Ein Büro-PC hält das Fließband an
Von Uli Ries
Üblicherweise reagieren Softwarehersteller – mehr oder weniger schnell – mit einem Update, wenn sie selbst Schwachstellen entdecken oder ein externer Zuarbeiter welche meldet. Mit Blick auf die IT-Sicherheit im Internet der Dinge (IoT) und in einer vernetzten Industrie 4.0 wird das zum ernsthaften Problem: Wie sollen diese Updates ihren Weg auf Gerätschaften finden, die in Haushalten unter der Decke montiert sind (Rauchmelder) oder in Tausende von Straßenlaternen, die dank Vernetzung und intelligenter Software auf freie Parkplätze hinweisen? Nicht jedes IoT-Endgerät hat einen bequemen Update-Mechanismus; etliche verlangen, dass der Eigentümer einen USB-Stick mit der neuen Software anstöpselt.
Auto-Updater fürs Umspannwerk?
Der Idealzustand wäre ein automatischer Software-Updater, der ohne Zutun des Anwenders alles Notwendige besorgt. Das ist schon allein deshalb wichtig, weil kaum ein Endverbraucher sich regelmäßig (und vor allem rechtzeitig!) bei sämtlichen Herstellern seiner Komponenten über neue Updates informiert. Dass dies ein ernsthaftes Problem ist, sieht man bereits jetzt an den weltweit millionenfach betriebenen DSL-Routern, die mit längst überholten, verwundbaren Softwareversionen im Internet hängen.
Industrie 4.0: Hält das Internet der Dinge Einzug in die Fertigung, dann lassen sich Produktionsvorgänge maßgeschneidert und vollautomatisch abwickeln. (Bild: Siemens)
Ohne Installation des Software-Flickens bleibt die Lücke weiter offen – ganz egal, wie schnell der Hersteller reagiert. Was im privaten Umfeld nach einem gangbaren Weg klingt, ist aber in Produktionsumgebungen aber ausgeschlossen. Hier darf kein Bit der Steuerungssoftware ohne ausführliche Tests verändert werden. Und selbst nach erfolgreicher Prüfung vergehen oft Monate bis zum Update. Denn ein Neustart der Industrierechner ist nur während eines der geplanten Wartungsfenster machbar – niemand hält die Kfz-Produktion an, um Updates auf die Steuer-PCs der Schweißroboter zu installieren.
Aus dem Web durchs Büro in die Werkshalle
Wenn die Industrie 4.0 Wirklichkeit werden soll, muss die bisher oft gelebte Trennung der IT in Office und Fertigung fallen. Nur so gelangen Daten eingehender Bestellungen oder die im Kundenauftrag von der Entwicklungsabteilung erarbeiteten Konstruktionen in die Fertigung. Das bedeutet aber auch, dass Attacken erheblich einfacher werden. Denn zum einen vergrößert sich die Angriffsfläche: Wo zuvor Lücken im zumeist gar nicht mit dem Internet gekoppelten Produktionsnetz ausgemacht werden mussten, genügt jetzt ein schlecht gesicherter Büro-PC oder ein sorgloser Mitarbeiter, der allzu lax mit USB-Sticks hantiert.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2015. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Zum anderen müssen die Angreifer ihre Schädlinge gar nicht gezielt auf Industriekomponenten abstimmen. Eine simple Windows-Malware, wie sie in Untergrundforen hundertfach zum Kauf angeboten wird, genügt, um mittels des infizierten Büro-PCs von außen auch Blicke ins Produktions- oder Steuerungsnetz zu werfen. Findet sich hier Lohnenswertes, können die Kriminellen immer noch Fachleute anheuern, die dann den ungleich komplizierteren Angriff auf die Industriegerätschaften starten.
Safety und Security kurzschließen
Damit es gar nicht erst zu einem Einbruch in die Industrie-4.0-Umgebung kommt, müssen sich IT und Fertigung verständigen. Das heißt auch: Es muss sprachliche Klarheit herrschen, betont Udo Schneider, Fachmann für IT-Sicherheit in Diensten des Sicherheitsanbieters Trend Micro. Er erlebt immer wieder, dass die Fachleute aneinander vorbeireden: Während die Produktionsexperten zwischen „Safety“ und „Security“ unterscheiden, sprechen die IT-Sicherheitsexperten stets von „Security“. Während die einen Schäden für Mensch und Umwelt verhindern wollen (Safety) und ihre Betrachtungen schon auf Ebene der Fertigungsprozesse ansetzen, haben die anderen Systeme wie das ERP (Enterprise Resource Planning) oder die Arbeitsstationen im Blick, die möglichst gegen Angriffe von außen gesichert werden sollen (Security). Beide Seiten attestieren einander, nichts von der Arbeit der anderen zu verstehen – was dann zwangsläufig zu mangelhafter Kommunikation und daraus folgenden Sicherheitsproblemen führt.
Digitalisierung: Die BITKOM-Experten prognostizieren ein spürbares Wachstum in fast allen Fertigungsbranchen, wenn die Anlagen intelligent vernetzt werden. (Bild: BITKOM)
Außerdem, so Schneider, gebe es einen großen Unterschied bei der Risikobewertung: Die Entwickler in der Industrie verfeinern schon in der Entwurfsphase die Produkte in Schleifen immer weiter, sodass am Ende ein vernachlässigbares Restrisiko beim Einsatz des Produkts bleibt. Dieses Restrisiko wird in der Dokumentation beschrieben, sodass im Prinzip jeder Anwender um die möglichen Gefahren weiß. In der IT-Welt ist ein solches Vorgehen schwer vorstellbar. Denn hier sind Änderungen am fertigen Produkt an der Tagesordnung. Es wäre nach jeder einzelnen Installation eines Software-Updates eine Neubewertung des ganzen Systems fällig.
Würden die Experten stattdessen von Anfang an akzeptieren, dass im Zeitalter der Vernetzung ohne das Wissen der anderen Seite keine sicheren Infrastrukturen zu bekommen sind und dass Zusammenarbeit unabdingbar ist, dann stünden die Chancen gut für tragfähige Problemlösungen. Ideal wäre es freilich, konstatiert Schneider, wenn Mitarbeiter Expertise aus beiden Bereichen – also aus Produktion bzw. Produktentwicklung und aus der Netzwerksicherheit – mitbrächten.
Teil 1 umreißt die Risiken einer vernetzten Welt: Wie kommen all die Messpunkte und Smart Devices an ihre Sicherheitsupdates? Teil 2 spitzt die Problematik weiter zu: In der Industrie 4.0 reden Safety und Security oft aneinander vorbei. Ein Sonderbeitrag sieht sich das Sicherheitslabor des Fraunhofer IOSB genauer an: Die Simulation kann Industrie-4.0-Sicherheitsstrategien für den Mittelstand am lebenden Modell testen.
Fertigung hinter der Firewall
Glücklicherweise müssen Unternehmen, die ihre frisch vernetzten Infrastrukturen schützen wollen, nicht darauf warten, dass jemand das Rad neu erfindet. Es gibt schließlich Security-Software. Der gute, alte Virenscanner und die klassische Next Generation Firewall, die sich heute um PC, Server und mobile Endgeräte kümmern, schützen auch die Produktionsumgebung. Auch dort sind zur Steuerung ja Rechner mit standardisierten Betriebssystemen am Start, deren Netzwerkverkehr sich auf Anomalien untersuchen lässt. Spezielle Industriekomponenten wie programmierbare Logikcontroller (PLC) oder Sensoren lassen sich auf diesem Weg jedoch nicht schützen.
Voraussetzung einer effektiven Gefahrenabwehr für die meist unter Windows laufenden Arbeitsstationen ist, dass Spezialisten die Schutzkomponenten im Auge behalten. Nur sie sind in der Lage, in den endlosen, langweiligen Log-Dateien und unübersichtlichen Dashboards die Angriffsnadel im Datenheuhaufen zu finden. Wo dieses Wissen im Unternehmen fehlt, stehen externe Dienstleister bereit. Einen gefährlichen Fehler begeht, wer glaubt, er könne ohne ständige Überwachung der Logfiles Angreifern auf die Spur kommen und sie sich vom Hals halten, indem er Sicherheitskomponenten einmal kauft und installiert.
Produzenten von netzwerkfähigen Komponenten tun gut daran, sich die Verfahren zu Gemüte zu führen, die sich der Software-Industrie zum Schreiben von sicherem Programmcode etabliert haben. Microsoft z.B. stellt seinen weltweit anerkannten Security Development Lifecycle (SDL) gratis zur Verfügung. Der SDL umfasst neben Tools zur Fehlersuche u.a. auch Best Practices, Vorgaben und Trainings für Entwickler sowie Maßgaben, wie im Falle eines Falles zu handeln ist. Und wenn ein Unternehmen auf die harte Tour lernen musste, wie fatal sich Programmierfehler auf Kundenzufriedenheit und Marktanteile auswirken können, dann ist es Microsoft.
Fazit: Für Sicherheit muss Zeit sein
Der Druck auf die Entscheider in den Unternehmen ist groß, sich intensiv mit den Möglichkeiten der Digitalisierung und Vernetzung aller Geschäftsbereiche zu befassen. Dennoch sollte niemand in Aktionismus verfallen. In den Chefetagen muss man sich die notwendige Zeit nehmen, um die Sicherheitsrisiken anstehender Veränderungen genau zu prüfen. Wenn bestehendes Wissen und die z.T. bitteren Erfahrungen aus dem Bereich der IT-Sicherheit von Anfang an berücksichtigt werden, lässt sich das Risiko folgenschwerer Fehler in Grenzen halten.
Dieser Beitrag ist auch als Titelgeschichte der auf Security fokussierten Ausgabe des Samsung-Kundenmagazins „Business Life“ erschienen. Als Anbieter von B2B-Lösungen adressiert Samsung mit dem Magazin IT-Entscheider in großen und mittelständischen Unternehmen unterschiedlicher Branchen. Das Magazin ist online und gedruckt unter www.samsung.com/de/business/businesslife/ abrufbar.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing