Können Sie aus dem industriellen Produktionsumfeld aktuelle Beispiele von Sicherheitslücken und deren Auswirkungen geben?
Döring:
Ein sehr bekanntes Beispiel gab es vor einigen Monaten bei einem großen Automobilhersteller. Hier wurden durch eine Penetration die Parameter von Schweißrobotern manipuliert. Das hat dann natürlich Auswirkungen auf die Sicherheit und Haltbarkeit der Karosserieteile, wenn die Schweißpunkte nicht mehr korrekt gesetzt werden. Hier geht es dann nicht mehr nur um Produkthaftung, sondern Menschenleben werden letztendlich gefährdet.
Bieber:
Ebenfalls ein aktueller Fall ist eine Wasseraufbereitungsanlage in Florida. Durch einen Hackerangriff wurden ebenfalls Parameter verstellt, so dass der Anteil von Natriumhydroxid im Wasser mehr als verhundertfacht wurde. Zum Glück wurde die Änderung schnell erkannt und umgehend auf Normalwert eingestellt. Und das sind dann klassische Angriffe auf industrielle Umgebungen. Wenn hier der Remote Access auf eine Anlage oder Maschine nicht sicher und robust ist, entstehen schnell Einfallstore.
Wo sind die häufigsten Einfallstore: In der Kommunikationsstrecke, in der IT-Ebene oder Faktor Mensch in der Produktion?
Döring:
Das ist sehr vielfältig. Natürlich führt ein Weg für den Zugriff auf die Maschinen und Anlagen durch die Vernetzung mit der IT-Ebene. Wenn in Bürorechnern Schadsoftware eingeschleust wird, finden Hacker oft schnell einen Weg hinein in den Shopfloor. Eine weitere Bedrohungslage stellen diverse Fernwartungslösungen dar. Gerade Anlagenbetreiber nutzen Maschinen von vielen Herstellern. Jeder Maschinenbauer besitzt wiederum eine eigene Fernwartungslösung. Oft wissen Anlagenbetreiber dann mit der Zeit nicht mehr, welche Varianten mit welchem Sicherheitslevel und Security-Updates dann im Betrieb sind. Hier sind homogene Sicherheitskonzepte notwendig, die dem Betreiber die volle Kontrolle und Überblick über einen sicheren Fernzugriff garantieren.
Bringen heutzutage auch „geschlossene“ Fabriken ohne IT-Access nicht mehr Sicherheit, weil dann intern vermehrt externe Servicetechniker beispielsweise Sicherheitsfehler begehen oder Schadsoftware einschleusen können?
Bieber:
Natürlich grenzt man ein Teilrisiko aus, aber die Nachteile sind erheblich. Bedenken Sie nur die aktuelle Situation mit Kontakt- und Reisebeschränkungen – ohne professionellen Fernzugriff lässt sich der Betrieb einer Anlage deutlich schwerer aufrechterhalten. Und was nützt die Abschottung, wenn ein Mitarbeiter den USB-Stick, der auf dem Parkplatz „zufällig“ liegt, dann doch in einen PC hineinsteckt? Und diese Masche funktioniert leider immer noch… Computer sind heutzutage in der Fertigung nicht mehr wegzudenken, selbst bei Abschottung in die IT-Ebene. Die Versuchung, kurz zu schauen, was sich auf dem Stick befindet, ist einfach zu groß! Ein weiteres Risiko ist, dass ein externer Servicetechniker an der Maschine schnell auch Zugriff auf die komplette Anlage hat, weil alles vernetzt ist. Bei einem kontrollierten und abgesicherten Fernzugriff erhält dagegen der Servicetechniker über einen dedizierten Kanal nur Zugriff auf ein bestimmtes Gerät. Und über eine sichere und nach ISO 27001 zertifizierte Lösung wie unserem Fernwartungsportal Talk2M wird jede Aktivität protokoliert und lässt sich zurückverfolgen. Damit gewährleisten wir volle Transparenz beim Zugang auf die Maschine und erhöhen die Sicherheit.
Weil Sie jetzt die ISO 27001 Zertifizierung bei Talk2M schon erwähnt haben: Können sich Anwender dann sicher sein, bereits für eine maximale Grundsicherheit bei Cloud-Anbindungen gesorgt zu haben?
Bieber:
Unsere Fernwartungslösung unterstützt über die IT-Ebene den Zugriff auf die Maschine. Und im IT-Bereich ist die ISO 27001 ein von Experten präferiertes Referenzmodell für die Security. Dieser Standard besitzt eine hohe Akzeptanz und sorgt für den Beweis, dass Talk2M für eine maximale Absicherung und Datensicherheit sorgt und alle Empfehlungen des Standards einhält. Um diese Zertifizierung zu erhalten, haben wir viel in unsere Lösungen investiert, damit unsere Kunden immer mit einer sich an die aktuellsten
Security-Richtlinien haltende Fernwartungsplattform arbeiten – die durch ständige Pflege und Aktualisierung auch zukunftssicher ist. Und genau das gleiche gilt auch im Shopfloor, also der OT-Ebene in der Fabrikhalle. Hier gibt es mit IEC 62443 für industrielle Kommunikationsnetze ebenfalls eine Norm, die wieder einen Rahmen definiert, wie Sicherheit auf technischer und Prozessebene zu behandeln ist.
Ist Security überhaupt ein Gebiet, auf dem sich HMS mit eigenen Lösungen bewegt? Schließlich sind Sie ein Spezialist für Kommunikationslösungen…
Döring:
Als Anbieter von Kommunikationslösungen beschäftigen wir uns schon immer auch mit der Datensicherheit, denn eines geht ohne das andere nicht. Wir haben viel Know-how aufgebaut, Akquisitionen durchgeführt und investieren weiter erhebliche Ressourcen in die Sicherheit unserer Lösungen. Außerdem arbeiten wir auf dem Gebiet der Datensicherheit mit Partnern zusammen – immer, um in der individuellen Umgebung des Kunden die maximale Sicherheit bieten zu können. Derzeit entwickeln wir Produkte, um Analysen in Netzwerken durchführen zu können. So wird der Sicherheitslevel der Kommunikation ständig analysiert und Anomalien – und somit Manipulationen – sofort aufgedeckt. Datensicherheit ist ein Gebiet, auf dem man sich nie ausruhen darf!
Ist den meisten Firmen überhaupt bewusst, dass die eigenen Security-Maßnahmen meist ein Vielfaches schwächer sind als bei professionellen Cloud-Plattformen wie Talk2M?
Döring:
Ja, das ist noch immer zu beobachten. Außerdem sehen wir einen gewissen Trend, dass IT-affine Unternehmen gerne selbst über einen Router eine VPN-Verbindung zu ihrer Anlage aufbauen. Das funktioniert meisten schnell und einfach, insbesondere mit Routern aus dem Consumer-Umfeld. Je mehr Zugriffspunkte man dann aber will, umso komplexer wird es dann im Nachgang mit Themen wie Maintenance, Security-Updates, Management der Verbindungen und vieles mehr. Und hier spielen wir natürlich die Vorteile unserer voll skalierbaren und zentral administrierbaren Talk2M-Plattform aus. Wir haben bereits über 300.000 Maschinen über Talk2M weltweit vernetzt und so die Skalierbarkeit und Manageability mehr als unter Beweis gestellt. Außerdem löst Talk2M noch ein ganz anderes Problem produzierender Betriebe. In einer Fertigung wird eine Vielzahl unterschiedlicher Maschinen von diversen Herstellern eingesetzt. Wenn jetzt jeder Maschinenbauer seine eigenen IIoT-Services anbietet, so wird das Management der Zugriffsrechte für den Anlagenbetreiber und seine IT schnell komplex, unübersichtlich und schwer kontrollierbar. Über Talk2M kann der Anlagenbetreiber zentral die Zugriffsrechte für den Fernzugriff aller Maschinenbauer und Servicedienstleister regeln. Und das sind viele Aspekte, die am Anfang eines IIoT-Projekts oft nicht direkt gesehen werden, am Schluss dann aber die Komplexität und die Kosten doch deutlich erhöhen.
Wie einfach gestaltet sich letztendlich der sichere Zugriff auf die Maschinen?
Bieber:
Für Maschinenbauer oder Anlagenbetreiber ist es sehr einfach! Letztendlich muss nur unser Ewon Flexy Gateway 205 an die Steuerung der Maschine angebunden werden. Wir unterstützen hier alle namhaften Hersteller mit SPS-Treiber, beherrschen alle wichtigen industriellen Kommunikationsprotokolle und bieten zudem einen eigenen OPC-UA-Client &-Server. Das Gateway stellt per Plug & Play automatisch die Verbindung zu Talk2M her. Das Portal erlaubt dann via VPN einen authentifizierten Zugriff auf die Maschine, ermöglicht aber auch mit wenigen Klicks die Visualisierung von Maschinen-KPIs. Weil Talk2M zusätzlich als Middleware dienen kann, lassen sich über standardisierte Schnittstellen beliebige Analytics-Dienste und Services der gängigen Cloud-Plattformen anschließen. Der Prozess ist extrem einfach, innerhalb von ein paar Minuten abgeschlossen und Sicherheit ist über die gesamte Strecke anschließend gegeben. Wir wollen es dem Kunden so einfach wie möglich machen und dabei einen extrem hohen Sicherheitslevel garantieren. Genau das ist unser Anspruch!
Wenn es um die sichere Vernetzung von IIoT-Devices, Maschinen und Anlagen geht, warum sollten Kunden auf HMS setzen?
Döring:
Weil wir mit über 300.000 weltweit vernetzten Maschinen Erfahrung und Kompetenz besitzen. Unser Fokus liegt in der Implementierung hoher Sicherheitsstandards in alle Produkte und Lösungen. Und wir wollen dem Kunden keine Arbeit machen, sondern abnehmen, darum erhält er eine sichere und skalierbare Fernwartung per Plug & Play. Damit sind wir der richtige Partner für einfache, effiziente und sichere IIoT-Lösungen.
Bieber:
Kunden erhalten mit uns einen Partner, der den gesamten Lebenszyklus von IIoT-Lösungen begleitet. Gerade beim Thema Sicherheit darf die Unterstützung nicht mit dem Verkauf von Geräten oder Lizenzen enden. Durch sich ständig ändernde Bedrohungsszenarien bieten wir eine kontinuierliche Weiterentwicklung und Support bei unseren Lösungen, um immer eine maximale Sicherheit zu gewährleisten.