Schutzmaßnahmen für die Produktion der Zukunft

Sicherheit in der Industrie 4.0

16.04.2014

Von

Ulrich Hottelet ist freier Wirtschaftsjournalist in Berlin. Besonders gerne beschäftigt er sich mit gesellschaftlich und wirtschaftlich wichtigen Technologietrends, IT-Sicherheit und Datenschutz.

Alle Posts des Autors Email:

Industrie 4.0 birgt viele Vorteile, aber auch gravierende Sicherheitsrisiken. Die produzierenden Unternehmen werden sich dessen zunehmend bewusst und setzen auf diverse Abwehrtechniken wie Security by Design, Trusted Platform Modules, Whitelisting und neue, noch genau zu entwickelnde Standards.

Schöne neue Produktionswelt: Maschinen, Systemkomponenten und Sensoren werden in der Industrie 4.0 miteinander vernetzt, um Daten austauschen. Der Automatisierungsgrad erhöht sich, und die Fertigung wird dadurch effizienter, flexibler und individueller. Ob Statusmeldungen, Anforderungen von Rohstoffen, Steuerbefehle, Konstruktionsdaten oder Informationen über Energieverbrauch und Wartungsstand, all das wird in den Netzen zirkulieren, oft in Echtzeit und über Firmengrenzen hinaus. Ziel ist die intelligente Fabrik im Internet der Dinge.

Industrie 4.0 braucht neue Sicherheitsstandards

Doch die durchgreifende Digitalisierung bringt erhebliche und neuartige Sicherheitsrisiken mit sich, auf die sich die deutsche Wirtschaft einstellen muss. Hartmut Pohl, Sprecher des Präsidiumsarbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik, schlägt Alarm: "Das Thema Sicherheit wird für die Industrie 4.0 immer noch unterschätzt.

Hartmut Pohl: Leider hält sich keiner an Security by Design, das in der Norm ISO 27034 geregelt ist.
Foto: SoftCheck

Man vertraut gegen die Internet-Risiken auf Abwehrmittel aus dem letzten Jahrhundert. Es muss dringend Neues entwickelt werden, statt auf kalten Kaffee wie Firewalls, Identitäts-Management und Angriffserkennung zu setzen. Wir bekommen Industrie 4.0, haben aber momentan Sicherheit 0.1." Pohls Sicherheitsberatung Softscheck testete einige Firewalls, die in der Fertigung der Zukunft marktüblich sind. Das Ergebnis: Alle wiesen eklatante Lücken auf. Durch die Manipulation von Berechtigungen und Filtern konnte beispielsweise die Identität gefälscht werden.

Neue Bedrohung à la Stuxnet, Duqu und Flame

Nicht nur klassische Gefahren wie Viren oder Trojaner bedrohen die zunehmend via Internet vernetzten Produktionsanlagen, sondern auch neuartige und auf industrielle Kontrollsysteme maßgeschneiderte Attacken à la Stuxnet, Duqu und Flame. Da sie unbekannte Sicherheitslücken ausnutzen, können sie von Intrusion-Detection-Systemen nicht erkannt werden. Die sich aus der Komplexität der Vernetzung von Systemen ergebenden Risiken sind aber gravierend. Durch die Verknüpfung über Abteilungs-, Unternehmens- und sogar Ländergrenzen hinaus können Sicherheitslücken auf Kunden und Lieferanten durchschlagen. Die Motive hinter Manipulationsversuchen sind häufig Industriespionage sowie Produktpiraterie. Auch die organisierte Kriminalität setzt zunehmend online auf Betrugsmaschen und Erpressungsmethoden durch Sabotage. Das BSI hat die wichtigsten Bedrohungen für industrielle Kontrollsysteme in einer Top-10-Liste zusammengestellt.

Security by Design als neuer Lösungsansatz

Doch gibt es mehrere Schutztechniken dagegen. Ein elementares Prinzip für die Abwehr ist nach einstimmiger Ansicht von Fachleuten Security by Design, wonach Sicherheitsanforderungen von Beginn der Produktentwicklung an berücksichtigt werden. "Das ist kostengünstiger und einfacher als das Patchen", sagte Thorsten Henkel, Hauptabteilungsleiter für Industrie 4.0 im Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Zunächst, so der Experte, müsse man überlegen, wie die Komponenten zusammenspielen sowie getrennt werden und wie die Datenflüsse deshalb zu verschlüsseln seien.

Thorsten Henkel: Es ist schwer, Techniken aus der kommerziellen IT in die industrielle Fertigung zu übertragen.
Foto: Fraunhofer SIT

Ein weiterer Ausgangspunkt für das Modellieren von Sicherheit sei, sich in die Rolle des Angreifers zu versetzen, um Schwachstellen in der Verteidigung ausfindig zu machen. Laut Henkel entwickelt die Industrie auch bereits Konzepte für Security by Design. Allerdings sei es schwer, Techniken aus der kommerziellen IT in die industrielle Fertigungswelt zu übertragen, weil die Lebenszyklen in der IT (drei bis fünf Jahre) und Industrie (teilweise Jahrzehnte) völlig unterschiedlich seien. Das zeige sich bei den Softwareaktualisierungen. Kritik in Sachen Security by Design äußert Pohl: "Security by Design ist ein erster Schritt. Das ist auch durch ISO 27034 geregelt. Die Norm gibt es seit zwei Jahren, aber leider hält sich keiner daran."

Whitelistening schützt vor Malware

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bevorzugte Schutz vor Schadsoftware ist Whitelisting. Es bietet sich der Behörde zufolge für die Industrie der vierten Dimension geradezu an, denn im Unterschied zur geschäftlichen IT ist die Zahl der erwünschten Operationen in einer Produktionsumgebung überschaubar klein. Die erlaubten Befehle können festgeschrieben werden, so dass es im Gegensatz zu Antivirenprogrammen auch vor unbekannter Malware einen Schutz gibt. Zudem untersagen Hersteller oft die Aktualisierung des Virenschutzes. Gerade in der Arbeitswelt des Bring your own Device (ByoD) ist es ein großer Vorteil, per Whitelisting festzulegen, welche Apps zugelassen werden und welche Standards sie erfüllen müssen. Da das Verfahren aber mittels Firewalls funktioniert, kann es durch deren Manipulation umgangen werden.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren