Der Gefahr ins Auge sehen

Peter Fröhlich beschäftigt sich in seinem Vortrag "Cybersecurity in der Automation – Der Gefahr ins Auge gesehen" damit, welche konkreten Gefahren, Opfer von gezielten und zufälligen Cyberattacken zu werden und welche Abwehrmaßnahmen bzw. Standards und Herangehensweisen es gibt. [...]

Peter Fröhlich, Dekan der Technischen Hochschule Deggendorf und Steffan Gottwald, Country Manager Austria Routeco GesmbH. (c) Routeco/Fotostudio Eder/Juliana Tasler
Peter Fröhlich, Dekan der Technischen Hochschule Deggendorf und Steffan Gottwald, Country Manager Austria Routeco GesmbH. (c) Routeco/Fotostudio Eder/Juliana Tasler

Unter dem Motto „Sichere Digitalisierung in Produktion und Maschinenbau“ fand am 25. September in Kooperation mit dem Mechatronik-, IT– und Cleantech-Cluster der oberösterreichischen Standortagentur Business Upper Austria die vom Automatisierungsspezialisten Routeco organisierte Veranstaltung für Cybersecurity im IoT der Industrie statt. Neben drei spannenden Fachvorträgen stand auch eine Betriebsbesichtigung bei dem führenden Hersteller von Biomasseheizungen der Firma ETA Heiztechnik GmbH auf dem Programm.

Digitalisierung erhöht Chancen und Risiken

„Bei der Digitalisierung und zunehmenden Vernetzung von Maschinen und Industrieanlagen ist es wichtig, ein schlüssiges Gesamtkonzept zu haben, welches Maschinen, Systeme, Prozesse und Personen einbezieht und Schritt für Schritt finanziert und umgesetzt werden kann“, betonte Stefan Gottwald, Country Manager Austria Routeco GesmbH, „wenn Sie als Industriebetrieb den Automatisierungsgrad und die Vernetzung erhöhen, steigern Sie Ihre Effizienz und erhöhen Ihre Marktchancen, es vergrößern sich damit aber auch ihre Sicherheitsrisiken.“ Mit den Digitalisierungspionieren Rockwell Automation und Cisco bietet Routeco relevante Produkte und Dienstleistungen, um diese Risiken im Bereich der OT besser managen zu können. Wichtig für Industriebetriebe ist der Schritt in eine strukturierte Umsetzung.

Cyberattacken abwehren

Wie Fernwartungen und Fernzugriff auf Maschinendaten wirklich sicher gemacht werden können, erklärte Routeco anhand von praxisbezogenen Lösungen anhand des innovativen Partners Secomea. Keynote Speaker Peter Fröhlich, Dekan der Technischen Hochschule Deggendorf, Geschäftsführer der ProtecEM GmbH und Leiter des Instituts ProectIT, beschäftigte sich in seinem Vortrag „Cybersecurity in der Automation – Der Gefahr ins Auge gesehen“ damit, welche konkreten Gefahren, Opfer von gezielten und zufälligen Cyberattacken zu werden und welche Abwehrmaßnahmen bzw. Standards und Herangehensweisen es gibt. Im Interview fasst er seinen Vortrag zusammen:

Der Grad der Vernetzung von Industrieanlagen und Infrastruktur wird mehr und mehr zunehmen. Welche Voraussetzungen müssen hierfür geschaffen und welche Vorsichtsmaßnahmen getroffen werden?
Zunächst einmal sind automatisierte Industrieanlagen in aller Regel vernetzt, und das nicht erst seit heute. Neu ist, dass wir die Daten in größere Zusammenhänge stellen, intelligenter auswerten und so zusätzlichen Nutzen daraus ziehen. Die größte Herausforderung sehe ich darin, den Zugriff geeignet zu steuern. In den Rohdaten einer Anlage in Betrieb stecken sowohl schützenswertes Knowhow des Maschinenherstellers über die inneren Abläufe der Maschine als auch schützenswerte Informationen des Betreibers über dessen Produktionsprogramm. Beide haben ein legitimes Interesse, mit den Daten ihre eigenen Systeme zu verbessern. Darum müssen die Rohdaten zielgerichtet für beide Adressaten bearbeitet werden, sodass die Geheimnisse des jeweils anderen dabei verschleiert werden. Die Rohdaten bekommt keiner. Solche Lösungen kenne ich bisher noch nicht.

Fernwartung und Cloudanbindung erhöhen IT-Komplexität und damit die Risiken. Welche konkreten Gefahren, Opfer von gezielten und zufälligen Cyberattacken zu werden, ergeben sich?
Fernwartung
wird häufig den Maschinen– und Anlagenlieferanten überlassen. Je nach Netzwerkarchitektur ist aber jeder Fernwartungstunnel auch ein Einfallstor für Trojaner und andere Schädlinge, das vom Betreiber nicht zu kontrollieren ist. Die Betreiber müssen sich mit diesem Thema intensiv auseinandersetzen. Zertifizierte Fernwartungsprodukte, wie sie auch von Routeco vorgestellt wurden, sind auf jeden Fall in der Lage, das Risiko deutlich zu reduzieren, wenn sie entsprechend eingesetzt werden. Dazu ist die ganzheitliche Security-Perspektive erforderlich.

Welche Abwehrmaßnahmen sind möglich und welche Standards und Herangehensweisen setzen sich durch?
Ganz klar hat sich die IEC 62443 als der Standard für Security in der Automation durchgesetzt. Wir führen eine Cyber-FMEA durch, um das Risiko sinnvoll und wirtschaftlich aus Sicht des Anlagenherstellers zu bewerten. Als Maßnahmen lassen sich konform zur IEC 62443 eine verbesserte Systemarchitektur, gehärtete Komponenten und vor allem eine kontinuierliche Überwachung der Kommunikationsverbindungen ableiten. Das sind alles machbare und bezahlbare Maßnahmen, aber es erfordert ein systematisches Vorgehen.

Kann man digital vernetzt UND sicher unterwegs sein?
Ich verwende KeePass 2 als Passwortsafe – mein ganz persönlicher Tipp. Das Smartphone nutze ich als einen Faktor für die Authentifizierung beim Online-Banking, aber niemals zur Durchführung der Überweisung selbst, die mache ich auf dem PC. Mein Smartphone bekommt außerdem zwei Jahr lang garantierte Updates. Mein Haus ist vernetzt und nimmt Sprachkommandos einer der bekannten Verdächtigen an, aber nicht das Haustürschloss. Panik ist völlig unangebracht – genauso wenig wie blindes Vertrauen.

Was würden Sie niemals auf ihrem Smartphone installieren – welche APP sollte man unbedingt auf seinem Handy installiert haben?
Niemals: die Hammer-App aus dem c’t-Cartoon. Unbedingt: meine Navi-App für ausgedehnte Mountainbike-Touren im Bayerischen Wald!


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*