Sicherheit für Industrie 4.0

Sichere Smart Factory trotz alter Anlagen?



Udo Schneider ist Security Evangelist bei Trend Micro. Zuvor beschäftigte er sich dort als Solution Architect (EMEA) mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen Cybergefahren. Er konzentrierte sich dabei auf Themen wie Cloud-Computing Virtualisierung, Verschlüsselung und Netzwerksicherheit. Darüber hinaus greift er auf eine langjährige Erfahrung zurück, die er bei verschiedenen führenden Anbietern des IT-Sicherheitsmarktes erworben hat.
Die Industrie rüstet sich für die digitale Zukunft. Dabei können und sollten auch alte Anlagen wirksam gegen Angriffe geschützt werden.
Industrie 4.0 ist ohne sinnvolles Sicherheitskonzept kaum realisierbar.
Industrie 4.0 ist ohne sinnvolles Sicherheitskonzept kaum realisierbar.
Foto: Kokliang - shutterstock.com

Insbesondere alte Industrieanlagen werden beim Thema IT-Sicherheit oft vernachlässigt - dabei ist Sicherheit beim Blick in die Zukunft von ausschlaggebender Bedeutung. Industrie 4.0Industrie 4.0 ist ohne sinnvolles Sicherheitskonzept kaum realisierbar. Leider setzt sich jedoch in IT-Abteilungen kaum jemand mit dem Schutz von "Alt"-Anlagen auseinander, obwohl sich auch diese mit den richtigen Maßnahmen effektiv schützen lassen. Voraussetzung ist das Verständnis dafür, welche Art von SecuritySecurity zu welchem Typ Anlage passt. An dieser Stelle lohnt es sich, Anlagen in Kategorien einzuteilen, um im Hinblick auf die Art und das Alter der Anlagen konstruktive Sicherheitsmaßnahmen zu ergreifen. Alles zu Industrie 4.0 auf CIO.de Alles zu Security auf CIO.de

Sicherheit ist keine Frage des Alters

In der IT-Branche sind Austauschzyklen von wenigen Jahren keine Seltenheit. Deshalb überrascht es nicht, dass sich dort kaum jemand mit dem Schutz von älteren Anlagen auseinandersetzen möchte. Es scheint sich nicht zu lohnen, Zeit in alte Gerätschaften zu investieren, wo doch schon neue und innovativere Lösungen unterwegs sind.

Dabei sind im industriellen Bereich Betriebszeiträume von zehn oder mehr Jahren üblich. Die Office-IT geht hingegen meist nicht davon aus, dass Anlagen überhaupt so lange genutzt werden, oder dass Geräte dieser Altersklasse überhaupt noch schützenswert sind. Ein einfacher Blick in die Afa-Tabellen würde reichen, um sich mit Hilfe der Abschreibungsfristen ein genaueres Bild machen zu können.

Leider basieren viele moderne Ansätze zum Schutz von industriellen Bereichen darauf, dass man hier immer auf der grünen Wiese beginnen kann. Das gilt natürlich lediglich für Anlagen, die sich noch in Konzeptionsprozessen befinden und bei denen von Beginn an Security berücksichtigt wird. Ältere Maschinen fallen einfach durchs Raster, weil sie oftmals weder verändert noch mit Netzwerkanschluss konzipiert wurden. Nichtsdestotrotz gibt es Mittel und Wege auch ältere Modelle dauerhaft und sinnvoll abzusichern. Man muss allerdings wissen, welche Möglichkeiten überhaupt zur Verfügung stehen.

Analoge Steuerungen

Sieht man sich in manch einer Industriehalle um, findet man tatsächlich noch immer analoge Steuerungen, die "klassisch" arbeiten - also elektrisch, magnetisch oder anderweitig analog. Diese bieten so gut wie keine inhärenten Gefahren oder Angriffspunkte. Das gilt sogar für Anlagen mit inzwischen integrierten IT-Komponenten, sofern diese beispielsweise mit speziell für den Anwendungsfall geschriebenen Komponenten ohne Betriebssystem (sprich auf "nackter" Hardware) oder beispielsweise noch unter DOS arbeiten.

Ähnlich ist es auch bei Steuerungen, welche auf Mikro- oder Altprozessoren basieren. Potentielle Gefahr besteht allenfalls, sobald solche Anlagen an modernere Systeme angebunden werden. Hierbei ist allerdings die Anbindung und nicht die Steuerung an sich die Hauptursache für Bedrohungen.

Anlagen ohne Netzanbindung

Anlagen ohne Netzanbindung sind auch im Jahr 2019 in sehr vielen Betrieben zu finden, was für die Office-IT-Security durchaus problematisch sein kann. Zum einen sind diese nicht vernetzt und daher unmöglich in herkömmliche Security-Mechanismen zu integrieren, die meist davon ausgehen, dass alle angebundenen Komponenten zumindest temporär über ein Netzwerk zu erreichen sind, wenn beispielsweise neue Versionen ausgerollt werden. Zum anderen tauchen hier noch immer Systeme auf, die auf Windows NT, 2000 oder XP basieren. Allesamt Betriebssysteme, die seit längerer Zeit nicht mehr gepatcht werden können und dementsprechend mit einer üppigen Ansammlung an massiven Verwundbarkeiten aufwarten.

Die Petya-Ransomware befiel im Juni 2017 auch zahlreiche Industrieanlagen.
Die Petya-Ransomware befiel im Juni 2017 auch zahlreiche Industrieanlagen.
Foto: Trend Micro

Passend zum Thema: Umfrage: Hyperkonvergente Infrastrukturen liegen voll im Trend. Profitieren Sie auch schon von HCI?

Einen praktischen Lösungsansatz stellen in diesem Umfeld USB-Sticks zum Scannen und Säubern dar. Nach dem Einstecken kann eine Anlage vom Stick aus durchsucht und bei Bedarf direkt gereinigt werden. Mögliche Protokolldateien oder Dateien für die Quarantäne werden unmittelbar zurück auf den Stick geschrieben. Solche Informationen kann ein Administrator dann im Nachgang einsehen und zentral verwalten. Entscheidend bei dieser Methode ist, dass dazu keine Software auf der Anlage installiert werden muss. Dadurch wird der kritischen Punkt umgangen, der zu Wartungsverlust bei der Installation von Software führt.

Dieses Beispiel verdeutlicht, dass sich auch alte "offline" Anlagen schützen lassen. "Offline" bedeutet dabei natürlich auch, dass eine große Angriffsfläche schlichtweg nicht existent ist. Trotzdem ist es sinnvoll, solche Systeme in regelmäßigen Abständen zu scannen und zu bereinigen.

Anlagen mit Netzanbindung

Diesen weit verbreiteten Anlagen-Typen könnte man - nach den Anlagen ohne Netzanbindung - als zweiten "Angstgegner" der Office-IT-Security bezeichnen. Gemeint sind Anlagen, die bereits mit Netzwerkanbindung ausgeliefert wurden und auch jene, bei denen diese nachgerüstet wurde. Im ersten Fall wurde eine Netzanbindung häufig unter der Prämisse vollzogen, diese nur im abgeschotteten und geschützten Netzumfeld einzusetzen. Im zweiten Fall geschah die Anbindung oftmals durch das Upgrade der Wartungszugänge (Modem, DSL, etc.) oder durch Protokollumsetzer (Seriell/USB oder Feldbus auf Netzwerk).

Solche Anlagen sind also generell "online" und damit potentiell für Angreifer erreichbar, können aber teilweise aus Systemgründen nicht gepatcht werden. Die Angriffsfläche aufgrund von entdeckten Verwundbarkeiten steigt also kontinuierlich mit dem Alter der Anlage.

Standardvorgehensweisen wie das zeitnahe Patchen sind also nicht immer durchführbar. Eine Alternative stellt die Abschottung auf Netzwerkebene dar. Das kann die Segmentierung von Netzen, aber auch das Abschotten und Abschalten nicht benötigter Kommunikationskanäle, Quellen oder Ziele mittels Firewalls sein. Leider ist man damit noch nicht auf der sicheren Seite. Die Vergangenheit hat gezeigt, dass Angreifer gerne auch Lücken in erlaubter Kommunikation für ihre Zwecke nutzen. Wenn beispielsweise der Zugriff des HMI-Systems auf einen Prozess über das Netzwerk erlaubt ist, können Angreifer genau diese Kommunikation imitieren und auf einfache Weise Schaden anrichten.

Hier ist der Einsatz von IPS (Intrusion-Prevention-Systemen) oder BDS (Breach-Detection-Systemen) gefragt: Für industrielle Anwendungen geeignete IPS-Systeme beinhalten einen großen Satz an Regeln und Intelligenz im Bereich der Feldbus- bzw. SCADA/ICS-Protokolle. Dadurch können Angriffe innerhalb erlaubter Kommunikationskanäle erkannt und unterbunden werden. Derartige Systeme können beispielsweise beim Übergang vom Office- in das Produktionsnetz eingesetzt werden. Am sinnvollsten ist allerdings der Einsatz "nah" der Anlage, um möglichst alle unbefugten Zugriffe zu unterbinden.

Breach-Detection-Systeme hingegen werden besser in Kontroll- oder Entwicklungsnetzen platziert. Hier suchen diese Anwendungen sinnbildlich nach der Nadel im Heuhaufen. Dies passiert dadurch, dass verdächtige Kommunikation und Verhaltensweisen großflächig von Protokollen und Diensten nachhaltig untersucht werden.

Alt-Anlagen mit Netzanbindung lassen sich also ebenso sinnvoll schützen. Das geschieht umso effizienter, je "näher" sich entsprechende Security-Maßnahmen wie IPS oder BDS an der Anlage befinden.

Fazit

Am vorteilhaftesten ist es natürlich immer, Security von Anfang an mit einzupflegen. Das heißt im Umkehrschluss aber nicht, dass "alte" Anlagen ignoriert oder sofort ersetzt werden müssen. Es gibt effektive Möglichkeiten, auch Alt-Anlagen konstruktiv abzusichern. Die Verantwortlichen müssen sich nur mit eben dieser Thematik auseinandersetzen und die richtigen Maßnahmen den passenden Anlagen zuordnen. So lassen sich auch ältere Gerätschaften in smarte Konzepte integrieren. Schließlich liegt es im Interesse der Effizienz, bereits vorhandene Ressourcen bestmöglich einzusetzen.

Zur Startseite