Maschinenbau muss eigene Wege finden

Jannis MoutafisFreier Journalist in München

Während sich die produzierende Industrie auf die vierte industrielle Revolution vorbereitet, häufen sich Meldungen über spektakuläre Hacks auf netzwerkfähige Gerätschaften aller Art – von Autos über elektrisch betriebene Skateboards bis hin zu Präzisionsgewehren mit elektronischer Zielerkennung. Das Muster ist fast immer dasselbe: Ein Angreifer bekommt über eine Kommunikationsschnittstelle Zugriff auf die Betriebssoft-ware des Geräts und manipuliert sie, sodass sich das Gerät anders verhält als eigentlich vorgesehen. Im Fall des Autos wurde der Fahrer bei voller Fahrt zum Stopp gezwungen, das Skateboard beschleunigte und bremste nach dem Willen des Angreifers, das Präzisionsgewehr schoss zuverlässig immer daneben.

Produktionsanlagen für Industrie 4.0 liegt dasselbe Konzept zugrunde wie den gehackten Geräten aus dem Internet der Dinge (Internet of Things, IoT). Sie sind über Schnittstellen mit einer höheren Steuerungsinstanz oder mit dem Internet verbunden, über welche sie als Teil eines übergreifenden Produktionskonzepts agieren. Sie unterliegen deswegen prinzipiell derselben Art von Gefahr wie Geräte des IoT, nämlich von außen manipuliert zu werden.

„Ist man in so einem System einmal drin, kann man eigentlich alles damit machen“, sagte neulich der US-Experte Jason Larsen in einem Radio-Feature der ARD. Larsen ist Security-Forscher am Idaho National Laboratory und Spezialist für ,Remote Physical Damage’, also für die physische Beschädigung von Systemen aller Art aus der Entfernung.

Larsen berichtet, wie er vor nicht allzu langer Zeit zu einem Maschinenbaubetrieb gerufen wurde, der unerklärliche Qualitätsprobleme hatte. Er fand eine Schadsoftware tief in der Prozesssteuerung einer Maschine, die eine Fräse immer dazu verleitete, nur Ausschuss zu produzieren. Damit die Manipulation nicht entdeckt wird, hatten die Angreifer die schädliche Software so programmiert, dass sie bei jedem Produktionsvorgang per Zufallsgenerator immer jeweils einen anderen Parameter der Spezifikation leicht veränderte. Zur selben Zeit tauchte ein Wettbewerber aus dem Ausland auf, der die Qualitätsprobleme des Herstellers zum eigenen Vorteil nutzte, um sich im Markt zu etablieren.

Die Wahrscheinlichkeit, Produktionssysteme mit Schadsoftware zu infizieren oder sie einem Angriff von außen auszusetzen, steigt mit der zunehmenden Koppelung dieser Systeme an die Business-IT. Das ist aber notwendig, um die Produktion tatsächlich, wie im Konzept von Industrie 4.0 vorgesehen, vollautomatisiert und flexibel steuern zu können. Wie aber lässt sich dabei das Innenleben von Produktionsanlagen wirksam schützen?

„Eine kurzfristige Lösung könnte darin liegen, eine zusätzliche Sicherheitsstufe in Richtung Business-IT einzubauen“, sagt Dr. Claudia Eckert, Leiterin des Fraunhofer-Instituts AISEC und Professorin für IT-Sicherheit an der TU München. Ein solches Verfahren hat ihr Institut auf Basis eines Sicherheits-Chips von Infineon entwickelt und letztes Jahr auf der Hannover Messe gezeigt. Die Lösung reichert bereits installierte Komponenten in einem Industrieanlagenumfeld mit der Fähigkeit einer zusätzlichen Identitätsprüfung an und sichert sie damit zusätzlich gegenüber der Business-IT ab.

„Für Sicherheitsspezialisten ist dieses Im-Nachhinein-Absichern zwar unbefriedigend, aber es ist besser als gar nichts“, sagt Eckert. Eher sei das ein dringend notwendiger Schritt. Da Produktionsanlagen eine lange Lebensdauer haben, würden sie meist über kurz oder lang mit der Business-IT vernetzt, ob sie für Industrie 4.0 ausgelegt seien oder nicht.

Für künftige Generationen von Produktionsanlagen müssten die Security-Mechanismen von Grund auf neu entwickelt werden, glaubt Eckert. Die heute verbreiteten Technologien aus der EDV-Welt seien nur bedingt für den Maschinenbau tauglich. Die Authentifizierungs- und Verschlüsselungsprotokolle aus der EDV etwa sind für Produktionsanlagen viel zu langsam. „Wenn man viele Komponenten hat, die sich untereinander identifizieren müssen, dauert das mit den gängigen Protokollen der ,normalen‘ EDV viel zu lange“, erklärt Eckert. „In der Produktion haben Sie viele Echtzeitprozesse und die Security-Mechanismen dürfen nicht so langsam sein, dass sie Störungen verursachen. Deswegen brauchen wir Sicherheitssysteme, die echtzeitfähig sind.“

Hinzu kommt, dass Produktionsanlagen grundsätzlich anders gebaut sind als Computer. Da sie meist für Echtzeitbetrieb ausgelegt sind, sind sie mit geringen Fähigkeiten zur Datenverarbeitung und wenig Speicher ausgestattet. „Wir brauchen leichtgewichtige Verschlüsselungs- und Authentifizierungsmechanismen bis hin zur Fähigkeit, ungewöhnliches Verhalten zu erkennen“, sagt Eckert. Sie sieht den Maschinenbau derzeit ungefähr am Punkt, an dem die Chipkarten-Industrie vor einigen Jahren stand. Auch Chipkarten haben sehr begrenzte Fähigkeiten und die Hersteller mussten komplett neue Sicherheitsmechanismen entwickeln, um diesem Umstand Rechnung zu tragen.

Die wirksame Abkapselung der Betriebssoftware vor unbefugtem Zugriff mag vielleicht das wichtigste Security-Problem sein, das im Rahmen von Industrie 4.0 zu lösen ist, aber nicht das einzige. Ein weiteres lässt sich unter dem Begriff ,Security Management‘ zusammenfassen und beschreibt einen Komplex, der vom Update der Betriebssoftware über die Reaktion beim Bekanntwerden von Schwachstellen bis hin zur Erkennung von Manipulationen und Angriffen reicht.

Der Maschinenbau muss hier eigene Wege finden, um sich mit Problemen auseinanderzusetzen, die ihm aus der Welt der EDV und des Internet vererbt werden. „Kaum ein Hersteller von intelligenten Geräten oder Produktionssteuerungen entwickelt sein eigenes Betriebssystem, sondern nimmt ein Produkt wie QNX oder spezielle Versionen von Linux oder Windows“, sagt Olaf Mischkovsky, Experte beim Security-Anbieter Symantec. Außerdem kämen Anlagenbauer kaum herum, für ihre Produkte Standardtechnologien wie SSL-Verschlüsselung für die Kommunikation der Anlagen mit der Business-IT einzusetzen. „Werden Schwachstellen im Betriebssystem oder anderen Komponenten entdeckt, ist das Gerät oder die Anlage ebenfalls unsicher.“

In diesem Fall muss angemessen und vor allem schnell reagiert werden, damit die Anlage keinen Gefahren ausgesetzt wird. Das bedeutet, dass der Hersteller umgehend Security-Patches programmieren und auch dafür sorgen muss, dass sie auf dem schnellsten Weg auf die Anlage eingespielt werden. Der Weg über die bloße Benachrichtigung des Anlagenbetreibers und die Bereitstellung des Patches zum Download könnte dabei oft zu langsam sein, Sicherheitslücken werden in der Regel sehr schnell genutzt. Ein direktes Update durch den Hersteller über einen speziellen Zugang zur Anlage könnte eine Option sein – sofern auch dieser Weg hinreichend abgesichert ist.