A&D:
Der Angriff auf Industrieanlagen mittels des Computerwurms Stuxnet liegt bereits vier Jahre zurück. Ist die Security bei den Verantwortlichen inzwischen fest verankert?
John Herold:
Nicht nur durch den Stuxnet-Angriff hat sich die Sensibilität in Bezug auf Datenschutz und Anlagensicherheit in den letzten Jahren deutlich erhöht. Edward Snowden, massenhafte schwerwiegende und nicht authorisierte Datenentwendungen sowie zumindest teilweise fragwürdigen Vorgehensweisen sogar von staatlichen Institutionen im Umgang mit persönlichen Daten haben das Thema Sicherheit in der Industrie ganz nach oben auf die Agenda gehievt. Dass sich die Gefahren durch die zunehmende Vernetzung stark erhöht haben und diese zukünftig noch massiv zunehmen werden, ist im industriellen Umfeld im Allgemeinen erkannt worden. Allerdings stellen sich im Zeitalter von Industrie 4.0 Fragen dahingehend, wo die Gefahren im Speziellen lauern und wie Schutzmechanismen dann im einzelnen auszugestalten sind. Hier ist sicherlich noch mehr Überzeugungsarbeit zu leisten, denn in der vernetzten Produktion ist per se nichts mehr sicher.
Betrifft die Gefahr von Angriffen nur die ERP- und MES-Ebene oder auch die tieferen Schichten?
Wir sehen einen deutlichen Trend in Richtung zunehmender Intelligenz nicht nur auf der Scada- und Steuerungsebene, sondern auch auf der Feldebene. Insbesondere die Sensorik stellt hier eine treibende Kraft mit erheblichen Auswirkungen auf die Kommunikation in den Schichten 1 und 2 dar. Heute ist es noch die Ausnahme, einzelne Maschinen und Sensoren mit eigener IP-Adresse im industriellen Umfeld vorzufinden. Es ist jedoch wahrscheinlich, dass dies zukünftig eine stark verbreitete Anwendung erfahren wird. Letztendlich lassen sich ja gerade auf diese Weise flexiblere und schnellere Wertschöpfungsnetzwerke aufbauen sowie höhere Effizienzen in der Produktion erzielen. Die Gefahren lauern damit in Zukunft also auf allen Ebenen.
Vor wenigen Jahren gab es noch Netztopologien mit einem Single Point of Contact – ist so ein einfacher Schutz heute noch möglich?
Den von Ihnen genannten Single Point of Contact zum Internet nehmen wir insbesondere noch bei klassischen, wertkonservativ geführten mittelständischen Unternehmen wahr. Dieser Ansatz bietet in der Tat einen gewissen Schutz, weil eine Fokussierung der Sicherheitsmechanismen erfolgen kann. Auf der anderen Seite kann das bedeutende Potenzial einer vernetzten Produktion auf diese Weise in vielen Fällen nur schwer vollumfänglich ausgeschöpft werden. Deshalb wird das gesamte Unternehmensnetzwerk häufig in Teile mit unterschiedlichem Gefahrenpotenzial gegliedert. Wir bei Hirschmann/Belden verfolgen grundsätzlich einen sehr dezentralen Sicherungsansatz: Einzelne Teilnehmer des Kommunikationsnetzwerks werden mit eigenen Sicherheitsfeatures ausgestattet. Die Gesamtsicherheit wird damit deutlich erhöht.
Wie lassen sich Management und Konfiguration von Netzteilnehmern trotz zunehmender Vielfalt bewältigen?
Nach heutigem Stand werden Netzwerkinformation mittels Simple Network Management Protocol (SNMP) übertragen. Auch die Konfigurationen werden mittels dieses Protokolls auf die Netzwerkgeräte geschrieben. Für die Zukunft stellt sich die Frage, ob wir nicht Möglichkeiten auf einer höheren Ebene benötigen, um Managementinformationen und Konfigurationen übertragen zu können. Allerdings ist noch völlig offen, wie hier Lösungen aussehen könnten. Eine Möglichkeit könnte das Network Configuration Protocol sein, außerdem gibt es Protokolle und Verfahren für Diagnosezwecke, wie RMON, SMON, sFlow und weitere Entwicklungen. Die sind aber in der Praxis noch nicht allzuweit verbreitet, zumindest nicht in der industriellen Kommunikation.
Auf welche Merkmale muss ein Entscheider bei einer Firewall im Industrieumfeld achten?
Die Firewall sollte möglichst für die spezifischen Industrieanwendungen ausgelegt sein und einfach bedienbar sein. Das Arbeitsumfeld im Produktionsbereich unterscheidet sich doch stark im Vergleich zum typischen Büroumfeld, wo mit dem Datendurchsatz geworben wird. Der Durchsatz ist natürlich wichtig, aber im Vergleich zu IT-Anwendungen doch zweitrangig, da die Datenmengen meist deutlich niedriger sind.
Security für Industrie 4.0 ist auch eine Frage des Know-hows – wo können sich Verantwortliche sich das Wissen besorgen?
Um ein hohes Maß an Security in Industrieunternehmen gewährleisten zu können ist zunächst einmal die Gestaltung einer sicheren Netzinfrastruktur erforderlich. Dies beinhaltet neben der Verwendung sicherer Hardware auch die Schaffung eines ganzheitlichen Sicherheitsverständnisses, die richtige Einordung von Gefahren sowie die Abstimmung einzelner Komponenten untereinander. Darüber hinaus ist die Netzinfrastruktur von Beginn an so auszulegen, dass sie später mit geringem Aufwand an neue Anforderungen angepasst werden kann. All diese Aspekte behandeln wir in unserem Certified Industrial Network Program (CINP), mit dem wir Partner und Kunden ausbilden.