Informationstechnik in der Produktion: Intelligent abgeschirmt
Die Voraussetzungen für einen sicheren Betrieb von Produktionsanlagen und komplexen technischen Leitständen haben sich seit dem Einzug der Informationstechnik in die Produktion s...
Die Voraussetzungen für einen sicheren Betrieb von Produktionsanlagen und komplexen technischen Leitständen haben sich seit dem Einzug der Informationstechnik in die Produktion stark verändert. Statt einzelner Messfühler kommen Sensor-Arrays zum Einsatz. Lokale Bedienterminals an den einzelnen Maschinen werden nun im Sinne integrierter Produktionsstraßen am Bildschirm im Leitstand überwacht und nachgeregelt. Diese Verbesserung der Arbeitsbedingungen und des damit einhergehenden Komforts bringen jedoch auch Nachteile mit sich, wie beispielsweise die
steigende Anzahl gezielter Attacken auf Scada-Netze zeigt.
Die IT-Verantwortlichen in der Fertigung stehen vor der großen Herausforderung, diesen langfristig ausgelegten und „subversiven" Angriffen (Advanced Persistant Threat) adäquat zu begegnen. Nicht nur deren Zielgenauigkeit sowie die aufgewandten personellen und finanziellen Ressourcen unterscheiden diese Attacken von denen in der Vergangenheit: Bei dieser Form von IT-Kriminalität steht nicht mehr der kurzfristige Erfolg (das Opferunternehmen zu behindern oder wenige Daten abzugreifen), sondern der langfristig unentdeckte Zugang zu den Systemen der Zielunternehmen im Vordergrund.
Produktion intelligent abschirmen
Viele Unternehmen haben ihre Produktion entsprechend abgeschirmt, um den Befall mit Schadsoftware zu unterbinden. Intrusion Detection Systeme und spezielle mini-Firewalls schützen Produktionsnetze vor ungewünschten Angriffen. Wo es möglich ist, werden (Betriebs-)Systeme aktualisiert und gehärtet. Diese Maßnahmen sind ob der Struktur und des Alters diverser Anlagenteile jedoch nicht immer wirksam umsetzbar. Einige Unternehmen setzen daher eher auf die Erlassung strikter organisatorischer Verfahrensweisen für den Zugriff auf ihre Produktionsnetze oder untersagen den Zugriff durch Dritte gänzlich. Der Einsatz moderner Schutzmethoden oder klassischer Netzsicherheitswerkzeuge (die etwa 802.1x „Network Access Control" an den aktiven Komponenten nutzen) führen einerseits zu einem hohen Schutzniveau, behindern jedoch andererseits maßgeblich die Problembehebung im Störfall. Wenn bei Stillstand der Produktion der herbei gerufene Servicetechniker des Herstellers nicht auf die erforderlichen Systemdaten zugreifen kann, wird es für die Unternehmen schnell teuer.
Gezielte Informationen
Längst ist den meisten Unternehmen bewusst, dass „Sicherheit" als fortlaufender Prozess zu betrachten ist und somit auch verpflichtender Bestandteil aller Kernprozesse in der Organisation sein sollte. Dem Einkaufsprozess kommt bei der Sicherheit von Produktionsanlagen eine besondere Bedeutung zu: Schon bei der Auswahl eines engeren Kreises von Herstellern - etwa über einen Request for Information (RfI) - sollte der Zentraleinkauf die Anbieter über die Sicherheitsanforderungen an die zu erwerbenden Maschinen und Steuersysteme aufklären. Nur so lassen sich passgenaue Angebote einholen und sinnvoll bewerten.
Neben den klassischen Anforderungen der Arbeitssicherheit haben darum viele Unternehmen klar definierte Mindestanforderungen an die zugrunde liegenden IT-Technologien in Produktionsanlagen vertraglich definiert. Bei den früher üblichen Klauseln zur „nicht-Veränderbarkeit" der Anlagen mit Blick auf die Wahrung der Gewährleistung wird in praxi zum Beispiel die explizite Ausklammerung der IT-Komponenten verlangt - eine notwendige Bedingung, um einen sicheren Betrieb gewährleisten zu können.
Prüfung schon vor der Abnahme
Um den Start in den Regelbetrieb optimal gestalten zu können, müssen sich die Betreiber auf die Stabilität und Sicherheit der gelieferten Anlagen verlassen können. Hier steht der Grundsatz: „Vertrauen ist gut, Kontrolle ist besser" an erster Stelle: Eine eingehende Prüfung der Anlage vor Beginn der Integrationsarbeiten in der Produktion ist folglich Pflicht. Umfassende Tests der Belastbarkeit - etwa durch simulierte DoS-Angriffe am Netzwerkinterface - oder konkrete Penetrations- oder Schwachstellentests zeigen erfahrungsgemäß eindeutige Qualitätsunterschiede. Mehrere Unternehmen der Automobilindustrie haben beispielsweise beim Einsatz kommerzieller Schwachstellenscanner festgestellt, dass die gelieferten Anlagen oftmals nicht den geforderten Bedingungen gerecht wurden. Die Konsequenzen solcher Fehlpässe sind gleichermaßen unangenehm wie kostenintensiv: Die geplante Integration während der Werksferien muss in diesen Fällen verschoben werden. Solche unerwünschten Folgen motivieren immer mehr Fachexperten in den Unternehmen, neben der Erfüllung von Umwelt- und Arbeitsschutzanforderungen, vermehrt die „IT-Sicherheit" der Maschinen zu prüfen.
Partnerschaft mit Sicherheit
In der Regel haben die Unternehmen der herstellenden Industrie Rahmenverträge für die anfallenden Wartungs- und Reparaturarbeiten mit einigen ausgewählten Dienstleistern geschlossen. Im Sinne einer partnerschaftlichen Zusammenarbeit wäre es möglich, die Servicetechniker eine Selbstregistrierung ihres Besuchs über eine spezielle Website des Kunden ausführen zu lassen. Neben einer Einhaltung der Vorschriften der Werkssicherheit (Erfassung von Name, Tag, Uhrzeit, Einsatzort, Fremdfirma, Ansprechpartner, u.a. des Einsatzes) kann dem Techniker ein „Remote Check" seines Servicelaptops angeboten werden. Ähnlich wie etwa der „Personal Security Inspector" (PSI) von Secunia bewertet der Remote Check die Sicherheit des Gerätes und gibt bei Bestehen der Prüfung ein „Gast-Zertifikat" aus, dass für den Tag (oder Zeitraum) der Wartungsarbeiten gültig ist. Kommt der Techniker vor Ort, kann die Gültigkeit des Zertifikats binnen Sekunden durch Anschluss an ein Testsegment geprüft und validiert werden - der Zugriff auf das interne Produktionsnetz erfolgt auf diese Weise unter Einhaltung der Vorgaben.
Mit etwas zusätzlichem technischem Aufwand (und einer organisatorischen Absprache zwischen Kunde und Dienstleister) ist es sogar denkbar, die Funktionen der Remote Prüfung in das eventuell vorhandene 802.1x System vor Ort einzubinden. Ist das Servicenotebook sicher, erhält es Zugriff. Ist es nicht geprüft oder die Prüfung zu alt, wird im automatisch zugeordneten Testsegment ein neuer Test durchgeführt. So kann sichergestellt werden, dass Produktionssysteme ausreichend vor externen Übergriffen geschützt, aber trotzdem komfortabel und sicher gewartet werden können.