Security-Ingenieure und Safety-Programmierer
Von Uli Ries
Das Albtraumszenario ist wahr geworden – zum Glück (bisher) nur im Labor: Kriminelle manipulieren einen Schweißroboter in der Automobilproduktion und provozieren so Qualitätsmängel. Gleichzeitig machen sich die Angreifer an den Qualitätssicherungssystemen – also der Safety der Prozesse – zu schaffen, sodass die kritische Schwächung der Karosserie nicht auffällt. Fatale Ausfälle, Garantie- und sogar Todesfälle können daraus folgen.
Zwar fand der Angriff in einer realen Produktionsanlage statt. Die Hintermänner waren aber Spezialisten des produzierenden Unternehmens. Ihr Ziel: aufzuzeigen, wie kritisch die Zusammenarbeit zwischen den Experten für IT-Sicherheit (Security) und Produktsicherheit (Safety) ist. Auch wenn beides im Deutschen unter „Sicherheit“ läuft, sind die Unterschiede fundamental: Security will IT-Systeme und Maschinen vor dem Menschen schützen. Safety hingegen schützt den Menschen vor den Maschinen. Im Zeitalter von Industrie 4.0 geht es nur, wenn beide Gruppen zusammenarbeiten.
Angriffsvektoren mit Produktionswissen
Das Gleiche gilt jedoch auch im Untergrund: Um die eingangs beschriebene, perfide Manipulation des Systems durchzuziehen, ist ein Team nötig, das sowohl IT-Sicherheitsfachwissen mitbringt als auch intime Kenntnisse von Produktionsanlagen. Bislang wurden solche Gespanne aus hochqualifizierten Menschen mit kriminellem Hintergrund nur vermutet. Ende Dezember 2016 fanden Fachleute aber einen ersten Beleg für ein solches Team, das Teile des Stromnetzes im Norden der ukrainischen Hauptstadt Kiew zusammenbrechen ließ. Zum Einsatz kam eine Industroyer getaufte Schadsoftware, für deren Entwicklung exakte Kenntnisse der in Umspannwerken gängigen Steuerungskomponenten nötig waren. Der Angriff wurde also erst durch das Zusammenspiel aus IT- und ICS-Experten (Industrial Control Systems) möglich. Sollten Cyberkriminelle oder Terroristen solche Teams zusammenstellen, dann ist laut Eugene Kaspersky, Gründer des gleichnamigen Antivirenherstellers, „der Tag des Jüngsten Gerichts gekommen“.
Letztlich besteht kein Zweifel daran, dass subtilere Manipulationen von Produktionsprozessen zu Qualitätsproblemen führen könnten, die jenseits aller Kontrollmöglichkeiten rangieren. Unbestritten ist auch, dass sich in großen Produktionsunternehmen immer ein unzufriedener oder in Geldnot geratener Mitarbeiter findet, der Angreifern gegen Bestechungsgeld entweder Zugang zu den Produktionssystemen verschafft oder die Übeltäter mit Insiderwissen über die Feinheiten der jeweiligen Anlage versorgt. Feinheiten, wie sie zum Beispiel den eingangs genannten Angriff ermöglichen würden. Zu dessen Abwehr heute die gleichen Konzepte – beispielsweise ein SIEM (Security Information and Event Management) oder Security Incident Management – umgesetzt werden, wie sie in der Office IT bereits im Einsatz sind.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Sonderheft Industrial Security zur Hannover Messe Industrie 2018. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Kommunizierende Komponenten
Ist es also viel zu gefährlich, Produktionsanlagen zu vernetzen? Oder sogar schon zu spät, um bereits vernetzte Anlagen noch wirksam zu schützen? Die Antwort lautet in beiden Fällen: „Nein, ist es nicht.“ Zumal außer Frage steht, dass vernetzte Anlagen in einer Welt der Just-in-time-Produktion nötig sind, die sich zudem stärker in Richtung der von Kunden oft gewünschten Einzel- oder Kleinserienfertigung wandelt. Schon heute sind Produktionsmaschinen entweder ab Werk vernetzt, oder sie werden bei der Einführung eines MES (Manufacturing Execution Systems), eines Produktionsleitsystems also, nachträglich netzwerkfähig gemacht. Künftig wird dann auch jedes Werkzeug und wahrscheinlich jede Schraube vernetzt – und damit Teil des bevorstehenden Internet of Everything.
Dass der Industrie 4.0 die Zukunft gehört, ist heute jedem Vorstand und jeder Führungskraft klar. Die entscheidenden Fragen lauten anders: Haben Sie beim Vernetzten der Anlagen über die notwendige IT-Sicherheit nachgedacht? Wissen Sie, welche Ihrer Maschinen künftig mit welchen anderen Maschinen innerhalb und außerhalb Ihres Unternehmens kommunizieren? Und welche Datenflüsse nach drinnen und draußen stattfinden? Wie kann man diese Kommunikation sichern und vor allem überwachen?
Eine äußerst unangenehme Antwort könnte folgende Frage zutage fördern: Wissen Sie, ob sich in Ihrer Produktionsumgebung bereits Schadsoftware findet? Malware wie Havex, die seit Monaten oder gar Jahren in Ihrem IIoT-Netzwerk schlummert? Warum? Um Angreifern die erwähnte intime Kenntnis der jeweiligen Anlage zu vermitteln. Der Schädling tut quasi nichts anderes, als Komponenten in (vernetzten) Industrieanlagen zu kartografieren. Warum er das tut, ist bisher ebenso unklar wie die Frage, in wessen Auftrag Havex unterwegs ist. Aber eventuell dienen die Einblicke ja der Vorbereitung einer gezielten Attacke auf Schweißroboter.
Komplexes Beziehungsgefüge: Informationsfluss in der Industrie 4.0. (Bild: Plattform Industrie 4.0/BMWi)
Produktion im Penetrationstest
Wahrscheinlich können viele Führungskräfte diese Fragen nicht aus dem Stegreif beantworten. Denn es gilt bislang: IT-Sicherheitskonzepte für die Produktion sind nicht die Regel; viele Produktionsumgebungen sind in dieser Hinsicht Brachland. Die Konzentration galt anderen Themen. Es fehlt also oft schon an den Grundlagen, zu denen eine strikte Trennung von Produktions- und Office-Netzwerk gehört. Über Letzteres finden Angreifer in aller Regel ihren Weg zu den Steuerungssystemen der Produktionsanlagen.
So auch im Fall des ukrainischen Stromnetzbetreibers, dem 2015 eine Schadsoftware per E-Mail an einen Mitarbeiter untergeschoben wurde. In einem flachen Netz, in dem Endgeräte in der Verwaltung mit denen in der Produktion kommunizieren, ist dies der Anfang vom Ende. Wie sich Netze sinnvoll segmentieren lassen, beschreibt unter anderem der Leitfaden „IT-Security in der Industrie 4.0“, herausgegeben von der Plattform Industrie 4.0. Die Plattform wird getragen von Politik, Wirtschaft, Wissenschaft, Verbänden und Gewerkschaften. Insgesamt arbeiten 250 Akteure aus über 100 Organisationen aktiv in der Plattform mit.
Übersicht der für IT-Sicherheit und Industrie 4.0 relevanten Organisationen. (Bild: BMWi)
Ebenso grundlegend ist das Wissen darüber, welche Komponenten eigentlich mit einem Netzwerkanschluss in welchem Netzsegment zu finden sind. Denn nur was man kennt, sagt eine der Grundregeln des Risikomanagements, kann man auch schützen. In aller Regel finden externe Sicherheitsberater (ethische oder auch White-Hat-Hacker genannt) durch Penetrationstests alle Gerätschaften. Und das schnell, da sie nicht betriebsblind an die Sache herangehen. Wichtig ist durch einen solchen Test zu erkennen, welche Datenflüsse eigentlich im Netzwerk anzutreffen sind. Mit anderen Worten: Welche vernetzte Maschine hat auf welche Abläufe Einfluss? Und welche Folgen können drohen, wenn diese Maschine direkt oder indirekt angegriffen und lahmgelegt wird?
Netzwerk in der Simulation
Einen immens wichtigen Punkt sollten Verantwortliche aber vor einem solchen Test im Blick behalten: „Manche Maschinen reagieren sehr empfindlich auf Datenströme, wie sie die für den Test notwendige Software sendet. Ein simpler Netzwerkscan kann zu einem weitflächigen Ausfall von Steuerkomponenten führen“, sagt Marco Di Filippo, Head of Cyber Security Engineering bei der Koramis GmbH. Dies liege daran, dass viele Prozesse in der Anlage aufeinander aufbauen und es Abhängigkeiten gibt. Di Filippo hat solche Abstürze durch Scans im Auftrag von Kunden bereits mehrfach provoziert. Im Zweifel gelte es, den Test in einer Laborumgebung mit Teilen der Anlageninfrastruktur vorab zu simulieren, um unliebsame Überraschungen beim Einsatz in der Produktionsumgebung zu verhindern. Der Aufwand ist in so gut wie allen Fällen gerechtfertigt und dürfte allerorten für Betroffenheit sorgen.
Die Netzwerksicherheit ist aber nur ein Baustein. Mindestens ebenso wichtig ist, dass die Produktionsplanung im Unternehmen die Ausschreibung neuer Gerätschaften und Lösungen mit den Kollegen aus dem IT-Sicherheitsteam diskutiert. Nur so fließen die notwendigen Sicherheitsanforderungen ins Lastenheft mit ein. Und nur so lässt sich nach Installation, aber vor der Inbetriebnahme der Anlagen prüfen, ob die Vorgaben eingehalten wurden. Denn in aller Regel fehlt den Produktionsspezialisten das hierfür notwendige Fachwissen. Was nicht weiter verwunderlich ist, da dieser Teilbereich in ihrem Berufsalltag bisher keine Rolle spielte.
Teil 1 ist eine Einführung in die schöne neue Welt der „intelligenten“ Produktion, mit all ihren Chancen, all ihren Risiken. Teil 2 rührt an den empfindlichen Punkt des Konzepts: die Standards. Außerdem muss klar sein, dass die Fertigung dann Schutz vor Viren, Würmern und Hackern braucht. Teil 3 prüft, wo mittelständische Unternehmen am besten auf den anrollenden Zug aufspringen können. Eine interssante Möglichkeit sind Forschungskonsortien und Kooperationen mit Hochschulinstituten.
Argumentation mit White-Hat-Attacken
Um die Sicherheitsanforderungen aber passgenau zu formulieren, muss nicht nur IT-Sicherheitsexpertise mit an den Verhandlungstisch, sondern auch die Denkweise, mit der sich potenzielle Angreifer an die Anlage heranmachen würden. Diese Denkweise ist Produktionsfachleuten nachvollziehbarerweise ebenso fremd wie das Bewusstsein dafür, welche Probleme ein erfolgreicher Angriff verursachen kann. Zudem sollten die IT-Sicherheitsexperten den Kollegen aus der Produktion das Wissen mitgeben, mit welchem Mehraufwand und welchen Mehrkosten die Sicherung der Umgebung einhergeht. Und natürlich sollten die Vertreter der IT-Sicherheit die Planer und die mit Ausschreibungen betrauten Kollegen auch schulen, sodass im Lauf der Zeit immer weniger Zuarbeit beim Verfassen der Lastenhefte nötig wird.
Wie aber schaffen es die IT-Sicherheitsverantwortlichen, Zugang zur Produktionsplanung zu bekommen? Letztlich müssen die Sicherheitsfachleute hierzu mehrerlei unter Beweis stellen: Sie müssen den Mehrwert der von ihnen vorgeschlagenen Maßnahmen belegen oder zumindest glaubhaft beschreiben können. Hilfreich sind hierbei unter anderem Penetrationstests, die Lücken in den vorhandenen Sicherheitsmechanismen dokumentieren. Wenn die White-Hat-Hacker nach dem Test belegen, wie sie sich am Sicherheitsdienst vorbei Zutritt verschafft und anschließend in den Büros der Produktionsmitarbeiter die am Monitor klebenden Haftnotizen mit vertraulichen Passwörtern fotografiert haben, sorgt das für immense Glaubwürdigkeit.
Außerdem müssen die IT-Sicherheitsexperten demonstrieren, dass sie die Belange der Produktion verstehen. Dass ihnen also beispielsweise der Unterschied zwischen der in der Produktion wichtigen „Safety“ und der im IT-Umfeld unabdingbaren „Security“ bewusst ist. Macht die IT-Sicherheit glaubhaft, dass sie mit ihrem Tun die Ziele der Produktion unterstützt und keine Probleme bereitet, öffnet das Türen. Stückzahlen und Laufzeiten der Maschinen müssen auch nach Integration von Sicherheitsmaßnahmen stimmen. Ist dies sichergestellt in der „Fabrik ohne Grenzen“, dann steht der Zusammenarbeit von IT und Produktion nichts im Weg.
Grenzenlos offene Lieferketten
Die Problematik von Sicherheitskonzepten für die Produktion wird noch durch einen weiteren Umstand verschärft: Es gibt im Moment keine industrieweiten Standards oder Best Practices, mit deren Hilfe sich die IIoT-Herausforderungen angehen ließen. Offen ist beispielsweise, wie sich die diversen Datenströme, die in der Produktion entstehen, weitgehend automatisiert überwachen lassen. Automatisierung ist nötig, da die Datenmengen beträchtlich sind. Wer bewertet anhand welcher Kriterien, ob einzelne Datenpakete gut- oder bösartig sind? Noch schützt die Komplexität der Anlagen vor gezielten, verheerenden Angriffen. Aber spätestens dann, wenn das notwendige Produktionsfachwissen für solche Angriffe nicht mehr nur staatlich finanzierten Hackergruppen zur Verfügung steht, sondern auch gewöhnlichen Cyberkriminellen, dürfte es zu deutlich mehr Angriffsversuchen kommen.
Eventuell liefert die bereits erwähnte Havex-Malware die digitalen Landkarten, mit deren Hilfe Kriminelle dann gezielt Anlagen manipulieren und deren Betreiber erpressen können. Es gibt also ein Rennen zwischen Angriff und Verteidigung – das die Verteidigung durchaus noch für sich entscheiden kann. Wenn sie dabei eines bedenkt: Auch eine nahezu perfekt konzipierte IT-Umgebung in der eigenen Produktion nutzt wenig, sobald die Grenzen des Netzwerks verschwimmen und Maschinen auch nach außen kommunizieren müssen. Die Kommunikation all der zum Internet der Dinge gehörenden Teile beschränkt sich nicht auf die Grenzen der jeweiligen Produktionsumgebung, sondern findet beispielsweise auch zwischen Zulieferer und Abnehmer statt. Oder vernetzte Produktionsmaschinen kommunizieren mit einem Cloud-Dienst, um Einblick in ihren Status und per Predictive Maintenance Ausblick auf einen eventuell drohenden Ausfall zu geben. In einem solchen Fall genügt unter Umständen ein angreifbarer Zulieferer, um über diesen Umweg ans eigentliche Ziel zu gelangen. Beispiele für solche Supply-Chain-Attacken gibt es etliche.
Im Rahmen einer Sicherheitsstrategie für das Internet der Dinge darf also ein strenger Blick auf die Konzepte und Maßnahmen der Zulieferer nicht ausbleiben. Wer nur vor der eigenen Türe kehrt, der vertut Zeit und Geld. Denn wenn beispielsweise die Produktionsmaschinen zu Wartungszwecken eine Verbindung zum Hersteller aufbauen (Remote Maintenance), gibt es einen Datenweg von außen in die Produktionsumgebung des Anwenderunternehmens.
Unterwegs zu gemeinsamen Standards
Es müssen also alle Parteien an einem Strang ziehen und ihre jeweiligen Umgebungen absichern. Nur wenn alle Beteiligten gemeinsam überlegen, wie sichere Kommunikation in vernetzten Produktionsanlagen funktionieren kann, wird das Streben von Erfolg gekrönt sein. Ein einsames Vor-sich-hin-Arbeiten, wie es jahrelang im Umfeld der Office-IT-Sicherheit üblich war, klappt bei den unternehmensübergreifend vernetzten Anlagen nicht mehr. So muss beispielsweise ein Kommunikationsstandard entwickelt werden, auf dessen Basis Roboter und Maschinen ihre Daten nach draußen schicken, sei es zum Hersteller, der Predictive Maintenance anbieten will, oder zum Zulieferer, der rechtzeitig über den zur Neige gehenden Werkstoff informiert werden soll.
Kocht hier jeder Anbieter sein eigenes Süppchen, ergeben sich zwei größere Problemfelder: Zum einen entbrennt die Diskussion darüber, wem eigentlich die von den vernetzten Maschinen erzeugten Daten gehören – dem Hersteller, dem Anwender oder dem Anbieter des Cloud-Dienstes? Zum anderen machen es die Alleingänge den IT-Sicherheitsspezialisten beim Anwender sehr schwer: Typischerweise finden sich Maschinen verschiedener Hersteller in einer Umgebung. Da quasi jedes dieser Modelle eine eigene Sprache spricht, wird das Aufspüren von Anomalien in der Netzwerkkommunikation zum Geduldsspiel. Das Erkennen dieser Anomalien ist aber immens wichtig, da Experten so den entscheidenden Hinweis auf einen erfolgreichen Angriff geben können. Konkret: Kommunizieren plötzlich zwei Maschinen miteinander, die vorher noch nie Daten austauschen mussten, kann das ein Hinweis sein. Oder die Tatsache, dass einer Maschine Daten zugeleitet werden, die an sich gar nicht zum Erledigen der Aufgaben notwendig sind. Gäbe es ein solches standardisiertes Kommunikationsprotokoll, würde nicht nur die Jagd nach den Angreifern erleichtert. Anwender könnten sich auch leichter Leitstände bauen, die per Dashboard den Zustand aller Maschinen anziehen – unabhängig von deren Hersteller. Die beiden wichtigsten herstellerunabhängigen Industriestandardkonzepte sind AutomationML und OPC UA (Unified Architecture).
Zweisprachige Sicherheitsbeauftragte
Zwar gibt es derzeit keine passgenaue Lösung für die komplexeren Probleme, die als Folge der unternehmensübergreifenden Vernetzung entstehen. Dennoch darf kein Weg an der Vernetzung vorbeiführen. Selbst wenn es noch nicht auf alle Fragen eine befriedigende Antwort gibt. Denn nur wenn produzierende Unternehmen und Zulieferer Erfahrungen durch reale Installationen sammeln, können sie auch praxisgerechte Lösungsvorschläge erarbeiten. Nur wer loslegt, erfährt, welchen Vorteil eine Cloud-gesteuerte Maschine hat und wie sich deren mögliche (negative) Einflüsse steuern lassen.
Natürlich kann man nicht „einfach so loslegen“. Das würde schon am berechtigten Widerstand der Produktionsfachleute scheitern. Letztendlich kommt kein produzierendes Unternehmen mehr ohne eine neue Stelle aus: Der Produktionsbereich benötigt einen eigenen Sicherheitsverantwortlichen, quasi einen CPISO (Chief Production Information Security Officer). Diese Person muss natürlich zweisprachig sein und gleichermaßen Safety und Security verstehen. Der von der Plattform Industrie 4.0 erarbeitete Leitfaden beschreibt auch die Fähigkeiten detaillierter, die ein solcher Industrial Security Officer mitbringen muss. Und er geht auch auf das ein, was alle (Fertigungs-)Unternehmen in den kommenden Jahren am dringlichsten brauchen: kompetente Mitarbeiter. Ohne Training, Fort- und Weiterbildung kommt kein Unternehmen an die Mitarbeiter, deren Fachwissen künftig erfolgreiche Angriffe auf Schweißroboter verhindert.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
