Industrie 4.0: Der Sicherheitsbegriff im Wandel

Sobald Industrieanlagen mit dem Internet verbunden sind, können sie zum Einfallstor für Cyber-Angriffe werden. Der Schutz vernetzter Industrieanlagen vor Angriffen aus dem Internet ist daher eine Grundvoraussetzung für die Industrie 4.0 und das Industrial Internet of Things. [...]

Die Industrie der Zukunft ist vernetzt, daran besteht mittlerweile kaum ein Zweifel. Intelligente Produktionssysteme bieten zahlreiche Vorteile hinsichtlich Produktivität, Effizienz und Nachhaltigkeit. Doch das Versprechen von Industrie 4.0 und dem Industrial Internet of Things (IIoT) hat auch eine Kehrseite: Industrieanlagen sind potenziell angreifbar, sobald sie an das World Wide Web angeschlossen werden. Darin unterscheiden sie sich nicht von herkömmlichen Rechnern. Im Gegenteil – durch die Vernetzung von einzelnen Steuereinheiten und Sensoren bieten Industrieanlagen eine Vielzahl potenzieller Angriffsziele.

Multinationale Konzerne beschäftigen sich deshalb schon lange mit IT–Sicherheit auf allen Unternehmens– und Produktionsebenen. Bei kleinen und mittelständischen Unternehmen hat das Thema mitunter eine untergeordnete Priorität, da diese sich oft nicht als mögliches Ziel von Cyberkriminellen sehen. Dabei ist Sicherheit eine Grundvoraussetzung für Geschäftsmodelle in der Industrie 4.0.

Der Sicherheitsbegriff ändert sich

Während sich die Industrie im Wandel befindet, ändert sich gleichzeitig auch der Sicherheitsbegriff in der Produktion. Im Deutschen gibt es leider keine Unterscheidung zwischen „Safety“, also dem Schutz von Mensch, Umwelt und Maschinen vor physischem Schaden, und „Security“, was heute zumeist gleichbedeutend mit IT–Security ist. Die beiden Begriffe gehören zu zwei traditionell getrennten Welten: Safety als funktionale Sicherheit ist eine Domäne des Maschinenbaus. Security hingegen ist in der IT verwurzelt. Beide Welten haben ihre eigenen Sprachen und Prozesse.

Durch die Vernetzung von Industrieanlagen verschwimmen die Grenzen zwischen den beiden Welten jedoch zunehmend. Lücken in der IT–Security können sich direkt auf die Safety der Anlagen auswirken. Dieser Umstand macht es erforderlich, dass IT und Maschinenbau gemeinsam an Lösungen arbeiten, die die Sicherheit von Industrieanlagen gewährleisten. Das geschieht nicht zuletzt durch überarbeitete Industrienormen und Vorgehensweisen, die beide Bereiche berücksichtigen.

Große Herausforderungen

Die zunehmend populären (I)IoT-Komponenten stehen in mehrfacher Hinsicht zwischen den Welten und stellen dadurch beide Seiten vor große Herausforderungen. Die geringe Größe vieler (I)IoT-Komponenten sollte dabei nicht über ihre zum Teil sehr hohe inhärente Komplexität hinwegtäuschen.
So sind „klassische“ Steuergeräte in Industrieanlagen auch heute noch teilweise mit 8 Bit CPUs und Hauptspeichergrößen im Kilobytebereich ausgestattet. 32 Bit CPUs und ein paar Megabyte galten bis vor kurzem als „State-of-the-Art“. Um komplexe Systeme zu realisieren gab es keine andere Möglichkeit, als einzelne Komponenten nach Schichten hierarchisch aufzuteilen und kommunizieren zu lassen.

Heutige (I)IoT-Geräte hingegen haben Rechenleistungen, die vielen PCs vor zehn Jahren noch nicht zur Verfügung stand. ARM-basierte Quad- oder sogar Octa-Core-Systeme mit Gigabytes an Hauptspeicher und Flashspeicher sind keine Seltenheit. Damit verändert sich natürlich auch die Softwareentwicklung. Durch zusätzliche Kapazitäten in der Hardware kann die zugehörige „Embedded Software“ deutlich komfortabler entwickelt werden – allerdings oft zum Preis eines ganzen Rattenschwanzes an Abhängigkeiten von Paketen, Bibliotheken und Betriebssystemfunktionen. Jede dieser Komponenten bietet dabei Potenzial für Sicherheitslücken und Schwachstellen.

Das steigende Bewusstsein für IT–Security ist ein wichtiger Schritt hin zu sicheren vernetzten Anlagen. Viele Hersteller versuchen diesem Kundenbedürfnis gerecht zu werden und bewerben ihre Produkte entsprechend. Doch Sicherheit kann man sich im industriellen Umfeld nicht einfach durch den Erwerb von Produkten erkaufen. Sie hängt mindestens gleich stark von Erfahrung und Best-Practices ab wie von der zugehörigen Technologie.

Um sensible Systeme vor Cyberangriffen zu schützen, ist daher eine gemeinsame Anstrengung von Betreibern, Anlagenbauern und Softwareentwicklern sowie Sicherheitsexperten erforderlich. Dabei geht es um weit mehr als die Verbesserung von Embedded Software. Anlagen müssen auf ihre Schwachstellen überprüft werden. Darauf aufbauend kann ein Sicherheitskonzept entwickelt werden, das Prozesse und standardisierte Abläufe festlegt, die entsprechend installiert werden müssen. Sicherheit kann nur durch ein ganzheitliches Konzept erreicht werden, an dem alle Stakeholder aus den unterschiedlichsten Bereichen gemeinsam arbeiten.

*Udo Schneider ist Security Evangelist bei Trend Micro.