IT-Sicherheit in der Industrie 4.0

Beim Blackout-Kongress von secumedia im Dezember 2014 wurde die Übernahme eines Zuges der vollautomatischen Nürnberger U-Bahn simuliert. Die Angst vor einer solchen Cyberattacke scheint berechtigt. In den vergangenen Jahren wurden mehrere industrielle Anlagen mindestens teilweise außer Gefecht gesetzt. Stuxnet, Shamoon, Havex – so heißen berühmt-berüchtigte Cyberangriffe, die dafür verantworlich waren.  

2010 wurde in einer Urananreicherungsanlage im iranischen Natans der Wurm Stuxnet entdeckt, der wahrscheinlich von den Geheimdiensten Israels und der USA programmiert und über einen USB-Stick eingeschleust wurde, um dann jahrelang die Zentrifugen zu sabotieren. Shamoon setzte 2012 über 30.000 Rechner der saudi-arabischen Raffinerie Aramco für mehrere Wochen außer Gefecht. Weniger spektakulär, dafür aber fast flächendeckend, sind SCADA-Netze, also typische industrielle Produktionsanlagen, von Havex infiziert, der nicht nur Daten abgreift, sondern zu einer fatalen Überlastung der Steuerungsanlage führt. Unternehmen brauchen im Schnitt 227 Tage, bis sie den Wurm überhaupt entdecken. Ihn unschädlich zu machen und das System zu säubern dauert noch viel länger. Wie kommt es zu dieser Häufung von Cyberangriffen?

Neue Bedrohungen durch Industrie 4.0

Unter dem Slogan Industrie 4.0 wird die rasante Integration von IT und industrieller Automatisierung verstanden. Maschinen sind heute nicht mehr über spezifische Technologien wie z.B. den Profibus, sondern über den Internet-Standard Ethernet verbunden. Sie beziehen Daten von Webservern oder schicken und empfangen E-Mails. Das macht die Produktion nicht nur günstiger und flexibler, sondern auch einfacher zu betreiben. Auch Smartphones, Tablets & Co. samt entsprechender Apps tragen zu dieser Standardisierung der Industrie hin zur IT bei. In IT-Netzen werden Daten gespeichert und verteilt. Angriffe auf solche Netze haben oft das Ziel, bestimmte (vertrauliche) Informationen mitzulesen (siehe Geheimdienste) oder die Verfügbarkeit dieser Informationen zu stören, wie beim Angriff auf das Netz des Bundestags im Mai 2015. Wenn Maschinen nun auch über IP-Adressen ansprechbar sind, können Hacker nicht nur auf virtuelle Daten zugreifen, sondern auch die Steuerung materieller Einheiten übernehmen und sie abschalten oder ihre Aktivität manipulieren.

Mit der Verwendung von Internet-Technologien entsteht also eine Vielzahl von neuen Schnittstellen zwischen der internen IT-basierten Produktionsumgebung und dem relativ freien, unkontrollierten und unkontrollierbaren Cyberspace. Bedrohungen, die in der IT schon lange bekannt sind, sind heute in der automatisierten Industrie wieder hochaktuell. Um im Wettbewerb mithalten zu können, müssen Industrieunternehmen sich demnach nicht nur gegen Wirtschaftsspionage absichern, sondern auch Vorkehrungen für ihre automatisierten Anlagen treffen, um im Notfall von außen eingreifen zu können. Der Stillstand einer Anlage in der Pharma- oder Nahrungsmittelbranche hat beträchtliche Verluste zur Folge. Unternehmen schaffen jetzt auch zunehmend Firewalls und Sicherheitsmanagementsysteme für die Fertigungsebene an.
Kritische Infrastrukturen sind Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Störungen der üblichen Prozesse einer hoch spezialisierten und fast vollkommen abhängigen Gesellschaft nach sich zieht, zum Beispiel Energie, Transport oder Telekommunikation. Meist handelt es sich um privatwirtschaftlich verfasste Firmen, die unspezifische, handelsübliche industrielle Steuerungssysteme verwenden. Auch sie profitieren ökonomisch von der Verquickung von IT und Automatisierung, sind aber genauso den damit verbundenen Bedrohungen ausgesetzt. Ein erfolgreicher Cyberangriff auf eine kritische Infrastruktur, etwa auf ein Kraftwerk, wirkt sich allerdings nicht nur auf dieses aus, sondern hat Folgen für die gesamte Gesellschaft.

Marc Elsberg beschreibt in dem Buch “Blackout”, wie die Kompromittierung einer Handvoll von in italienischen und schwedischen Haushalten installierten Smartmeters zunächst das gemeinsame Stromnetz der EU-Staaten abstürzen lässt. Der umfassende Stromausfall führt schließlich zum Zusammenbruch der öffentlichen Ordnung, weil weder Melkmaschinen, Geldautomaten noch Abwasserpumpen mehr funktionieren. Elsbergs Roman bleibt zwar Fiktion, ist aber technisch nicht ausgeschlossen. Verantwortlich für die Vermeidung solcher Zustände sind momentan Staaten, die der Problematik mit Gesetzen begegnen - Deutschland beispielsweise mit dem neuen IT-Sicherheitsgesetz (IT-SiG), das in den Begrifflichkeiten unspezifisch bleibt und dessen Anwendungsbereich nicht konkret abgesteckt ist.

Bewusstseinsbildung als Herausforderung

Das Problem der IT-Sicherheit von industriellen Anlagen ist technisch weitestgehend gelöst. Geeignete Hardware, Software und unterstützende Dienstleistungen sind maßgeschneidert und inzwischen sogar von der Stange verfügbar. Nicht gelöst ist dagegen die strategische Koordination der Thematik auf einer politischen Ebene: Die Anforderungen des IT-Sicherheitsgesetzes sind ein Tropfen auf den heißen Stein. Außerdem ist das Management von IT-Sicherheit innerhalb von Industrieunternehmen oft mangelhaft: Security kostet Geld, bringt aber keine Produktion, weshalb oft lange nicht genug finanzielle und personelle Mittel bereitgestellt werden. IT-Sicherheit wird außerdem zu sehr als temporäres Projekt statt als langfristige Investition betrachtet.

Das größte und am schwierigsten zu lösende Problem besteht jedoch im mangelnden Sicherheitsbewusstsein der Mitarbeiter, die täglich mit den Assets umgehen, in ihrer Gutgläubigkeit, Unwissenheit oder Bequemlichkeit. Der Bewusstseinsbildungsprozess der Menschen wird eine der großen Herausforderungen für Industrieunternehmen werden. Wer sich wirklich schützen will, muss in die Aufklärung und Schulung der Mitarbeiter investieren.