deshalb dazu, man solle „eines der wenigen Beratungshäuser finden, die von Kompetenz leben, und es an Bord holen.“

Wie aber soll ein kleiner Mittelständler vorgehen, der sich teure externe Consultants nicht leisten kann? „Da bin ich ein bisschen ratlos“, so Strobel zu LANline. Denn diese Unternehmen würden überwiegend über lokale Systemhäuser bedient, und letztere seien „nicht unbedingt die großen Berater“: „Strategischer Weitblick bei Security entsteht nur durch jahrelange Erfahrung,“ so Strobel. Hinsichtlich der Sicherheitslage des Mittelstands warnt er: „Industrie 4.0 wird Security-technisch gegen die Wand laufen. Das soll keine Werbung für Cirosec sein, das ist ein Desaster.“

 

„Industrie 4.0 wird Security-technisch gegen die Wand laufen“, warnt Stefan Strobel, Chef des Security-Spezialisten Cirosec, mit Blick auf den deutschen Mittelstand. Bild: Cirosec

„Industrie 4.0 wird Security-technisch gegen die Wand laufen“, warnt Cirosec-Chef Stefan Strobel. Bild: Cirosec

Der Nürnberger VPN-Anbieter NCP sieht die Lage weniger bedrohlich: „Wir theoretisieren nicht, sondern haben schon Produkte für Industrie 4.0,“ betonte NCP-Geschäftsführer Patrik Oliver Graf gegenüber LANline. Denn im Zeitalter per Internet vernetzter Maschinen und Anlagen sei die sichere Kommunikation per VPN zwingend gefordert, obwohl sie in der Industrie als kompliziert gelte. Punkten könne NCP hier mit seiner einfach umsetzbaren Lösung: „Wir nehmen durch unsere Softwarelösung mit zentralem Management Komplexität heraus“, so Graf, „und liefern ein Standardprodukt mit Schnittstellen für Anpassungen, wie sie im Industrieumfeld gefordert sind.“

Problematisch sind dabei laut dem NCP-Chef die Fülle veralteter Betriebssysteme und die oft ressourcenschwachen Umgebungen. Dass NCP damit klarkommt, demonstrierte man am Stand mit einem Lego-Mindstorm-Roboter mit angepasstem NCP VPN Client. Diesen habe man innerhalb von nur zwei Wochen für den Spielzeugroboter adaptiert, so Graf. Ebenfalls neu bei NCP ist der lange erwartete VPN-Client für IOS. Er soll bis Anfang nächsten Jahres auf den Markt kommen.

„Die ICS-Industrie (Industrial Control System, d.Red.) befindet sich in einer Aufholjagd“, so Tony Lee, Technical Director bei Mandiant, der Security-Consulting-Tochter von Fireeye. „ICS haben lange nur in geschlossenen Umgebungen gearbeitet. Deshalb brauchen sie nun eine ganz neue Architektur. Das Problem ist, dass es da draußen so viele Legacy-Installationen gibt.“

Deshalb seien nun „Red Teaming“-Services dringend nötig: „Man muss Angriffsszenarien durchspielen, um ein realistsches Bild von der Bedrohungslage zu erhalten.“ Dabei stelle er oft fest, dass es bereits an der Segmentierung des Netzwerks mangelt – und dass man bis zur nächsten geplanten Downtime warten muss, um Lücken schließen zu können. Wichtig gegen gezielte Angriffe seien eine mehrstufige IT-Security mit proaktivem Management und kontinuierlichem Monitoring, so Mandiant-Experte Lee.

„Man muss Angriffsszenarien durchspielen, um ein realistsches Bild von der Bedrohungslage zu erhalten“, so Tony Lee von Fireeyes Consulting-Tochter Mandiant. Bild: Dr. Wilhelm Greiner

„Man muss Angriffsszenarien durchspielen, um ein realistsches Bild von der Bedrohungslage zu erhalten“, so Tony Lee von Fireeyes Consulting-Tochter Mandiant. Bild: Dr. Wilhelm Greiner

Als besonders gut für Industrie-4.0-Szenarien geeignet sieht Infotecs seine VPN-Lösung Vipnet. Die Softwarelösung nutzt ein symmetrisches Verfahren für die Ende-zu-Ende-Verschlüsselung bis zum Endpunkt. Bei der Direktkommunikation zwischen Endpunkten vermittelt eine „Koordinator“-Instanz. Als Transportmedium dient nicht TCP, sondern UDP – das sorgt für gute Sprachqualität bei verschlüsselter VoIP-Kommunikation. Zudem, so Infotecs-CEO Josef Waclaw, sei der UDP-Port immer offen – so funktinioniere die Verbindung sogar in China. Für den Industrieeinsatz bietet Infotecs die IG-Familie von Industrie-Gateways, die man auf branchen- und firmenspezifische Besonderheiten anpassen kann.

Beim RZ-Ausstatter Rittal betonte man, den Unternehmen nicht nur bei ihrer Modellierung von RZs zur Seite stehen zu können, sondern auch beim Nachweis der Sicherheit gemäß ISO 27001 oder BSI Grundschutz. Für Industrie-4.0-Projekte ist es dabei laut Bernd Hanstein, Vice President Product Management IT bei Rittal, von Bedeutung, neben IT-Administrator, Netzwerker und Security-Verantwortlichem auch den Produktionsplaner mit am Tisch zu haben. Schließlich sei die Fabrik in der Industrie 4.0 nur die „verlängerte Werkbank“ des RZs.

Neben Unterstützung für die Sicherheit auf Logikebene – „Bei PDUs kann man einzelne Ports abschalten, das sollte nicht via Shodan offen zugänglich sein“, so Hanstein – offeriert Rittal natürlich auch Lösungen für die physische RZ-Sicherheit. So vertreibt der Hersteller mit den Modulsafes der „Micro Data Center“-Familie ein RZ in der Hochsicherheitsbox mit physichem Schutz vor Einbruch (per Tresortür), Staub, Rauch, Stromausfall etc. Zusammen mit dem Partner Innovocloud aus Frankfurt biete man komplette Cloud-Rechenzentren im sicheren Schrank.

 

Mit der „Micro Data Center“-Familie liefert Rittal Rechenzentren in der besonders geschützten Box. Bild: Rittal

Mit der „Micro Data Center“-Familie liefert Rittal Rechenzentren in der besonders geschützten Box. Bild: Rittal

Nützlich: Der BISG (Bundesverband der IT-Sachverständigen und -Gutachter) will insbesondere Mittelständlern zur Seite stehen, die durch Security-Themen überfordert sind. Man sehe sich dabei als Übersetzer zwischen IT-Security und Geschäftsrelevanz, so Geschäftsführer Rodney Wiedemann: „Herstellerneutrale Beratung ist hierzulande nur schwer zu bekommen. Der BISG will deshalb als Trusted Advisor (vertrauenswürdiger Ratgeber, d.Red.) agieren“ – zumal bei den Herstellern eher das Verkaufen im Vordergrund stehe.

Insgesamt präsentierte sich die IT Security angesichts einer anhaltend prekären Sicherheitslage als lebhafte Branche, die noch dazu unter der Überschrift „Industrie 4.0“ nun ein breiteres Aufgabenspektrum zu erfüllen hat. Kein Wunder also, dass die Messe Nürnberg plant, die It-sa nächstes Jahr auf zwei Messehallen auszudehnen.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.