Internet of Things

Industrie 4.0 braucht sichere IT

Von Peter Aumüller · 2016

PC- und Netzwerktechnik hält Einzug in den Fertigungsanlagen moderner Industriebetriebe. Verbesserte Qualitätssicherung, genauere Planung und höhere Verfügbarkeit der Systeme sind die Gründe, aus denen die Industrie in eine neue „Revolution“ startet. Doch wer die Fertigung vernetzt, macht sich verwundbar und muss seine Anlagen gegen Angriffe schützen.

Die Idee ist einfach: Ist bekannt, welche Bedingungen bei der Produktion eines Produkts geherrscht haben und liegen eine Menge solcher Daten vor, ist es möglich von den Produktionsbedingungen auf die Qualität einer Produktcharge zu schließen. 

Weiß ein Zulieferunternehmen darüber Bescheid, wie viele Produkte sein Kunde verkauft und von welchen Faktoren die Verkäufe abhängen, kann er selbst seine Produktion besser planen. Zum Beispiel Eis: Das verkauft sich bei heißem Wetter erheblich besser als bei Dauerregen. Sagt der Wetterbericht eine Trockenperiode voraus, kann sich die gesamte Lieferkette, von der Eisdiele bis zu den Lieferanten des Waffelbäckers auf höhere Absätze einstellen und die Produktion ausweiten. Sehr präzise geht das, stehen Daten aus mehreren Jahren zur Verfügung. 

In moderne Maschinen arbeiten viele Sensoren, die die unterschiedlichsten Faktoren erfassen und als Daten abspeichern: Optische Sensoren „sehen“ die Qualität einer Oberfläche, Temperaturfühler messen Produktionstemperaturen. Es gibt Sensoren, die Druck messen, solche die Bewegungen registrieren und viele weitere. 

Interessant ist, die Daten, die diese Sensoren produzieren, systematisch auszuwerten und in Beziehung zu setzen. Denn so entstehen Informationen über die Produktionsbedingungen aber auch über den Zustand der Maschine. Häufig gibt es frühe Anzeichen dafür, dass eine Maschine ausfallen wird. Techniker mit dem richtigen Ersatzteil können bereits eintreffen, bevor die Maschine ausfällt. Die Reparatur kann in den Produktionsablauf eingeplant werden. 

Produktionsarbeit der Zukunft

An diesen Anwendungen arbeiten Industrie und Computerbranche bereits mit Hochdruck. Ausgangspunkt war eine Studie des Fraunhofer Instituts „Produktionsarbeit der Zukunft – Industrie 4.0“ aus dem Jahr 2013. Deren Herausgeber Dieter Spath stellte sich nach der Wirtschaftskrise von 2008 die Frage nach den Auswirkungen auf die deutsche Produktionswirtschaft und suchte nach Wegen, die Industrie effizient und zukunftssicher zu machen. Er kommt zu dem Schluss: „Aktuell steht die Produktion vor einem neuen Umbruch. Unter dem plakativen Namen „Industrie 4.0“ wird der flächendeckende Einzug von Informations- und Kommunikationstechnik sowie deren Vernetzung zu einem Internet der Dinge, Dienste und Daten, das eine Echtzeitfähigkeit der Produktion ermöglicht, propagiert.“ 

Die Voraussetzung für Industrie 4.0 ist Informations- und Kommunikationstechnologie. Experten gehen davon aus, dass sich mit dem Einzug der IT die Industrie ähnlich wandeln wird wie mit dem Siegeszug der Dampfmaschine. Sie sprechen daher von der vierten industriellen Revolution. 

Deren Vorteile liegen auf der Hand. Wenn einzelne Maschinen, die heute noch isoliert vor sich hin werkeln, ihre Informationen zur Analyse abgeben oder mit anderen Maschinen austauschen, entstehen die oben skizzierten Effekte ebenso, wie wenn ganze Unternehmen sich ihren Partnern in der Wertschöpfungskette öffnen. 

Aber eben im Öffnen liegt auch die Gefahr. Und hier kommt IT-Security ins Spiel. Während der ersten Industriellen Revolution demolierten französische Landarbeiter die neuen Maschinen, indem sie ihre hölzernen Schuhe – französisch Sabot – hineinwarfen – daher Sabotage. 

Mit dem Einzug der IT in die Produktionshallen müssen Saboteure nicht mehr vor Ort sein, um Maschinen zu sabotieren, eine Produktion lahmzulegen oder Unternehmensgeheimnisse auszuspionieren. Denn mit der IT halten auch die aus Büro und privater IT bekannten Phänomene krimineller Hacker, Viren, Phishing und Trojaner Einzug in die Produktionsanlagen. Und so empfiehlt Spath: „Sicherheitsaspekte (Safety und Security) müssen schon beim Design intelligenter Produktionsanlagen berücksichtigt werden.“

Im Jahr 2016 ist die Entwicklung bereits weit fortgeschritten. Immer mehr Unternehmen denken über Industrie 4.0 nach, viele setzen großangelegte Projekte um. Und mit den Vorteilen sind auch die Sicherheitsvorfälle eingetreten. Ohne den Namen des Unternehmens zu nennen, berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen Hackerangriff auf ein Stahlwerk. Kriminelle hatten die Kontrolle über den Hochofen übernommen. 

Die Methoden der Angreifer 

Unter dem Titel „Industrial Control System Security“ veröffentlicht das BSI die „Top 10 Bedrohungen und Gegenmaßnahmen“. Industrial Control Systeme oder kurz ICS sind Systeme zur Fertigungs- und Prozessautomatisierung, also die Hard- und Software, die einzelne Maschinen aber auch ganze Anlagen steuert. „Dies reicht von der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik und modernem Gebäudemanagement. Solche ICS sind zunehmend denselben Cyberangriffen ausgesetzt, wie dies auch in der konventionellen IT der Fall ist“, konstatiert das BSI. 

Das BSI unterscheidet primäre Angriffe, bei denen Angreifer in Industrieanlagen eindringen und Folgeangriffe. Bei diesen verschaffen sich Hacker, sind sie einmal eingedrungen, Zugriff auf weitere Systeme. Denn bei vernetzten Systemen ist der Schutz tatsächlich nur so gut, wie das am wenigsten abgesicherte Gerät. Sind Eindringlinge erst einmal ins Netzwerk gelangt, ist es für sie vergleichsweise einfach, sich auf angeschlossene Systeme vorzuarbeiten. 

In einer Wertschöpfungskette, in der die Maschinen und Systeme mehrerer Unternehmen miteinander verknüpft sind, ist es daher wichtig, alle Geräte im Verbund zu betrachten und abzusichern. Der PC des Praktikanten kann dabei ebenso Angriffsziel sein wie ein produktionskritisches System, obwohl auf ihm scheinbar nur harmlose Daten gespeichert sind. So nennt das BSI als eines der wichtigsten Einfallstore ins ICS Notebooks und Smartphones der Techniker und Mitarbeiter im Produktionsumfeld. Auf die Geräte gelangt Schadsoftware häufig über Speichersticks. Denn die meisten Mitarbeiter in Unternehmen gehen mit diesen externen Medien sorglos um. Sicherheitsexperten haben herausgefunden, dass rund 80 Prozent aller Anwender, die einen USB-Stick finden, diesen an ihren PC anschließen. Dass Schadsoftware von einem USB-Speicher so ins Unternehmensnetz gelangt – und sich von da weiter auf das ICS vorkämpfen kann – ist den wenigsten bewusst. 

Sicherheitsrisiko Mensch 

Menschliches Fehlverhalten – bewusstes oder unbewusstes – ist einer der größten Risikofaktoren für Industrie 4.0. „Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware“ rangiert seit Jahren auf Platz zwei der BSI-Liste. Gleich nach „Social Engineering und Phishing“, eine Methode, die Mitarbeiter zu „unbedachten oder fahrlässigen Handlungen ... verleiten“ soll. Die Aufforderung dazu erfolgt meist über bisweilen sehr gut gemachte E-Mails, die den Anwender direkt ansprechen und plausible Informationen aus seiner Umgebung verwenden. 

Nicht alle Bedrohungen lassen sich mit rein technischen Maßnahmen wie Firewalls, VPN-Installationen oder Thin oder Zero Clients lösen. In den meisten Fällen sind organisatorische Maßnahmen wie regelmäßige Kategorisierung der Daten in mehr oder weniger schutzbedürftig, festgelegte Prozesse, die auch Sicherheitsprüfungen umfassen und vor allem die Sensibilisierung der Mitarbeiter erforderlich: „Einer Vielzahl von Risiken und Bedrohungen kann nicht durch die Umsetzung technischer Maßnahmen, sondern vielmehr durch die Kombination von organisatorischen Regelungen und technischen Maßnahmen minimiert werden.“ 

Fazit 

Unternehmen, die sich mit dem Thema Industrie 4.0 beschäftigen, sollten sich von Anfang an auch mit dem Thema IT-Security befassen. Spezialisierte Unternehmen beschäftigen sich mit wirksamen technischen und organisatorischen Schutzmechanismen. Denn es ist keine Option, angesichts der möglichen Risiken, die Augen vor dem Fortschritt zu verschließen.