Bedrohungs- und Sicherheitslage verändert So verändert 5G die Absicherung von IIoT-Umgebungen

5G hat nativ – also von Haus aus – gute Sicherheitsfunktionen mit an Bord, dennoch vergrößert die Zunahme an verbundenen Geräten die Bedrohungslandschaft deutlich.

Bild: iStock, da-kuk
15.06.2023

Das Thema Sicherheit und Datenschutz ist nicht neu, wird aber durch die Kombination von Industrial Internet of Things (IIoT), Künstlicher Intelligenz (KI) und 5G noch einmal befeuert. Zwar bietet der jüngste Mobilfunkstandard nativ bereits modernste Security-Funktionen, die Angriffsvektoren verschieben sich jedoch gravierend. Unternehmen müssen ihre Schutzmaßnahmen entsprechend anpassen.

IIoT, Edge Computing und 5G sind aus dem Industrieumfeld nicht mehr wegzudenken. Immerhin stehen die drei Schlagworte für drahtlose Kommunikation mit Analysefähigkeiten – und zwar in Echtzeit. Fertiger und Produktionsbetriebe können sozusagen live Informationen über die Produktion erhalten, so unnötige Verzögerungen vermeiden und den Betrieb grundlegend optimieren.

Das Monitoring kritischer Bereiche ist ein klassisches Beispiel: Dazu gehören neben den herkömmlichen Sensoren für Temperatur, Feuchtigkeit, Druck, Spannung sowie für den Zustand von Reglern und Steuerventilen auch Audio-, Video- oder Lidar-Systeme, die deutlich höhere Datenraten liefern und dennoch im selben Augenblick ausgewertet werden müssen. Erst mit Hilfe von Hochgeschwindigkeitskameras und Software auf Basis von KI lassen sich aber Unregelmäßigkeiten auf dem Fertigungsband, die für das menschliche Auge nicht mehr wahrnehmbar sind, erkennen.

KI gehört zur Industrie 4.0 dazu

KI wird künftig immer öfter ein integraler Bestandteil von Industrie-4.0-Szenarien sein – auch in Form eines Digitalen Zwillings. Dieser ist das Abbild der physischen Assets in der realen Fabrik und erlaubt deren Simulation, Steuerung und Verbesserung. Ihr volles Potenzial entfaltet die Technologie, wenn beispielsweise die Daten aus der Produktionsüberwachung als Input für eine virtuelle Inbetriebnahme dienen. Oder wenn die Ursachen bei der Qualitätskontrolle festgestellter Fehler im Digitalen Zwilling gefunden und die Parameter für die zukünftige Produktion dann gleich entsprechend modifiziert werden.

Zudem können Unternehmen Produktionsumstellungen auf andere Modelle oder kleinere Serien vorab im Digitalen Zwilling durchspielen sowie die Fertigung eines Einzelstücks mit vorgegebener Genauigkeit auf verschiedenen Fertigungsstraßen simulieren und dann die dafür geeignetste Fertigungsstraße auswählen. In letzter Konsequenz lässt sich ein bidirektionales System umsetzen, bei dem der digitale Zwilling seinem physischen Bruder Rückmeldungen gibt und sich folglich selbst steuert.

Mit 5G verändert sich die Bedrohungslage

Nun hat der Mobilfunkstandard 5G, der in Zukunft bei vielen Einsatzszenarien, etwa wenn Roboter selbstständig über das Werksgelände fahren oder Arbeiten am Band ausführen, nativ – also von Haus aus – gute Sicherheitsfunktionen mit an Bord. Zu den wichtigsten gehören gegenseitige Authentifizierung und Autorisierung, Verschlüsselung und Integritätsprüfung sowohl in der Signalisierungs- als auch in der Benutzerebene sowie gesicherte Funk-Kernnetz-Kommunikation mit Internet Protocol Security (IPSec). Gleichzeitig haben Initiativen wie das offene RAN (O-RAN) mobile Netzwerkarchitekturen in Richtung neuer Topologien mit Disaggregation und Virtualisierung für mehr Skalierbarkeit, Kosteneffizienz und Leistung gebracht. In einem Campusnetz lässt sich das Sicherheitsniveau darüber hinaus individuell an höhere Anforderungen anpassen.

Trotzdem: Die Zunahme an verbundenen Geräten vergrößert die Bedrohungslandschaft deutlich, sodass 5G-Netze längst ein attraktives Jagdrevier für Cyberkriminelle sind. Gelangen produktionskritische Daten in die falschen Hände, droht ein Verlust von Intellectual Property und der Stopp von Fertigungsanlagen. Um beim Beispiel des Digitalen Zwillings zu bleiben – dieser kennt in der Regel die komplette Datenhistorie und hat Zugriffsberechtigungen für alle wichtigen Systeme, was ihn zum Jackpot für Hacker macht. Wird sogar die KI der Maschinen gekapert und in Folge dessen die Kontrolle beispielsweise über einen Roboter erlangt, sind die Konsequenzen schwerwiegend. Auch Sach- und Personenschäden lassen sich dann nicht mehr ausschließen.

Herkömmliche Sicherheitsmodelle stoßen an ihre Grenzen

Bislang wird das Thema Sicherheit in Fertigungsumgebungen in der Regel auf Basis der klassischen Purdue-Architektur umgesetzt. Dieses bereits in den 1990er-Jahren entwickelte Modell deckt die wichtigsten Infrastrukturebenen in industriellen Steuersystemen sowie deren Übergänge ab und ordnet die Geräte und Systeme in fünf unterschiedliche Level ein. Dabei gilt: Je niedriger ein Level ist, umso höher sind die Anforderungen an Verfügbarkeit und Zuverlässigkeit.

Dieser hierarchische Aufbau hilft, die OT-Anlagen gegen Cyberangriffe und andere Bedrohungen zu schützen: Jede Ebene kann nur mit der jeweils darüber und darunterliegenden kommunizieren, weshalb „lediglich“ horizontale Kontrollpunkte zwischen den jeweiligen Segmenten notwendig sind. Kommen nun 5G-fähige Geräte und Plattformen in den unterschiedlichen Ebenen der Purdue-Architektur zum Einsatz, ist der hierarchische Gedanke hinsichtlich des Datenflusses nicht mehr gegeben. Die drahtlos verbundenen Systeme und Anwendungen können vielmehr Informationen direkt senden und empfangen. Das heißt auch, der Datenstrom passiert nicht mehr die im Purdue-Modell definierten Kontrollpunkte. Folglich ist die Einführung eines Schutzwalls direkt an der 5G-Domain, also dem Signaleingang, erforderlich.

Ganz nach dem Motto „Man kann nicht schützen, was man nicht sieht“ müssen zudem die Layer über dedizierte Erkennungs- und Kontrollmechanismen verfügen – das gilt auch für die Signalisierungs-, Daten- und Anwendungsschichten. So soll sichergestellt werden, dass nur Daten, die quasi erlaubt sind, übertragen werden. Das erste Ziel muss die Sichtbarkeit und ständige Echtzeitüberwachung aller Geräte und Systeme sein, um mögliche Bedrohungen und Angriffe rechtzeitig zu erkennen. Der nächste Schritt ist das automatische Verhindern von Angriffen und Aufspüren von Schwachstellen, die die Überwachung erkannt hat. Im Fall unbekannter Zero-Day-Bedrohungen kann Maschinelles Lernen helfen, solche Gefahren auf intelligente Weise zu stoppen. Eine orchestrierte Plattform sorgt dabei für eine konsistente, netzwerkweite Durchsetzung der Richtlinien. Sie kann künftig auch helfen, Edge-Applikationssoftware oder sicherheitskritische Firmware-Aktualisierungen zentral und aus der Ferne mittels sogenannter Over-the-Air-Updates auf den angeschlossenen Geräten auszurollen.

Bei all den Vorteilen, die 5G der Fertigungsindustrie bietet, steht auch die Frage der IT-Sicherheit im Raum. Unternehmen brauchen eine Security-Architektur, die den geänderten Rahmenbedingungen, die der jüngsten Mobilfunkstandard nun einmal setzt, gerecht wird.

Firmen zu diesem Artikel
Verwandte Artikel