Hacker aus vernetzten Industrieanlagen fernhalten
Nur wenige Wochen ist es her, dass der Stuxnet-Nachfolger Duqu entdeckt wurde. Hinter den harmlos klingenden Begriffen steckt Schadsoftware, die vernetzte Industrieanlagen bedrohen. Auf der Messe SPS/IPC/Drives vom 22. bis 24. 11. in Nürnberg ging man damit sachlich um. Dennoch waren Abwehrmaßnahmen gegen Hacker ein großes Thema.
Vorige Woche wurde bekannt, dass ein Hacker in eine Kläranlage in den USA eindringen und einen Antrieb manipulieren konnte. Nur wenige Wochen zuvor hatte der amerikanische Sicherheitsspezialist Symantec eine Schadsoftware mit dem Namen „Duqu“ entdeckt. Die Software, die Teile des Software-Codes von dem im Juni 2010 entdeckten Stuxnet-Computerwurm enthalten soll, sei dazu ausgelegt, Daten über industrielle Kontrollsysteme zu sammeln und weiterzuleiten, heißt es. Hacker könnten die Informationen für gezielte Angriffe nutzen, befürchtet inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Seit gut einem Jahr fragen sich immer mehr Firmen, wie sicher ihre Produktionsanlagen sind. Lange Zeit sind Hersteller und Anwender von IT-Systemen für Industrieanlagen davon ausgegangen, dass Hackerangriffe für sie keine Rolle spielen und auf die Unternehmens-IT beschränkt bleiben würden. Solange die einzelnen Systeme noch zentral und getrennt voneinander gesteuert wurden, stimmte das. Mit der Dezentralisierung der Automatisierungsfunktionen kommunizieren die Steuerungen nun untereinander. „Bislang getrennte Kommunikationsbereiche wachsen zusammen, Störungen und Bedrohungen bleiben nicht mehr lokal begrenzt“, erläuterte Prof. Frithjof Klasen, Leiter des Instituts für Automation & Industrial IT der Fachhochschule Köln, das Problem.
Vernetzte Produktions-IT lässt Gefahr von Hacker-Angriffen ansteigen
Die Einsicht, dass durch die Vernetzung in der Produktions-IT auch die Gefahr von Angriffen steigt, ist zwar nicht neu. Bereits 2005 haben sich Experten mit dem Problem auseinandergesetzt und Sicherheitsregeln für die Steuerung von Fertigungs- und Produktionsanlagen in einer VDI-Richtlinie (2182) definiert. „Doch so lange nichts passiert ist, gab es für die Unternehmen auch keinen Grund sich zu schützen“, sagte Klasen.
Fachleute wie Klasen merken, dass die Unternehmen durch Stuxnet wesentlich sensibler für Sicherheitsthemen geworden sind und zunehmend auch über Investitionen nachdenken. Die Steuerungshersteller haben den neuen Markt erkannt und bieten inzwischen Produkte zur Absicherung der Anlagen, die diese Funktionen direkt in die Automatisierungsgeräte integrieren.
Allerdings seien sichere IT-Lösungen in der Produktion nicht so einfach zu realisieren, wie in der klassischen Unternehmens-IT, warnt Klasen. „Das Sicherheitsthema in der Automatisierung ist sehr komplex.“ Was aus Automatisierungssicht eine sinnvolle Eigenschaft darstellt, erscheine aus Security-Sicht möglicherweise als Schwachstelle. Daher sollte in der Diskussion zwischen gewünschten und akzeptierten Architekturmerkmalen und Implementierungsfehlern in der Software unterschieden werden. „Das kann man nicht in einen Topf werfen“, sagte der Experte. Wenn man die Architekturmerkmale ändern wolle, dann würde das unter Umständen die Komplexität der Anlagensteuerungen enorm erhöhen. Am sinnvollsten sei es daher, so Klasen, die Automatisierungsbereiche in Zellen mit unterschiedlichen Sicherheitsstufen einzuteilen und diese nach dem „Zwiebelmodell“ der IT-Sicherheit zu schützen – weniger sensible Bereiche kaum oder gar nicht und empfindliche Zonen stark abzuschotten.
Umfassende Risiko-Analysen: Schwachstellen finden und gegen Hacker-Angriffe schützen
Das empfiehlt auch Erwin Kruschitz, Chef des Sicherheitsberaters Anapur in Ludwigshafen. Dabei sei es wichtig, dass Unternehmen zunächst eine umfassende Risikoanalyse für ihre Anlagen durchführen. Nur so könnten sie sicher sein, dass die Maßnahmen auch dort angesetzt werden, wo sie am dringendsten benötigt werden. Auch der Automation-Security-Prozess in der Verfahrenstechnik, auf die sich Kruschitz spezialisiert hat, berge eine Vielzahl von Zielkonflikten, warnte der Experte auf dem Kongress der SPS/IPC/Drives. Das fange bereits bei der Frage an, wer auf welche Funktion bzw. Information Zugriff erhalten solle.
Erhält ein externer Dienstleister Zutritt zu dem Produktionssystem, dann ist zwar eine schnellere Störungsbehebung das Ziel, die Verfügbarkeit wird erhöht, gleichzeitig aber wird der Kreis der Personen mit Zugriff auf sensible Informationen größer und damit die Vertraulichkeit eingeschränkt. „Da müssen die Manager abwägen, ob sie damit leben können“, sagte Kruschitz.
Im Gegensatz zu Produktionsanlagen in der Automobilindustrie lassen sich chemische und biotechnische Prozesse nicht einfach anhalten und später wieder fortfahren. Da sei es schwieriger, ein gehacktes System abzuschalten, erläuterte der Anapur-Chef. Im Fall eines Schadensereignisses richte sich das Augenmerk von Unternehmen der Prozessindustrie primär auf die Sicherheit von Personal und Umwelt. Kruschitz: „Systeme, die diese Art von funktionaler Sicherheit gewährleisten, sollen demnach von der normalen Prozesssteuerung unabhängig und rückwirkungsfrei funktionieren.“
Geschultes Personal schützt gegen Hacker
„Mit Technik allein ist IT-Sicherheit in der Produktion nicht zu erreichen“, erklärte auch Peter Schoo. Nur eine Kombination mit organisatorischen Maßnahmen führe zum Ziel, so der Leiter des Department Network Security and Early Warning Systems bei der Fraunhofer- Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) in München.
Gerätehersteller müssten in erster Linie die physikalischen Schnittstellen schaffen – sichere Hardwaremodule integrieren, die kryptografisch gesicherte Lösungen zur Kommunikation unterstützen.“Anlagenbetreiber werden sich schlau machen müssen, wie sie diese Geräte in ihre Anlagen einbinden können und sie werden IT-Sicherheitsarchitekturen erstellen müssen“, erklärte Schoo. Dabei sei es vor allem wichtig, dass das Personal in Sachen IT-Sicherheit geschult würde. Es gibt zwar inzwischen Produkte, mit denen sicherheitsrelevante IT-Bereiche einer Anlage abgeschottet werden können – „doch dazu muss das Know-how vorhanden sein“, sagt der AISEC-Experte. Die Sicherheitstechnik werde nicht vom Hersteller konfiguriert, sondern vom Anwender.
Ein Beitrag von: