Mit (IT-)Sicherheit kommt Industrie 4.0

Inwiefern der Maschinenbau von der Digitalisierung und Industrie 4.0 profitieren kann, hängt stark vom zuverlässigen Schutz gegen Cyberattacken ab.

Wenn es um die Anlagenverfügbarkeit geht, verstehen Produktionsunternehmen keinen Spaß. Stillstände kosten bares Geld. Maschinenausfälle oder Gefahren für Mitarbeiter durch Cyberangriffe oder unvorhergesehene automatische Sicherheitsupdates, kann sich kein Unternehmen leisten. Gleichzeitig erscheinen die Produktivitätsverbesserungen durch Vernetzung verlockend.

Die gute Nachricht ist: Obwohl die besonderen Umstände vernetzter Produktionsanlagen häufig individuelle Maßnahmen verlangen, lassen sich hier viele Sicherheitsmaßnahmen und -techniken aus der allgemeinen Informationstechnologie (IT) anwenden, so der Tenor vom Workshop „IT- und Datensicherheit im Maschinenbau“, der kürzlich vom bayerischen Cluster Mechatronik und dem Sicherheitsnetzwerk München veranstaltet wurde.

Durch die Annäherung der Produktions- und Büro-IT – und das dürfte der schlechte Teil der Nachricht sein – rücken allerdings Speicherprogrammierbare Steuerungen (SPS) und Fertigungssteuerungen in das Visier potenzieller Angreifer. Neben dem Ausspähen von Daten ist dabei Sabotage eine Gefahr. Satt zerstörerischer Viren kommen dazu inzwischen Programme zum Einsatz, die Inhalte von Datenbanken verschlüsseln und erst gegen ein Lösegeld wieder freigeben. Sie werden als Ransomware bezeichnet.

Bisher war Ransomware laut Stefan Schweizer vom Sicherheitsdienstleister Vectra Networks aus Burgsstall/Österreich eher ein Problem für private Computernutzer. Doch in jüngster Zeit wurden solche Attacken auch gegen die professionell gemanagte IT von Gemeindeverwaltungen und Kliniken durchgeführt. Cyber-Kriminelle arbeiten sich laut Schweizer von einer wenig geschützten Komponente der IT-Systeme schrittweise zu ihrem Ziel vor, um dann die gewünschten Daten abzuziehen oder um eine definierte Fehlfunktion auszulösen. Weil sich eine solche Infiltration nie komplett ausschließen lasse, konzentriere sich sein Unternehmen auf eine Sicherheitssoftware, die das IT-Netz permanent unterschwellig überwacht und bei auffälligen Aktivitäten Alarm schlage.

Ob die Installation einer Monitoringsoftware als Sicherheitsmaßnahme ausreicht, liegt im Ermessen des jeweiligen Anlagenbetreibers. Darüber hinaus steht ein breites Spektrum erprobter Sicherheitstechniken und Praktiken zur Verfügung. Sie reichen von der durchdachten Organisationsstruktur einschließlich der Einrichtung definierter Schutzzonen über sichere Authentifizierung und Datenverschlüsselung bis zur Nutzung spezialisierter und gegen Manipulation gesicherter Hardware in den Maschinensteuerungen.

Unabhängig von den individuellen Bedürfnissen der Anwender empfiehlt Volker Gerstenberger vom Sicherheitstechnikanbieter Giesecke und Devrient die IT-Sicherheit bereits bei der Planung von Automatisierungskonzepten einzubeziehen. „Sicherheit nachträglich einzuarbeiten ist schwierig und teuer“, so der Experte. Zudem sollte man bei der Planung jeglicher Sicherheitsvorkehrungen den Blick weiten und alle denkbaren Einfallstore für mögliche Angriffe unter die Lupe nehmen.

Für Marco Sprenger, Leiter Technologie beim österreichischen Automatisierungstechnikanbieter B+R Industrie-Elektronik, beginnt das bereits bei der Programmierumgebung. „Der Schutz fängt beim Quellcode an“, lautet sein Credo. Denn durch die Verschlüsselung des Quellcodes und Funktionsbibliotheken im Binärformat werde erreicht, dass Spione Daten zwar lesen, aber nur schwierig rekonstruieren könnten. „Falls es ihnen doch gelingt, dann erhalten sie lediglich Codes ohne Kommentierung und damit von niedriger Qualität“, so Sprenger.

Die IT-Sicherheit (Security) und die funktionale Maschinensicherheit (Safety) sind für Thomas Pilz, geschäftsführender Gesellschafter des Automatisierungsanbieters Pilz in Ostfildern, dabei zwei Seiten einer Medaille. In beiden Fällen gehe es darum, einen sicheren Betrieb zu gewährleisten.

IT- und Maschinensicherheit bewerten Bedrohungspotenziale unterschiedlich

„Bei Security bin ich quasi permanent angreifbar, während ich bei Safety zwischen permanenter und kurzzeitiger Gefährdung differenzieren kann“, so Pilz. Das führe dazu, dass die Security immer das höchste Schutzniveau erfordere, während das Schutzniveau in der Maschinensicherheit gesenkt werden könne, sobald sich kein Mensch mehr im Gefahrenbereich befinde. In der Praxis bedeutet das, dass Maschinen mit hoher Geschwindigkeit arbeiten und diese bis hin zu Stillstand reduziert wird, sobald sich ein Mensch ihr nähert.

Aus Sicht der Normung stellt der Unternehmer fest: „Sicherheitstechnologien, die den Arbeitsplatz eines Büromitarbeiters schützen, müssen nun so adaptiert werden, dass sie auch die Maschine und den Maschinenarbeitsplatz mit den bereits bekannten Lösungen schützen.“ Stand heute sei es dabei bereits möglich, Firewalls in Schaltschränke und Schaltgeräte zu integrieren. „Wichtig ist aber, dass z. B. Sicherheitsupdates die Produktionssteuerung nicht durcheinander bringen“, so Pilz. An solchen Lösungen werde derzeit gearbeitet.

Letztlich wird der Erfolg allerdings von Menschen abhängen. Denn sowohl für Safety als auch Security gilt laut Harald Wessels, Produktmanager bei Pilz: „Technische Maßnahmen allein nutzen nichts, sie müssen auch von den Anwendern eingesetzt werden.“ Das sei dann der Fall, wenn sie nicht als störend empfunden würden.

Autor des Artikels

Christoph Hammerschmidt