Sysbus
ArtikelSecurity

Hightech-Manufacturing: ICS-Security zwischen Risikomanagement und Wertschöpfung

gcg

Vom Silo-Denken zum fachübergreifenden Konsens

Bei Produktionsspezialisten und Automatisierern mag der Mix-and-Match-Zustand vieler Industrienetze zunächst keine Bedenken auslösen. Denn immerhin werden Funktionen, die die Betriebssicherheit von Anlagen gefährden könnten, auf Feldebene getrennt ausgeführt und redundant ausgelegt. Sicherheitsrelevante Grenzwerte wie Maximaldrücke oder Drehzahlen von Pumpen sind ohnehin hartkodiert. Hinzu kommt, dass die verwendeten industriespezifischen Protokolle für mögliche Angreifer eine hohe technische Hürde darstellen. Angesichts der Entwicklung der vergangenen Jahre reichen diese Aspekte für sich allein jedoch nicht mehr aus. Denn nicht nur die Anzahl der IP-Verbindungen hat bereits stark zugenommen, sondern auch die Bedrohungslage selbst ist heute eine völlig andere als vielleicht noch vor fünf Jahren. Spätestens seit dem Auftauchen von Stuxnet sowie weiteren, auf Industrienetze spezialisierten Malware-Varianten wird die Diskussion über Sicherheit in Produktionssystemen verstärkt in der Öffentlichkeit geführt. Hinzu kommt, dass inzwischen auch spezialisierte Suchmaschinen existieren, die gezielt nach offenen Internetverbindungen mit produktionsspezifischen Protokollen suchen können. Eine aktuelle ICS-Security-Studie des Sicherheitsspezialisten Kaspersky Lab lieferte unlängst rund 26.000 unsichere ICS-Komponenten, die allein in Deutschland problemlos über das Internet erreichbar waren. Das dies kein wünschenswerter Ist-Zustand für den reibungslosen Betrieb einer Produktionsumgebung sein kann, ist mittlerweile fachübergreifender Konsens.

Auch das ursprüngliche Silo-Denken zwischen IT-Verantwortlichen und Produktionsleitern löst sich dank zunehmender Berichterstattung, vermehrter Aufklärung in Forschung und Lehre sowie standardisierter Sicherheitsrichtlinien (IEC 62443) mehr und mehr auf. Inzwischen werden professionell koordinierte Sicherheitsinitiativen von den meisten Produktionsleitern begrüßt oder sogar aktiv gefordert. Immerhin sind sie letztlich für einen reibungslosen Fertigungsablauf und einen effizienten Anlagen-Output verantwortlich. Ein komplexer Hackerangriff oder ein auf Industrieanlagen spezialisierter Schädling gefährdet diese Zielsetzung. Laut dem BSI vergehen 227 Tage, bis eine gezielte Attacke auf ein Unternehmen bemerkt wird – so lange sitzt der Angreifer im Durchschnitt im Unternehmen, kann spionieren und Manipulationen vorbereiten, ohne dass jemand weiß, dass ein Problem vorliegt. Schon ein einzelner Sicherheitsvorfall kann zu langanhaltenden und sehr teuren Produktionsausfällen oder zur Offenlegung brisanter Betriebsgeheimnisse führen – speziell in der Hochtechnologiefertigung wie auch beim Aufbau der Produktionsumgebung selbst, denn in der Architektur von Feldbusebene und MES-Systemen sowie der Parametrisierung von speicherprogrammierbaren Steuerungen steckt mitunter jahrzehntelanges Entwicklungs-Know-how und damit geistiges Eigentum, das unbedingt geschützt werden muss. Bis zu 51 Milliarden Euro Schaden in Unternehmen werden pro Jahr, so eine Studie der BitKom, aufgrund von Cyber-Attacken verursacht. ICS-Security wird deshalb schon längst nicht mehr als Hemmnis für die Fertigung gesehen, sondern vielmehr als eine der entscheidenden Voraussetzungen für eine zuverlässige Produktionsplanung. Dieses Umdenken war zwingend nötig, denn ohne die Fachkenntnis von Produktionstechnikern und Prozessleitingenieuren lassen sich Fertigungsumgebungen nicht praxisgerecht absichern. Erst ein interdisziplinärer Ansatz, bei dem die Sichtweisen von IT- und Produktionsspezialisten sinnvoll zusammengeführt werden, ist in der Lage, Echtzeitanforderungen und Sicherheitsmechanismen zu einem ausbalancierten Sicherheitskonzept zu verbinden. Dabei müssen auch IT-Security-Spezialisten ihre Sichtweisen überprüfen und gegebenenfalls einen nachhaltigen Perspektivwechsel vornehmen, denn auch ein übertriebener Einsatz von IT-Security-Maßnahmen ist in der Feldebene nicht zielführend. Er würde letztlich in einen starren Produktionsverbund münden, der an den Praxisanforderungen der Fertigungsumgebung vorbeigeht. Deshalb gilt gerade bei der Absicherung von Fertigungsumgebungen: “One-size-fits-all“-Lösungen sind meist fehl am Platze, entscheidend sind die individuellen Anforderungen des einzelnen Betreibers.

Das könnte dir auch gefallen

Interview mit Thomas Uhlemann von ESET zum Thema “Authentifizierung”

gg

Sicherheitslösung von Bromium stellt Hacker vor Probleme

gg

Worauf es beim IT-Insourcing ankommt

gg