Herr Hermann, im Zuge der digitalen Transformation werden Maschinen und Anlagen zunehmend miteinander vernetzt. Welche Herausforderungen bringt das für die Security von Industrieunternehmen mit sich?
Früher waren Industrieanlagen ein abgeschotteter Kosmos. Dadurch konnte man sie relativ leicht vor Bedrohungen von außen schützen. Das ändert sich jetzt grundlegend. Durch die Vernetzung mit der Unternehmens-IT und dem Internet gibt es plötzlich viele mögliche Einfallstore für Hacker. Angriffsszenarien, die bisher nur die IT betrafen, sind jetzt auch für die OT relevant. Ein Beispiel: Wenn ein Cyberkrimineller sich in den Computer eines Produktionsleiters hackt, könnte er bis zur Anlagensteuerung vordringen, sie manipulieren und die komplette Produktion lahmlegen.
Welche Gefahren drohen Industrieanlagen durch Hacker und Malware?
In jüngster Zeit hat vor allem Ransomware für Aufsehen gesorgt, also Malware, die Systeme verschlüsselt. Damit versuchen Cyberkriminelle, Lösegeld zu erpressen. Im Sommer 2017 wurde zum Beispiel das Milka-Werk in Lörrach Opfer des Kryptotrojaners Petya und musste deshalb alle Systeme herunterfahren. Tagelang standen die Bänder still. Auch der dänische Reederei-Konzern Maersk war von der Malware betroffen und hatte Umsatzeinbußen in Höhe von fast 300 Millionen US-Dollar. Solche Ransomware-Angriffe werden wir im industriellen Umfeld künftig sicher noch häufiger sehen.
Was sind die derzeit häufigsten Angriffsarten auf Industrieunternehmen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das einmal untersucht. Dabei fällt auf, dass sich die zehn häufigsten Bedrohungen für Indus
trieanlagen kaum von den Angriffsszenarien auf IT-Netzwerke unterscheiden. Ganz oben auf der Liste steht Social Engineering und Phishing. Auf Platz zwei folgt das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware. An dritter Stelle kommt die Infektion mit Schadsoftware über Internet und Intranet, gefolgt vom Einbruch über Fernwartungszugänge.
Ist es überhaupt noch sinnvoll oder möglich, bei der Security zwischen IT und OT zu unterscheiden?
Da beide Bereiche im Rahmen von Industrie 4.0 zusammenwachsen, müssen auch Security-Konzepte für Produktionsanlagen beides umfassen. Die OT kommt ohne IT-Security nicht mehr aus. Aber auch die IT-Security benötigt spezielles OT-Know-how. Die Verantwortlichen müssen zum Beispiel genau wissen, wie eine Anlage aufgebaut ist, wie sie verkabelt ist oder welche Protokolle sie spricht. Denn all das beeinflusst auch, wo und wie ich entsprechende Security-Produkte platzieren kann und wie sich die Anlage in ein Gesamtkonzept einbinden lässt.
Wie ist es um das IT-Fachpersonal für Security in den Firmen bestellt? Gibt es ausreichend Experten, die sich um die Security im Unternehmen kümmern können?
Dass IT-Security-Experten derzeit heiß begehrt sind, ist kein Geheimnis. In Zeiten des Fachkräftemangels geeignete Mitarbeiter zu finden ist schwer. Gerade kleinere und mittelständische Unternehmen können es sich oft auch nicht leisten, eigenes Security-Know-how aufzubauen. Bei der Absicherung von Industrieanlagen kommt noch erschwerend hinzu, dass die OT- und IT-Abteilungen sich meist nicht besonders gut verstehen. Sie stammen aus unterschiedlichen Welten und sprechen aus diesem Grund verschiedene Sprachen. Deshalb ist es gerade bei Industrie 4.0 empfehlenswert, einen externen Spezialisten ins Haus zu holen. Er kann beide Welten zusammenbringen und verfügt über das nötige Know-how, um ein umfassendes Sicherheitskonzept zu entwickeln.
Gerade in der Prozessindustrie kommen viele, zum Teil höchst sensible Verfahren zum Einsatz. Unbefugte Eingriffe in Sensor- und Aktorsysteme können schnell zu Unfällen, Personenschäden und großen finanziellen Ausfällen führen. Wäre es nicht besser, kritische Systeme gar nicht erst mit der restlichen Anlage zu vernetzen?
Dann würde man auch auf die ganzen Vorteile von Industrie 4.0 verzichten. Wer wettbewerbsfähig bleiben will, kann sich das eigentlich nicht leisten. Es geht ja letztlich darum, den Produktionsprozess flexibler und individueller zu gestalten und insgesamt die Effizienz zu steigern. Zwei Beispiele hierfür: Maschinen können selbst feststellen, welche Rohstoffe sie benötigen, und diese dann ohne menschliche Interaktion im ERP bestellen. Auch lassen sich individuelle Kundenwünsche durch Automatisierung kosteneffizient produzieren.
Lassen sich bewährte IT-Sicherheitslösungen einsetzen, um auch die OT-Ebene vor Angriffen zu schützen?
Netzwerksicherheit stellt man mit Firewalls her – das ist in der OT genau wie in der IT. Aber man braucht für den Einsatz im industriellen Umfeld Security-Produkte, die darauf optimiert sind. Herkömmliche IT-Sicherheitslösungen eignen sich nicht. Das fängt schon damit an, dass Produktionsanlagen und IT-Netzwerke unterschiedliche Protokolle sprechen. Das heißt, eine Enterprise-Firewall kann gar nicht mit einem OT-Netzwerk kommunizieren. Zudem gibt es im industriellen Umfeld noch keinen einheitlichen Kommunikations-Standard. Deshalb müssen Sicherheitskomponenten immer auf die jeweiligen Protokolle im Maschinenpark abgestimmt werden.
Welche weiteren Anforderungen müssen Sicherheitslösungen auf Ebene der Feldgeräte und der OT erfüllen?
Da gibt es einiges. Sie müssen zum Beispiel die extremen äußeren Einflüsse in einer Produktionsumgebung verkraften, etwa Hitze, Kälte oder Staub. Eine andere Herausforderung ist die geforderte Geschwindigkeit. Eine Firewall analysiert ja den Netzwerkverkehr und verursacht dadurch immer eine gewisse Zeitverzögerung. Im Enterprise-Umfeld fällt es nicht weiter auf, ob eine Webseite in 3 oder 2,6 Sekunden lädt. Produktionsanlagen erwarten dagegen Antwortzeiten im Millisekundenbereich. Außerdem braucht man geeignete Funktechnologie, die in der anspruchsvollen Umgebung robust funktioniert. Denn in weitläufigen Maschinenparks kann man keine Kabel verlegen. Und nicht zuletzt müssen sich die Sicherheitssysteme aus der Ferne steuern und managen lassen. Schließlich laufen die Produktionsmaschinen rund um die Uhr, und da kann nicht immer ein Systembetreuer vor Ort sein.
Was sind die zentralen Faktoren, die man beachten muss, um ein umfassendes Security-Konzept für vernetzte Industrieanlagen zu erstellen?
Am Anfang sollte immer eine Bestandsaufnahme erfolgen. Wichtige Fragen sind zum Beispiel, welche Maschinen und Sensoren es gibt, welche Protokolle sie sprechen und welche Geräte untereinander kommunizieren müssen. Gibt es zudem spezielle Unternehmensanforderungen oder gesetzliche Vorgaben, die einzuhalten sind? Daraus ergibt sich ein Anforderungskatalog. Jetzt geht es darum, diesen bestmöglich technisch umzusetzen. Parallel dazu sollte man begleitende Policies und Richtlinien entwickeln. Sie regeln zum Beispiel, wie Berechtigungen vergeben werden oder welche Prozesse greifen, wenn einmal ein Sicherheitsvorfall eintritt. Ganz wichtig sind zudem Maßnahmen zur Mitarbeitersensibilisierung. Denn die beste Firewall bringt nichts, wenn Menschen auf Social Engineering oder Phishing-Attacken hereinfallen.
Wie kann Axians seinen Kunden helfen, Netzwerke und IT-Infrastruktur sicher zu gestalten?
Die Absicherung von vernetzten Industrieanlagen verlangt IT- und OT-Expertise gleichermaßen. Herstellerunabhängige Berater und Systemintegratoren wie Axians, in Zusammenarbeit mit dem Automatisierungsspezialisten Actemium, bringen beides mit. Die Konzernschwestern der Vinci Energies vereinen dadurch beide Welten und können Unternehmen umfassend bei der Entwicklung und Umsetzung ihres Sicherheitskonzepts unterstützen.