Sicherheit in der vernetzten Industrie: Es wird nicht einfacher

Noch sind Cloud-Computing, das Internet of Things (IoT) und Industrie-4.0-Konzepte nicht in allen Unternehmen verankert – die neuen Techniken sind künftig aber nicht wegzudenken. Gleichzeitig steigt damit jedoch auch das Risiko von Hacker-Attacken. Dies erläuterte Holger Junker, Referatsleiter Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) während seiner Ansprache auf dem Embedded Software Engineering Kongress (ESE) in Sindelfingen. Junker wies in seinem Vortrag auf die Sicherheitsrisiken hin, die in den kommenden Jahren immer weitere Teile der Industrie bedrohen werden. Als ein Beispiel führte Junker das Internet of Things an.

Viele der Geräte, die bereits heute über das Internet miteinander vernetzt sind, wurden zu einer Zeit entwickelt, bevor die Cloud oder IoT überhaupt ein Thema waren. Es fehlen ihnen daher die Sicherheitsmechanismen und auch die Architektur, die erforderlich wäre, um sie gefahrlos mit dem Internet zu verbinden. Dennoch wird das in vielen Unternehmen, aber auch bei zahlreichen öffentlichen Verwaltungen, gemacht. Über die Suchmaschine Shodan, die gezielt per Internet zugängliche IT-Systeme sucht und auflistet, finden sihc beispielsweise die Steuerung eines Schwimmbads, das Logistikzentrum einer Handelskette oder auch das zentrale Smartmeter einer deutschen Hochschule, über das sich beispielsweise die Heizung regeln lässt. Offensichtlich fehlt es hier an der sonst überall üblichen Firewall, die die Systeme vor dem Internet verbirgt und schützt.

Aber auch ein Virenschutz ist bei vielen industriell genutzten Embedded Systems nicht integriert. Sie werden oftmals unter der Prämisse konstruiert, dass sie möglichst lange unverändert eingesetzt werden. Der Grund dafür sind in vielen Fällen gesetzliche Bestimmungen: Bei Anlagen der Chemieindustrie beispielsweise müsse nach jeglicher Veränderung eine erneute Abnahme durch den TÜV erfolgen, erklärte Junker. Er zigmal pro Tag aktualisierter Virenschutz passt in dieses Konzept nicht hinein.

Auch eine weitere Sicherheitsmaßnahme, nämlich die Verschlüsselung der Datenkommunikation, ist aufgrund der Beschränkungen vieler Geräte im Internet of Things nicht umsetzbar. Die große Herausforderung bei der Umsetzung von Industrie 4.0 wiederum wird sein, dass nicht nur die Kommunikation zwischen den Geräten automatisiert wird, sondern dass auch die Sicherheitskonzepte zumindest teilautomatisiert werden müssen. Denn eine rein manuelle Überwachung wird nicht mehr möglich sein. Und mehr noch: Da die Datenkommunikation in Zukunft vermehrt über Unternehmensgrenzen hinweg erfolgen wird, etwa zwischen den Produktionssystemen von Automobilherstellern und Zulieferern oder zwischen Handelsketten und Produzenten, werden auch die Sicherheitskonzepte unternehmensübergreifend gestaltet werden müssen.

Der BSI bietet auf seiner Website umfangreiches Informationsmaterial zum Thema Sicherheit bei Industrial Control Systems an. Bei der Broschüre Industrial Control System Security: Top 10 Bedrohungen und Gegenmaßnahmen zum Beispiel verzeichnete das BSI laut Holger Junker in manchen Monaten bis zu 55.000 Downloads. Auf einer weiteren Unterseite hingegen finden Interessierte eine Sammlung von Publikationen speziell zur Industrial Control System Security.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Der ganze Artikel: Sicherheit in der vernetzten Industrie: Es wird nicht einfacher