Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 14. Dezember 2017

Messe SPS/IPC/Drives

IT-Sicherheit in der Produktion: Ohne ist der Wurm drin

Von Oliver Klempert | 29. November 2013 | Ausgabe 48

In den Büros ist das Thema IT-Security bereits vor Jahren angekommen. Viele Industriebetriebe hingegen haben es lange vernachlässigt. Dabei sind die Fabriken vor Attacken aus dem Netz keinesfalls sicher. Im Gegenteil, die Gefahren nehmen zu.

IT-Sicherheit
Foto: M. Ciupek

Zunehmend sensibel: Für Anlagenbetreiber und Industrieausrüster gewinnt das Thema IT-Sicherheit an Bedeutung. Das wurde auch in den Nürnberger Messehallen deutlich. Im Bild der Stand des Firewall-Herstellers Genua.

Die Industrie ist sensibilisiert. Spätestens seit den schlagzeilenträchtigen Virenangriffen etwa durch den Computerwurm Stuxnet ist klar, dass auch die Produktionsanlagen vor IT-Angriffen geschützt werden müssen.

Dies bestätigt zudem eine Studie des TÜV Süd zum Thema Industriespionage im Jahr 2012. Über 60 % der Befragten waren davon überzeugt, dass ein Angriff auf ihr Unternehmen einen fühlbaren finanziellen Schaden nach sich ziehen würde. Mehr als 45 % halten einen Angriff auf ihre Steuerungsanlagen sogar für unternehmensgefährdend. Bereits im Jahr 2010 betrug die durchschnittliche Schadenssumme bei betroffenen Unternehmen rund 300 000 €.

Sicher ist: Mit zunehmender Vernetzung und Komplexität nimmt auch die Bedrohung für Industrieanlagen zu – Datenzugriffe erfolgen unternehmensweit und nicht mehr über in sich geschlossene Netze. Störfälle in einem Netz können daher andere Netzwerke und dadurch Produktionsanlagen beeinflussen.

Mehr noch: Rund 96 % aller erfolgreichen Angriffe setzen keine tiefer gehenden technischen Kenntnisse voraus. Im Gegenteil: Der Mangel an integrierten IT-Security-Konzepten in Automatisierungssystemen und Produktionsanlagen erleichtere sogar gezielte Angriffe, stellte ein Forschungsteam des Sicherheitsspezialisten "Positive Technologies" in einer Studie fest. So sei ein typischer Angriffspunkt vor allem die unzureichende Trennung von Systemen mit unterschiedlichem Schutzbedarf.

Das grundlegende Problem: Meist übernehmen Firmen Sicherheitslösungen aus dem Office-Bereich durch das hausinterne IT-Team in ihre Produktionsprozesse. Doch können solche Sicherheitskonzepte nicht einfach auf die Automatisierungswelt übertragen werden. Zu verschieden sind die Anforderungen.

Bei den IT-Systemen stehen der Datendurchsatz und die Zuverlässigkeit der Datenübertragung im Fokus. Verzögerungen in der Datenübertragung sind zwar tolerabel, allerdings erfordern viele technische Prozesse einen kontinuierlichen Anlagenbetrieb und damit einen unterbrechungsfreien Betrieb der Automatisierungssysteme. Ein lediglich minutenlanger Maschinenausfall kann bereits Kosten von mehreren Tausend € zur Folge haben. Mögliche Fristversäumnisse oder Vertrauensverlust bei Kunden sind kaum zu beziffern.

Voraussetzung für die Implementierung geeigneter Schutzmaßnahmen ist in jedem Fall eine abgestimmte Vorgehensweise zwischen IT-Abteilung und Produktion sowie eine klare Aufteilung der Verantwortlichkeiten. Doch inwieweit kennen die Hersteller die Anforderungen und das organisatorische Umfeld des Anwenders? Wissen Anwender ihrerseits, welche Security-Eigenschaften die Produkte besitzen und unter welchen Randbedingungen diese zum Einsatz kommen können? Häufig ist das gegenseitige Verständnis für die jeweiligen Kenntnisse, Erfahrungen und Fähigkeiten noch unzureichend ausgebildet.

Das Wissen um Schutzziele, Schwachstellen und Bedrohungen ist also entscheidend, um potenzielle Gefahren beurteilen und passende Lösungen entwickeln zu können. Sicherheit in der Produktion – ein Gemeinschaftsprojekt.

Aus diesem Grunde entwickelt etwa der TÜV Rheinland IT-Security-Lösungen immer in Abstimmung mit den Produktionsleitern und Anlagenbetreibern. "Die Informationssicherheitsspezialisten sprechen dieselbe Sprache wie die Produktionsverantwortlichen und kennen die Besonderheiten von Fertigungsnetzwerken", sagt Daniel Hamburg, Head of Security Engineering, TÜV Rheinland i-sec.

Gleichwohl: Die Ergebnisse, zu denen der TÜV Rheinland bei seinen Bestandsaufnahmen mitunter komme, seien bisweilen abenteuerlich: "Oft ist statt des verantwortlichen Produktionsleiters die IT-Abteilung eines Unternehmens mit der Anlagensoftware beauftragt – ohne die Erfordernisse der Industrieanlagen wirklich zu kennen", sagt Hamburg.

Mehr noch: Manche Unternehmen berücksichtigten die Produktionsnetze bei der IT-Sicherheitsplanung gar nicht erst. "Oder sie glauben, die Security-Lösungen aus der Bürowelt einfach auf die Steuerungs- und Leittechnik in der Produktion übertragen zu können.

Hinzu kommt ein strukturelles Problem: Häufig ist von der Office- bis zur Produktions-IT alles miteinander verknüpft. "Das mag auf den ersten Blick große Chancen fürs Controlling bieten, ist aber meist mit erhöhtem Sicherheitsrisiko verbunden", so Hamburg.

"Der Zentralverband Elektrotechnik- und Elektronikindustrie ZVEI hat die wachsende Bedeutung der IT-Security in der industriellen Automatisierung schon vor etwa zehn Jahren erkannt", betont Reinhard Hüppe, Geschäftsführer des Fachverbandes Automation. Der ZVEI hat den Lenkungskreis IT Security in der Automatisierungstechnik ins Leben gerufen. "Eine wesentliche Aufgabe in unserem Verband ist es, die Unternehmen für das Thema zu sensibilisieren und die Erkenntnisse mit daraus folgenden Aktivitäten zum Beispiel auf der SPS/IPC/Drives in Nürnberg zu erklären", sagte Hüppe.

Zu den in der industriellen IT-Sicherheit aktiven Unternehmen zählt etwa Genua mit Sitz in Kirchheim. Aktuell bearbeitet das Unternehmen allein 30 Projekte in diesem Bereich. "In der Regel geht es darum, den Fernzugriff für die Wartung und Steuerung von Industrieanlagen abzusichern", erläutert Geschäftsführerin Michaela Harlander. Hierzu gehören einerseits der Schutz der Kommunikation durch starke Verschlüsselungsmechanismen, anderseits Systeme, die sicherstellen, dass Fernzugriffe nur unter genau kontrollierten Bedingungen ablaufen können.

In der Zusammenarbeit zeige sich dabei oft, dass die Ansprechpartner in den Betrieben keine IT-Sicherheitsspezialisten seien. "Ebenso wenig haben wir schon jede Problemstellung gesehen, vor denen die verschiedenen Betriebe stehen", so Harlander. "Deswegen findet im Vorfeld ein intensiver Informationsaustausch zwischen den Ansprechpartnern der Betriebe und unseren Projektteams statt. So wird gemeinsam eine für den Kunden passende Lösung erarbeitet."

Das Verständnis auf beiden Seiten sei zwar grundlegend vorhanden, es gebe aber noch Nachholbedarf. "So ist es im IT-Bereich selbstverständlich, dass Systeme in kürzesten Abständen durch das Einspielen von Patches auf den neuesten Stand gebracht werden. Dies spiegelt die extrem kurzen Innovationszyklen im IT-Bereich wider", erklärt Harlander.

Im industriellen Umfeld hingegen stehe die Sicherheit mit strikten Regelungen, die gerade keine Änderung an bestehenden Systemen gestattet, im Konflikt. "Hier braucht es einerseits das gegenseitige Verständnis, anderseits intelligente Lösungen zum Beispiel auf Basis von Separationssystemen, die beides ermöglichen."

Das alles ist ein weites Feld – und sicher ist: Die Stichworte "Sichere Produktionsnetze" und "Sichere kritische Infrastrukturen" werden die IT-Branche in den nächsten Jahrzehnten noch intensiv beschäftigen. OLIVER KLEMPERT

stellenangebote

mehr