SPS/IPC/Drives 2011 25.11.2011, 12:04 Uhr

Hacker aus vernetzten Industrieanlagen fernhalten

Nur wenige Wochen ist es her, dass der Stuxnet-Nachfolger Duqu entdeckt wurde. Hinter den harmlos klingenden Begriffen steckt Schadsoftware, die vernetzte Industrieanlagen bedrohen. Auf der Messe SPS/IPC/Drives vom 22. bis 24. 11. in Nürnberg ging man damit sachlich um. Dennoch waren Abwehrmaßnahmen gegen Hacker ein großes Thema.

Vorige Woche wurde bekannt, dass ein Hacker in eine Kläranlage in den USA eindringen und einen Antrieb manipulieren konnte. Nur wenige Wochen zuvor hatte der amerikanische Sicherheitsspezialist Symantec eine Schadsoftware mit dem Namen „Duqu“ entdeckt. Die Software, die Teile des Software-Codes von dem im Juni 2010 entdeckten Stuxnet-Computerwurm enthalten soll, sei dazu ausgelegt, Daten über industrielle Kontrollsysteme zu sammeln und weiterzuleiten, heißt es. Hacker könnten die Informationen für gezielte Angriffe nutzen, befürchtet inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Seit gut einem Jahr fragen sich immer mehr Firmen, wie sicher ihre Produktionsanlagen sind. Lange Zeit sind Hersteller und Anwender von IT-Systemen für Industrieanlagen davon ausgegangen, dass Hackerangriffe für sie keine Rolle spielen und auf die Unternehmens-IT beschränkt bleiben würden. Solange die einzelnen Systeme noch zentral und getrennt voneinander gesteuert wurden, stimmte das. Mit der Dezentralisierung der Automatisierungsfunktionen kommunizieren die Steuerungen nun untereinander. „Bislang getrennte Kommunikationsbereiche wachsen zusammen, Störungen und Bedrohungen bleiben nicht mehr lokal begrenzt“, erläuterte Prof. Frithjof Klasen, Leiter des Instituts für Automation & Industrial IT der Fachhochschule Köln, das Problem.

Vernetzte Produktions-IT lässt Gefahr von Hacker-Angriffen ansteigen

Die Einsicht, dass durch die Vernetzung in der Produktions-IT auch die Gefahr von Angriffen steigt, ist zwar nicht neu. Bereits 2005 haben sich Experten mit dem Problem auseinandergesetzt und Sicherheitsregeln für die Steuerung von Fertigungs- und Produktionsanlagen in einer VDI-Richtlinie (2182) definiert. „Doch so lange nichts passiert ist, gab es für die Unternehmen auch keinen Grund sich zu schützen“, sagte Klasen.

Fachleute wie Klasen merken, dass die Unternehmen durch Stuxnet wesentlich sensibler für Sicherheitsthemen geworden sind und zunehmend auch über Investitionen nachdenken. Die Steuerungshersteller haben den neuen Markt erkannt und bieten inzwischen Produkte zur Absicherung der Anlagen, die diese Funktionen direkt in die Automatisierungsgeräte integrieren.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Ingenieur* Site Reliability DFS Deutsche Flugsicherung GmbH
Bundeswehr-Firmenlogo
Ingenieurin / Ingenieur mit Master in Informatik / Elektrotechnik - Beamten - Ausbildung (m/w/d) Bundeswehr
Mannheim Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Stadt Worms-Firmenlogo
Projektleiter (m/w/d) CAFM Stadt Worms
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
thyssenkrupp AG-Firmenlogo
Trainee Automatisierung Bochum (m/w/d) thyssenkrupp AG
Flowserve Corporation-Firmenlogo
Trainee Operations (m/w/d) mit dem Schwerpunkt Prozessoptimierung und Digitalisierung Flowserve Corporation
Dortmund Zum Job 
Hallesche Wasser und Stadtwirtschaft GmbH-Firmenlogo
IT Projektmanager / Key User - Prozessoptimierung, E-Commerce & Vertrieb (m/w/d) Hallesche Wasser und Stadtwirtschaft GmbH
Halle (Saale) Zum Job 
POLYVANTIS GmbH-Firmenlogo
Ingenieur / Techniker Elektrotechnik / Automatisierungstechnik (m/w/d) OT, Messsysteme (m/w/d) POLYVANTIS GmbH
Weiterstadt Zum Job 
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Stadt Köln-Firmenlogo
Ingenieur*in (m/w/d) Stadtplanung, Geografie oder Geoinformatik Stadt Köln
WIRTGEN GmbH-Firmenlogo
System- und Softwarearchitekt (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
WIRTGEN GmbH-Firmenlogo
Embedded Anwendungs-Softwareentwickler (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
B. Braun Melsungen AG-Firmenlogo
Global Lead (w/m/d) Operational Technology (OT) B. Braun Melsungen AG
Melsungen Zum Job 
WIRTGEN GmbH-Firmenlogo
Duales Studium Software Engineering - Bachelor of Engineering (m/w/d) WIRTGEN GmbH
Windhagen, Remagen Zum Job 
VIAVI-Firmenlogo
Senior / Software Engineer (C++, Python & Cloud) (m/w/d) VIAVI
Eningen Zum Job 
Tagueri AG-Firmenlogo
Consultant OTA - Connected Cars (m/w/d)* Tagueri AG
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur Vermessung (m/w/d) Die Autobahn GmbH des Bundes
Montabaur Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Lösungsentwickler (w/m/d) im Digitallabor Geoinformatik Die Autobahn GmbH des Bundes

Allerdings seien sichere IT-Lösungen in der Produktion nicht so einfach zu realisieren, wie in der klassischen Unternehmens-IT, warnt Klasen. „Das Sicherheitsthema in der Automatisierung ist sehr komplex.“ Was aus Automatisierungssicht eine sinnvolle Eigenschaft darstellt, erscheine aus Security-Sicht möglicherweise als Schwachstelle. Daher sollte in der Diskussion zwischen gewünschten und akzeptierten Architekturmerkmalen und Implementierungsfehlern in der Software unterschieden werden. „Das kann man nicht in einen Topf werfen“, sagte der Experte. Wenn man die Architekturmerkmale ändern wolle, dann würde das unter Umständen die Komplexität der Anlagensteuerungen enorm erhöhen. Am sinnvollsten sei es daher, so Klasen, die Automatisierungsbereiche in Zellen mit unterschiedlichen Sicherheitsstufen einzuteilen und diese nach dem „Zwiebelmodell“ der IT-Sicherheit zu schützen – weniger sensible Bereiche kaum oder gar nicht und empfindliche Zonen stark abzuschotten.

Umfassende Risiko-Analysen: Schwachstellen finden und gegen Hacker-Angriffe schützen

Das empfiehlt auch Erwin Kruschitz, Chef des Sicherheitsberaters Anapur in Ludwigshafen. Dabei sei es wichtig, dass Unternehmen zunächst eine umfassende Risikoanalyse für ihre Anlagen durchführen. Nur so könnten sie sicher sein, dass die Maßnahmen auch dort angesetzt werden, wo sie am dringendsten benötigt werden. Auch der Automation-Security-Prozess in der Verfahrenstechnik, auf die sich Kruschitz spezialisiert hat, berge eine Vielzahl von Zielkonflikten, warnte der Experte auf dem Kongress der SPS/IPC/Drives. Das fange bereits bei der Frage an, wer auf welche Funktion bzw. Information Zugriff erhalten solle.

Erhält ein externer Dienstleister Zutritt zu dem Produktionssystem, dann ist zwar eine schnellere Störungsbehebung das Ziel, die Verfügbarkeit wird erhöht, gleichzeitig aber wird der Kreis der Personen mit Zugriff auf sensible Informationen größer und damit die Vertraulichkeit eingeschränkt. „Da müssen die Manager abwägen, ob sie damit leben können“, sagte Kruschitz.

Im Gegensatz zu Produktionsanlagen in der Automobilindustrie lassen sich chemische und biotechnische Prozesse nicht einfach anhalten und später wieder fortfahren. Da sei es schwieriger, ein gehacktes System abzuschalten, erläuterte der Anapur-Chef. Im Fall eines Schadensereignisses richte sich das Augenmerk von Unternehmen der Prozessindustrie primär auf die Sicherheit von Personal und Umwelt. Kruschitz: „Systeme, die diese Art von funktionaler Sicherheit gewährleisten, sollen demnach von der normalen Prozesssteuerung unabhängig und rückwirkungsfrei funktionieren.“

Geschultes Personal schützt gegen Hacker

„Mit Technik allein ist IT-Sicherheit in der Produktion nicht zu erreichen“, erklärte auch Peter Schoo. Nur eine Kombination mit organisatorischen Maßnahmen führe zum Ziel, so der Leiter des Department Network Security and Early Warning Systems bei der Fraunhofer- Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) in München.

Gerätehersteller müssten in erster Linie die physikalischen Schnittstellen schaffen – sichere Hardwaremodule integrieren, die kryptografisch gesicherte Lösungen zur Kommunikation unterstützen.“Anlagenbetreiber werden sich schlau machen müssen, wie sie diese Geräte in ihre Anlagen einbinden können und sie werden IT-Sicherheitsarchitekturen erstellen müssen“, erklärte Schoo. Dabei sei es vor allem wichtig, dass das Personal in Sachen IT-Sicherheit geschult würde. Es gibt zwar inzwischen Produkte, mit denen sicherheitsrelevante IT-Bereiche einer Anlage abgeschottet werden können – „doch dazu muss das Know-how vorhanden sein“, sagt der AISEC-Experte. Die Sicherheitstechnik werde nicht vom Hersteller konfiguriert, sondern vom Anwender.

Ein Beitrag von:

  • Hans Schürmann

    Hans Schürmann war Technik- und Wirtschaftsredakteur beim Handelsblatt und schreibt unter anderem über Finanzen, Immobilienthemen und Maschinenbau.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.