A&D: Welche zentralen Unterschiede bestehen in der IT-Sicherheit zwischenklassischen Büroanwendungen und dem Fertigungsbereich?
Michael Klatte: Viele Unternehmen sichern ihre Netzwerk-Server und -Clients mit Sicherheitselementen wie Antivirus, Firewalls und Intrusion-Prevention-Systemen. Eine solche Safety-Architektur lässt sich aber nur sehr schwer auf vernetzte Produktionsanlagen und Automatisierungssysteme übertragen. Das Kernstück des Malware-Schutzes auf Bürogeräten, nämlich der Antivirenscanner, wird in Produktionsanlagen selten eingesetzt. Grund dafür ist der enorme Ressourcenbedarf während des Scanprozesses im Live-Betrieb. Dieser beeinträchtigt den reibungslosen Fluss der Produktionsinformationen, der im schlimmsten Fall den Fertigungsprozess zum Erliegen bringen kann.
Also sollten keine Antivirenprogramme eingesetzt werden?
Antivirenprogramme stören vor allem Steuerungsprozesse, die de�?nierte Antwortzeiten einhalten müssen. In der Fertigung eingesetzte IT-Systeme erfüllen hohe Ansprüche an die Echtzeitfähigkeit - und genau das kann eine Sicherheitslösung kaum leisten. Jede Software- und Signatur-Aktualisierung oder jeder Reboot unterbrechen mehr oder minder stark den Prozessvorgang. Das einfache Aufspielen einer Antiviren-Software macht keinen Sinn. Vielmehr sollte sie direkt in das Automatisierungssystem integriert werden.
Welche Faktoren bergen das höchste Risiko für die Produktion?
In der Vergangenheit war proprietäre und geschlossene Netzwerktechnik im Fertigungsbereich gang und gebe. Jeder Netzwerbetreiber sollte sich heute gut überlegen, ob ein Zusammenwachsen des Büro- und Fertigungsbereichs auf Netzwerkebene überhaupt notwendig ist. Auf jeden Fall gilt: Der Schutz vor Wechseldatenträgern wie USB-Sticks, Speicherkarten et cetera muss gewährleistet sein. Sie gelten als Malware-Überträger Nummer eins und waren für die Infektion durch Stuxnet verantwortlich. Mit dem Mensch als Überträger gelangen sie problemlos von Netzwerk zu Netzwerk.
Welche zusätzliche Funktionalität ist zum Schutz erforderlich?
Es existieren bereits vielfältige technische Möglichkeiten zum Schutz vor Malware. Dazu zählen der Zugriffsschutz sowie die Manipulationssicherheit durch die Verschlüsselung und Signatur des Programm-Codes und dessen Daten. Das in Antivirenlösungen bewährte Whitelisting-Verfahren für den Programmcode bietet sich ebenfalls an. Dies gewährleistet den zuverlässigen Einsatz zuvor bestimmter Anwendungen. Alternativ ist auch eine Kombination von Code- und Software-Komponenten denkbar, die vom Hersteller der Maschine oder vom Betreiber freigegeben wurden.
Welche Möglichkeiten gibt es noch?
Eine weitere und in der Praxis angewendete Option stellt die Demilitarized Zone dar, die so genannte DMZ. Die dort aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze abgeschirmt. Die Separation im Zugriff auf öffentlich erreichbare Dienste wie Internet oder E-Mail und auf das interne Netz (LAN) schützt das Netzwerk vor unberechtigten Zugriffen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt bezüglich des IT-Grundschutzes ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom eigenen Netz. Idealerweise stammen die eingesetzten Firewalls von verschiedenen Herstellern. Eine einzelne Schwachstelle würde dann im Ernstfall keine Bedrohung für das gesamte Netz bedeuten.