Kontextbezogene IT-Security in der Industrie
Sicherheit für die digitale Fabrik
Die Trennung von Büro und Fabrik ist längst passé. Konzepte wie Industrie 4.0 sehen eine enge Kopplung klassischer IT-Systeme, etwa einer Warenwirtschafts-Software, mit Steuerungen, Sensoren und Maschinen in der Produktion vor. Dies erhöht jedoch das Risiko von Cyberangriffen auf Systeme in der Industrie. Abhilfe schaffen Sicherheitskonzepte, die unterschiedliche IT-Security-Ansätze miteinander kombinieren."Industrie 4.0" soll ein neues Zeitalter in der industriellen Fertigung einläuten. Der Begriff steht für die Vernetzung von computergestützten Maschinen- und Anlagen über das Internet sowie deren Ankopplung an andere IKT-Systeme (Informations- und Kommunikationstechnik). Der deutsche Hightechverband Bitkom schätzt, dass in Deutschland dank Industrie 4.0 bis zum Jahr 2025 allein in sechs Schlüsselbranchen Produktivitätssteigerungen in Höhe von insgesamt rund 78 Milliarden Euro möglich sind. Dies gilt für Automobilbau, Maschinen- und Anlagenbau, Elektro- und Landwirtschaftstechnik sowie die chemische Industrie. Angesichts des immer härteren internationalen Wettbewerbs kann kein Unternehmen auf solche zusätzlichen Wertschöpfungen verzichten. Im Blick zu behalten sind jedoch auch die neuen Risikofaktoren, die diese Vernetzung von Anlagen über das öffentliche Internet mit sich bringt. Risiken vernetzter Produktionsumgebungen Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2014 eine Aufstellung mit den Risikofaktoren veröffentlicht, die sich im Rahmen von Audits bei Industriesteuerungen in Deutschland identifizieren ließen. Auf den ersten beiden Plätzen rangierte die Infektion solcher Komponenten durch Schadsoftware, die über Internet, Intranet oder mobile Datenträger eingeschleppt wurde. Zudem gelten Fernwartungszugänge als problematisch, weil sie oft unzureichend abgesichert sind. Angreifer können darüber Zugang zur Fertigungsumgebung und möglicherweise zu anderen Netzwerksegmenten erlangen. Ebenfalls als potenziell gefährlich stuft das BSI Steuerungskomponenten mit Internet-Anbindung ein, die im Industrie-4.0-Konzept eine zentrale Rolle spielen. Gleiches gilt für die Verlagerung rechen- und speicherintensiver Aufgaben von Maschinen und Steuerungen in Cloud-Umgebungen. Beiden Faktoren ist laut BSI unter dem Aspekt IT-Sicherheit erhöhte Aufmerksamkeit zu widmen. Das BSI steht mit seiner Haltung nicht allein da. Die Beratungsgesellschaft Experton Group stellt fest, dass "ein besonderes Augenmerk bei Industrie 4.0 auf den Themen Security, Protection und Betriebssicherheit von intelligenten Produktionssystemen liegt, und dies quer durch alle beteiligten Disziplinen". Eine Herausforderung bestehe darin, dass eine Vielzahl von Sicherheitsaspekten zu berücksichtigen ist - etwa der Zugangs- und Angriffsschutz, die Informationssicherheit sowie die Einschränkung des Zugriffs auf Daten und Dienste. Wenig Problembewusstsein trotz hoher Priorität Besonders problematisch ist dabei, dass sich die Fachleute im Fertigungssektor nur eines Bruchteils dieser Faktoren bewusst sind. Denn Büronetzwerke und Internet waren bisher von Netzwerkstrukturen im Fertigungsbereich physisch strikt getrennt. Dies hatte zur Folge, dass nach Angaben des BSI das Thema IT-Security bei der Auswahl und Entwicklung zumeist proprietärer Software und Protokolle eine Nebenrolle spielte. Dabei gehören Kommunikationsschnittstellen bei vielen Systemen in der Industrie und Bereichen wie der Energieerzeugung längst zur Grundausstattung. Windkraftanlagen, Telekommunikationsanlagen oder Fördersysteme in der Erdöl-/Erdgas-Branche lassen sich heute in der Regel per Fernwartung überprüfen. Zu diesem Zweck verfügen diese Anlagen über Netzwerkschnittstellen - etwa eine Anbindung an Mobilfunknetze oder Outdoor-WLANs. In Fertigungsumgebungen mit Industrial-Ethernet-Infrastrukturen verfügen Maschinen und Bearbeitungszentren zudem in stärkerem Maß über klassische LAN-Schnittstellen, mit denen sie an industrietaugliche Switches angebunden sind. Solche Schnittstellen und die Daten, die darüber übermittelt werden, sind vor dem Zugriff Unbefugter zu schützen. Laut einer Studie des VDMA (Verband Deutscher Maschinen- und Anlagenbau) erlitten bereits 29 Prozent aller deutschen Unternehmen Produktionsausfälle durch Cyberangriffe und Sabotage. Häufig sind Büronetze das Einfallstor, über das Kriminelle Zugang zur Produktionsumgebung erlangen, denn die Fertigungssysteme sind an CRM-Software oder CAD/CAM-Programme in der Entwicklungsabteilung angebunden. Ein Angreifer kann sich somit von einem gehackten Arbeitsplatzrechner in der Buchhaltung bis zum Produktionszentrum "vorarbeiten". Kontextbezogene Sicherheit als wichtige Ergänzung Das BSI und IT-Sicherheitsunternehmen raten deshalb dazu, eine durchgängige Ende-zu-Ende-Sicherheit von Datentransfers in Industriebetrieben zu etablieren. Diese lässt sich mit einer starken Verschlüsselung erreichen. Speziell Daten, die im Intranet oder in einer Cloud-Umgebung gespeichert werden, sollten so dem Zugriff Unbefugter entzogen sein. Doch Verschlüsselung allein reicht nicht aus. In ein Sicherheitskonzept muss ein Unternehmen die eigenen Mitarbeiter und diejenigen externer Wartungsunternehmen sowie des Herstellers von Maschinen und Anlagen mit einbeziehen. Denn Instandhaltung und Wartung sind verstärkt auch an Externe ausgelagert. Laut der Untersuchung des Bitkom sind in 52 Prozent der Fälle aktuelle oder ehemalige Mitarbeiter Initiatoren von Angriffen auf IT-Systeme und Produktionsanlagen. An die 39 Prozent der Täter sind Wettbewerber, Lieferanten, Dienstleister und Kunden, die über spezielle Kenntnisse des Unternehmens verfügen - also Insider. Um Gefahren durch diese Gruppen zu unterbinden, ist ein ganzheitlicher IT-Sicherheitsansatz erforderlich, der kontextbezogene Informationen mit einbezieht. Denn es ist wichtig, Angriffe möglichst früh zu erkennen. Mittlerweile sind auf dem Markt Sicherheitslösungen verfügbar, mit denen sich ein Contextual-Security-Intelligence-(CSI-)Konzept umsetzen lässt. Dazu zählt beispielsweise Blindspotter von Balabit. Solche Lösungen nutzen eine Vielzahl von Informationsquellen und verarbeiten die Daten mithilfe spezieller Algorithmen. Anschließend stellen diese Sicherheitslösungen dem IT-Fachmann Optionen zur Verfügung, von einer schlichten Warnmeldung bis hin zu automatischen Reaktionen auf Vorkommnisse. CSI besteht aus mehreren Bestandteilen. Dazu zählen Systeme für "User Behavior Analytics". Sie erkennen Anomalien beim Zugriff auf IT-Systeme und verhindern automatisch schädliche Aktivitäten. Hinzu kommen Lösungen für die Überwachung privilegierter Zugriffe auf IT-Systeme und das Auswerten von Logdaten. Mithilfe einer CSI-Lösung kann ein Unternehmen diejenigen Komponenten einer Industrie-4.0-Umgebung absichern, die einen starken Bezug zur Informationstechnik haben wie etwa ERP- oder SCM-Anwendungen (Supply-Chain-Management), sowie klassische IT-Infrastrukturkomponenten wie Storage- und Netzwerksysteme, Datenbanken und Server. Mobile Systeme berücksichtigen Nicht zu unterschätzen ist bei einem Sicherheitskonzept für eine Industrie-4.0-Umgebung der Faktor Mobilität. In Produktionsbetrieben zählen laut BSI kompromittierte Smartphones zu den größten Risikofaktoren. Daher muss eine kontextbezogene Sicherheitslösung Zugriffe von mobilen Endgeräten auf Industrie-4.0-Systeme erfassen und nötigenfalls verhindern. Dies gilt für Tablets und Smartphones mit Schnittstellen zu Manufacturing Execution Systems (MES) sowie ERP-Lösungen, auf denen Industrial Apps installiert sind. Da Mobilsysteme zunehmend Standardbetriebssysteme wie Android oder Windows verwenden, laden Nutzer oft unwissentlich Spyware-Apps herunter. Diese sind darauf spezialisiert, Zugangsdaten zu zentralen Systemen im Unternehmen abzufangen und an Kriminelle weiterzuleiten. Eine kontextbezogenes Monitoring und die Auswertung der erfassten Daten können solchen Aktivitäten einen Riegel vorschieben. Kontextbezogen bedeutet dabei, dass eine Art "normales Nutzerverhalten" ermittelt wird, also wann und von welchen Systemen aus normalerweise Zugriffe auf IT-Systeme und Fertigungsanlagen erfolgen, welche Aktivitäten damit verbunden sind und von welchem physischen Standort aus ein Nutzer zugreift. Ungewöhnliche Aktionen, etwa der Zugriff auf eine Schnittstelle für die Fernwartung von einem Server in Fernost aus, werden registriert und den IT-Sicherheitsfachleuten mitgeteilt. Diese prüfen, ob der Zugriff legitim ist oder ein Angriffsversuch vorliegt. Fazit Ein Industriestandort wie Deutschland benötigt Industrie 4.0, um sich im Wettbewerb zu behaupten. Doch ohne umfassendes IT-Sicherheitskonzept lässt sich dieser Ansatz nicht umsetzen, allein deshalb, weil das Know-how deutscher Industrieunternehmen ein gefragtes Gut ist. Wichtig ist daher ein Ansatz, der aus der Flut von Logdaten und Informationen über das Verhalten von Nutzern die relevanten Ergebnisse herausfiltert und entsprechend interpretiert. Dies leistet ein Contextual-Security-Intelligence-System, und das bei einem akzeptablen Aufwand.
Lesen Sie mehr zum Thema
