Im Dezember 2014 brachten Hacker den Hochofen eines Stahlwerks unter Kontrolle und beschädigten ihn schwer. Ein solcher Cyberangriff auf die Feldebene kann neben gravierenden Beeinträchtigungen der Betriebsstabilität auch Folgen für die funktionale Sicherheit haben. Bei angriffsbedingten Fehlfunktionen und Havarien können dann auch Menschen und Umwelt zu Schaden kommen.
Früher führten Maschinen und Anlagen ein Inseldasein – abgekoppelt von der Unternehmens-IT, von der Leitstelle und ihren Maschinenkollegen. Aber in Zeiten von Industrie 4.0 und dem Industrial Internet of Things (IIoT) sind sie zunehmend untereinander und mit der Steuerungsebene vernetzt und direkt oder indirekt per Ethernet/WLAN mit dem Internet verbunden. Das bleibt nicht ohne Folgen für die Sicherheit: Angreifer können so bis zur einzelnen Maschine durchmarschieren. Und das tun sie auch.
Vielfältige Ziele, vielfältige Strategien
Aber warum sollte jemand einen Hochofen oder eine Maschine hacken? Zum Beispiel aus sportlichem Ehrgeiz – das geschieht gar nicht so selten, wie man vielleicht glaubt. Oder weil ein ehemaliger Mitarbeiter auf Rache sinnt. Vielleicht auch als nächster Schritt auf der Erpresser-Karriereleiter. Möglicherweise sind Maschinen-Havarien aber auch „nur“ Kollateralschäden eines größeren Angriffs auf die Unternehmens-IT.
Ebenso vielfältig wie die Motive sind die Angriffsstrategien. Sie reichen von der Infektion per Internet über das Einschleusen von Schadsoftware per Wechseldatenträger oder kompromittierte Smartphones bis zum Social Engineering. Immer häufiger machen Supply-Chain-Attacken Schlagzeilen, bei denen Angreifer Hersteller zum Beispiel dazu bringen, unfreiwillig Malware per Updates zu verteilen.
Dicke Mauern um die Ritterburg – die Unternehmens-Firewall – reichen deshalb nicht mehr aus. Safety heißt heute, die Security bei jeder vernetzten Komponente und jedem Kommunikationskanal von Beginn an mitzudenken. Jedem Beteiligten also seine eigene, passende Ritterrüstung! Allerdings ohne dass der Panzer die Geschwindigkeit ausbremst – insbesondere dort, wo Echtzeitkommunikation gefordert ist.
Sicherheit neu denken
Komponenten- und Anlagenhersteller stehen vor dem Problem, die eigenen Produkte smart und vernetzbar zu machen, obwohl sie oft keine Erfahrung mit der Entwicklung und Absicherung vernetzter Systeme haben. Damit nicht genug: Wir werden schon in naher Zukunft Angriffsvektoren und Szenarien sehen, die wir uns heute noch gar nicht vorstellen können. Deshalb braucht es bei neu entdeckten Gefahren einen schnellen, guten Informationsfluss vom Hersteller über den Systemintegrator bis zum Anwender. Ebenso essenziell ist ein zuverlässiges Patch- und Updatemanagement. Die Anforderungen an die Security umfassen also nicht nur das Design, sondern den gesamten Lebenszyklus.
Die Chancen und Bedrohungen in einer vernetzten Welt sind nur scheinbar ein Dilemma. Aber um diese Herausforderung zu meistern, müssen wir Sicherheit neu denken: ganzheitlich (keine Safety ohne Security!) und als einen ständigen Prozess, der nicht mit der Markteinführung endet. Wir bei NewTec helfen Ihnen mit Services und einsatzfertigen Plattformen, technische Innovationen so sicher wie möglich zu machen. Als Experten für Embedded Safety & Security sind wir der richtige Ansprechpartner, wenn es um die Entwicklung sicherer Produkte geht.