Die Sicherstellung der Verfügbarkeit in Fertigung und Produktion ist unabdingbar, denn neben deren Bedeutung im Sinne der Echtzeit-Anforderung ergibt sich hier noch eine weitere Dimension: Während der Betriebsablauf im Büro nicht komplett zusammenbricht, wenn eine Kommunikation auf elektronischem Wege zeitweise nicht möglich ist, hat ein Ausfall der IT in der Produktionshalle zumeist – vor allem in monetärer Hinsicht – massive Folgen. Auf diese Gefahr wird explizit im aktuellen Lagebericht zur IT-Sicherheit vom BSI hingewiesen. Dieser besagt, dass die Störungen industrieller Steuerungsanlagen gravierende Auswirkungen in Form von Stromausfällen oder Beeinträchtigungen von Produktions- und Logistikprozessen haben.
Diesem Aspekt sollte bei der Analyse der Sicherheitsbedingungen im Umfeld von Industrie 4.0 eine hohe Priorität eingeräumt werden. Denn daraus lässt sich unter anderem ableiten, dass aufgrund der durchgängigen Vernetzung und der daraus resultierenden Abhängigkeiten innerhalb der dynamischen Wertschöpfungsnetzwerke kein Teilbereich in der Prozesskette isoliert analysiert oder gar vernachlässigt werden kann. Die Notwendigkeit einer methodischen Vorgehensweise ergibt sich unter anderem daraus, dass seit einigen Jahren vermehrt systematisch Attacken gegen Steuerungsanlagen in der Produktion ausgeführt werden. So ist die Größenordnung des tatsächlich ermittelten Verlust aufgrund von Cyberkriminalität auch beträchtlich: Allein im Jahr 2017 wurden hierdurch nach Angaben des Bundeskriminalamtes (BKA) etwa 51 Millionen Euro Schaden alleine in Deutschland verursacht. Die Dunkelziffer dürfte weit höher liegen.
Das Angriffe auf Unternehmen zunehmend mittels Ransomware verübt werden, wurde bereits vor zwei Jahren in dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2015“ vom BSI erläutert. Ein entsprechender Hinweis, dass Ransomware zu einer lukrativen Möglichkeit für Cyberangreifer geworden ist, findet sich entsprechend auch wieder im aktuellen Bericht. Vielfach steht hierbei insbesondere der Mittelstand im Fadenkreuz der Angreifer, weil er ein lohnendes Ziel darstellt. Denn viele Firmen, die nicht unter das KRITIS-Gesetz fallen, tolerieren eher den finanziellen Verlust bei einem längeren Ausfall statt in Schutzmaßnahmen zu investieren und sind eher dazu bereit, sofort die geforderten Erpressungsgelder zu bezahlen, nur damit ein Vorfall nicht in die Öffentlichkeit gelangt.
Investitionen in Schutzmaßnahmen lohnen sich
Diese Denk- und Handlungsweise führt insgesamt jedoch auch dazu, dass hier durch alte Malware-Programme nach wie vor großer Schaden angerichtet werden kann, wie beispielsweise mit Conficker, einem der ältesten und bekanntesten Schädlinge, von dem noch immer Mutationen im Umlauf sind. Obwohl längst entsprechende Sicherheitspatches und Virensignaturen zur Verfügung stehen, werden diese, teils aus Unkenntnis, teils aufgrund des damit verbundenen, auch finanziellen, Aufwands, in der Fertigung selten eingesetzt. Doch ungeschützte Leitsysteme sind gute Angriffsziele, weil sich innerhalb der bestehenden, historisch gewachsenen, Netzwerkstrukturen, die viele Freigaben beinhalten, Malware in Sekunden verteilt. Im schlimmsten Fall kann hier letztendlich ein Totalverlust entstehen, selbst wenn durch die gezielte Attacke nur der Ausfall von Teilkomponenten anvisiert war. Grund dafür ist, dass die Prozessketten heute extrem eng verknüpft sind. Hierfür gibt es zahlreiche Beispiele, etwa folgendes: In einem Pharmaunternehmen wurde durch einen, mit Conficker verseuchten, USB-Stick Malware auf Windows-XP- und -Vista-Rechner verteilt. Die Auswirkungen zeigten sich zunächst im Leitsystem – hier wurden aufgrund der Batch-Verarbeitung ganze Kolonnen abgeschaltet, mit der Folge, dass das aufwändig produzierte Material vernichtet werden musste.
Gründe für Security-by-Design
Im Kontext von Industrie 4.0 bieten bekannte Schutzmaßnahmen wie Virenscanner oder Firewall mittlerweile im Kampf gegen Angreifer eher ein paretisches Waffenarsenal. Allein aus dem Grund, dass die Angriffsmethoden kontinuierlich weiterentwickelt werden und die heutigen Abwehrsysteme zumeist darauf abzielen, aktuelle oder kurzfristig antizipierbare Angriffe zu detektieren. Hinzu kommt, dass das Schutzniveau nicht verlässlich mit den Sicherheits-Produkten kovariiert, weil deren Anwendung insgesamt stark von den Fähigkeiten und dem Wissen der Mitarbeiter abhängt. In Analogie dazu passt auch das Ergebnis aus der aktuellen Studie vom VDMA, dass bei nur 15 Prozent der angegriffenen Unternehmen IT-Attacken überhaupt publik wurden.
Daraus resultierend entsteht zunehmend der Ruf nach präventiven Maßnahmen, die möglichst früh in die Wertschöpfungskette integriert sind. Diese dienen dem Schutz der Prozesse in hochgradig vernetzten Produktionsumgebungen. Das bedeutet, dass die IT-Sicherheit bereits bei Planung und Entwurf dergestalt berücksichtigt werden soll, damit sich im Weiteren die Verantwortlichen in Produktion und Fertigung nicht mehr grundsätzlich mit additiven Vorkehrungen zur Absicherung der Anlagen beschäftigen müssen. Diese Haltung setzt sich zunehmend durch. So ist beispielsweise in der Charta of Trust – initiiert von Siemens, und unter anderem unterstützt von Airbus, Allianz und der Deutschen Telekom – festgelegt, dass Cybersicherheit als Werkseinstellung vorgesehen sein sollte. Folglich lautet eines der in der Charta aufgeführten Prinzipien, dass das höchstmögliche angemessene Maß an Sicherheit und Datenschutz anzuwenden ist und entsprechend, nach Ansicht der beteiligten Unternehmen, unter anderem beim Design von Produkten, Technologien oder betrieblichen Abläufen vorkonfiguriert werden muss.
Kein Allheilmittel für die gesamte Lebensdauer
Im Sinne der Umsetzung ließe sich theoretisch einiges zum Standard definieren, etwa dass allgemein bekannte Schwachstellen wie Default Passwords behoben werden. Doch in der Praxis gibt es noch einige Haken: Zum Beispiel könnte über Schnittstellen die Erlaubnis der Kommunikation nur zwischen berechtigten Geräten festgelegt werden. Doch dieser Ansatz verfolgt bereits vom Grundgedanken her eine falsche Annahme. Das Sicherheitsniveau, das hier geschaffen wird, basiert nur auf den antizipierten Angriffen von morgen. Folglich kann es kein Allheilmittel für die gesamte Lebensdauer einer Maschine darstellen, weil die Angriffsmethoden beständig weiterentwickelt werden und somit ein dynamisches Gap entsteht.
Daraus lässt sich folgende Konsequenz ableiten: Tatsächlich müssen Hersteller in der Pflicht stehen, Maschinen gemäß Stand der Technik sicher zu gestalten. Doch das enthebt den Maschinenbetreiber nicht von der Verantwortung sich nach Inbetriebnahme kontinuierlich mit neuen Angriffsvektoren auseinanderzusetzen und diese bezüglich ihres möglichen Gefährdungspotentials für seine Anlage zu beurteilen. Insbesondere unter dem Aspekt der individuellen Komplexität von Maschinenkonfigurationen, die durch spezifische Änderungen seitens der Betreiber für den Hersteller nicht mehr transparent sind. Andererseits wird der Hersteller dadurch jedoch nicht von der Verpflichtung enthoben, die Bedrohungslage für seine Komponenten kontinuierlich zu eruieren und unter Berücksichtigung der bekannten Schwachstellen entsprechende Schutzmaßnahmen zu offerieren.
Kein Königsweg in Sicht
Obwohl Security-by-Design nicht als Allheilmittel bezeichnet werden kann, so bietet dieses Prinzip doch einen guten Ausgangspunkt, um den Schutz von Maschinen über den Lebenszyklus – der, im Gegensatz zur Unternehmens-IT, Jahrzehnte beträgt – aufrechtzuerhalten. Allein aus dem Grund, da bei der Entwicklung auch bereits berücksichtigt wird, dass für eine kontinuierliche Absicherung beispielsweise das Patch-Management eine zwingende Voraussetzung ist. Somit könnte dies ein Ansatz sein, mittels dem sich verhindern ließe, dass für Systeme in Produktionsumgebungen, wie etwa dem Betriebssystem XP, der Support und somit auch die Bereitstellung der Sicherheits-Updates eingestellt werden. Eine einfache Lösung – quasi den Königsweg – um die Produktionsumgebung optimal abzusichern wird es Stand heute auch zukünftig nicht geben, sondern eher den bestmöglichen Kompromiss, der sich stark an der Gefährdungslage orientiert. Das liegt auch darin begründet, dass die Entwicklung der Industrie 4.0 ein fließender Prozess ist.