Startseite » Allgemein »

Offenes Einfallstor in der Produktion

Sicherheit: Produktions-IT muss vor angriffen geschützt werden
Offenes Einfallstor in der Produktion

Bei jedem fünften Unternehmen fällt einmal pro Jahr das industrielle Netz aus. Solche sind besonders anfällig für Angriffe, wenn sie geöffnet werden. Sicherheit bietet eine Kombination aus Virtual Private Network (VPN) und Firewall-Technologien, denen eine Schlüsselrolle bei der Kontrolle des Netzwerkverkehrs zukommt.

Drei Kilotonnen Sprengkraft hatte die Explosion, die 2005 die sibirische Taiga erschüttete. Ursache war ein Trojaner, der die Scada-Software der Trans-Sibirischen Gas-Pipeline infiltriert hatte. Er manipulierte Ventilpositionen und Kompressorparameter so, bis es zur Detonation kam. Die Konsequenzen von Hackerattacken sind bei Industrienetzen in der Regel viel gravierender, als in einem Büronetzwerk: „Wenn eine ganze Fertigungslinie für Stunden stillsteht, verursacht dies dem Unternehmen weit höhere Kosten, als wenn PC von Schadsoftware befallen sind“, weiß Frank Dickman, Engineering Consultant und früherer Delegierter des Cenelec-Normungsgreniums.

2005 befiel der Zotob-Wurm nahezu gleichzeitig 175 Großunternehmen von Caterpillar, General Electric bis hin zu UPS. Alleine dreizehn DaimlerChrysler U.S.-Fabriken lagen still, 50 000 Arbeiter waren zur Untätigkeit verdammt. Ein weiteres Beispiel für die Gefährdung von Industrienetzen ist der seit Oktober 2008 grassierende Conficker-Wurm, der seit Frühjahr 2009 auch industrielle Anlagen befällt und zum Stillstand gebracht hat. Aber auch bei vermeintlich gesicherten Systemen sieht es nicht viel besser aus: Ein Kenner der Materie plaudert aus dem Nähkästchen: „In ein Scada-System einzudringen, das auf Basis von Windows läuft, dauert heute für einen Versierten kaum länger als zwei Minuten.“ Laut einer Studie fällt denn auch in jedem fünften Unternehmen einmal pro Jahr das gesamte Netz aus. Rund 61 % der Betriebe bleiben bis zu 24 Stunden vom Netz abgekoppelt und bei 4 % sind es sogar mehr als drei Tage. „Nach Schätzungen entstehen Unternehmen, die von einer Virusattacke betroffen sind, im Schnitt leicht Kosten von 300 000 Dollar,“ weiß Torsten Rössel, Director Business Development der Phoenix Contact-Tochter Innominate Security Technologies AG aus Berlin. Zwar sei die absolute Zahl bekannt werdender Angriffe nicht sonderlich hoch, doch die Dunkelziffer ist immens, weil 80 % der Betroffenen von den Angriffen gar nichts bemerkten.
Früher war die Produktion streng von der Außenwelt abgeschottet. Diese Praxis funktioniert heute längst nicht mehr: Instandhaltungs- und Wartungstechniker kommen mit ihren Laptops bis an die Maschine heran und für die Fernwartung muss die Maschine Verbindung zur Außenwelt, oft via Internet aufnehmen. „Mit der wachsenden Integration der Industrienetze in die zentralen IT-Strukturen der Unternehmen werden deren Betreiber daher zunehmend mit dem Thema Network Security konfrontiert,“ stellt Ralf Kaptur von Hirschmann Automation and Control GmbH aus Neckartenzlingen fest. Wie die Praxis zeigt, profitieren die Industrienetzwerker zwar in vielen Fällen von den Erfahrungen und den Vorarbeiten ihrer IT-Kollegen, deren Enterprise-Netze als eine Art Puffer vor den Produktionsnetzen fungieren. Die Gefahren drohen daher im allgemeinen nicht nur von direkten Angriffen aus dem Internet. Das Problem liegt eher darin, die Verbreitung von Viren und Würmern und den unerwünschten Zugriff auf Ressourcen von internen Quellen – wie Service-Laptops – zu verhindern, so Kaptur. So sollte es für einen Servicetechniker etwa keinesfalls möglich sein, durch die falsche Eingabe einer IP-Adresse versehentlich auf eine falsche Maschine zuzugreifen und unter Umständen laufende Produktionsprozesse zu stören, empfiehlt Kaptur.
„In ausgedehnten Anlagen mit einer Vielzahl von Sensoren und Aktoren können robuste und sichere industrielle Netze für erhebliche Installationsvorteile sorgen“, berichtet ein Experte vom Anbieter Phoenix Contact in Blomberg. Doch gängiges Office Equipment zum Schutz taugt hier meist nicht. Das Spektrum an Produkten für sichere Industrienetze ist inzwischen breit gefächert: Dazu zählen unter anderem FL MGuard von Phoenix Contact, Byres Tofino, Siemens Scalance-S, , Emerson DeltaV Firewall, Weidmüller WaveLine-Familie oder Hirschmann Eagle mGuard. Basis des Hirschmann Security Compartment Modells – in weiten Teilen deckungsgleich mit dem Konzept der Iaona – ist eine Reduzierung der Komplexität des Gesamtsystems durch eine Unterteilung in Produktionszellen. Mittels der Eagle-Firewall gelingt es, Teilbereiche eines Industrienetzes vom Rest der IT-Infrastruktur zu separieren und geeignete Sicherheitsregeln für diese Produktionszelle zu definieren. Nach dem Motto „Plug and Work“ hat diese Netztrennung den entscheidenden Vorteil, dass damit keinerlei Design-Änderungen oder Produktionsunterbrechungen verbunden sind, so Kaptur. Viele in der Automatisierung verwendeten Komponenten wie etwa speicherprogrammierbare Steuerungen (SPS) sind heute konzeptionell gar nicht für eine derart vernetze Welt ausgelegt und verfügen weder über entsprechende Authentisierungs- noch über Autorisierungsmechanismen warnt Thorsten Rössel. Ohne weitere Schutzmaßnahmen könnte jeder Netzteilnehmer solche Systeme unbefugt manipulieren oder beeinflussen. Obschon die meisten PLC heute mit Web-Service-Funktionen ausgestattet sind, die nach Angaben der Anbieter aktuell nur von 13 % der Anwender konfiguriert und genutzt werden. Mit anderen Worten: „Bei 87 Prozent der Steuerungen laufen Webserver meist ohne Wissen in der PLC mit werkseingestellten Passwörtern wie ,1234′ aktiv mit“, verdeutlicht Rössel.
Der Trend zur Ablösung von Modem-Wählverbindungen für Ferndiagnose und Fernwartung durch schnelle Internet- und VPN-basierte Lösungen ist klar erkennbar. Gerade solche breitbandigen Internet-Verbindungen können auch ein Einfallstor für Schadprogramme und Hacker bedeuten. Rössel empfiehlt daher die Kombination von Virtual Private Network (VPN) und Firewall Technologien verpackt in einfach konfigurierbare und problemlos zu betreibende Network Security Appliances. So sorgt die integrierte Firewall mGuard dafür, dass der Teleservice keinen Durchgriff über das Maschinennetz ins Betreibernetz erhält. Eine Schlüsselrolle kommt dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Die Firewall sollte grundlegende Schutzmechanismen gegen IP Spoofing, SYN Flooding und Denial of Service (DoS) Angriffe aufweisen, rät Rössel. So erlaubt das VPN Gateway mGuard Centerport die VPN-Anbindung einer beliebigen Anzahl von Systemen in VPN Tunnel-Gruppen mit bis zu 1000 aktiven Tunneln.
Der Druckmaschinen-Hersteller Koenig & Bauer (KBA) aus Würzburg profitiert bereits davon. Die früher dort für den Teleservice einer Druckanlage eingesetzten Modems stellten häufig für das gesamte Netzwerk eines Unternehmens ein Sicherheitsrisiko dar – ein Backdoor. „Deshalb haben wir nach neuen Wegen der Fernwartung gesucht“, blickt Jürgen Tuffentsammer, Bereichsleiter IT bei Koenig & Bauer, zurück. Heute setzen das Würzburger Unternehmen dazu auf breitbandige Internet-Verbindungen. Seit 2007 hat KBA rund 200 seiner Druckmaschinen rund um den Erdball mit der „mGuard Security Appliances“ von Innominate ausgerüstet und über diese an das KBA-Teleservice-Center angebunden.
Ein wichtiges Merkmal dieses Systems besteht darin, dass die bisher übliche Abfolge bei Fernwartungsarbeiten umgekehrt wird: Bisher baute der Servicetechniker eine Verbindung zum System auf. Nach dem neuen ausgehenden VPN-Konzept kann nun der Verbindungsaufbau vom System hin zur Servicezentrale erfolgen. Dabei kann der Endnutzer das Öffnen und Schließen der VPN-Tunnel steuern und die zulässige Kommunikation mit Hilfe von Firewall-Regeln gezielt auf das gewünschte, notwendige Maß beschränken. Und IT-Chef-Tuffentsammer ergänzt: Die Nutzung breitbandiger Internet-Verbindungen im Vergleich zur Kommunikation via Modem bot sich geradezu an. Die Verbindungskosten sind hier kaum nennenswert. Auf diese Weise gelingt sicherer Teleservice wie unter Quarantänebedingungen. Der Datendurchsatz erreicht dabei mehrere MBit/s bei xDSL-Internet, und es stehen zeitgemäße Technologien wie Voice over IP oder das Streaming von Bild- und Videodaten zur Verfügung. Doch ein effektiver Schutz ist letztlich nur so gut, wie die organisatorischen Vorkehrungen, Fremdzugriffe auf Anlagen zu verhindern. „Denn wer denkt, dass Technologie alleine seine Sicherheitsprobleme lösen kann, hat die Probleme und die Technologie nicht verstanden“ warnt Bruce Schneier, Chef der US-Beratungsfirma Counterplane Internet Security, die auf Computersicherheit spezialisiert ist.
Edgar Lange Fachjournalist in Düsseldorf
Industrieanzeiger
Titelbild Industrieanzeiger 4
Ausgabe
4.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de