Sicherheit in der Produktion – Ethernet und IP halten Einzug in die Produktionsumgebungen. Die mit ihnen aus der Office-Welt importierten Sicherheitsprobleme verlangen neue Konzepte.
Die IT nimmt innerhalb der Kerngeschäftsprozesse zunehmend eine bedeutende Rolle ein, von daher sind Sicherheitsvorfälle oder der Ausfall von IT-Systemen meist mit gravierenden Folgen verbunden. Dies trifft mittlerweile nicht mehr nur allein auf die Office-Welt zu – durch den vermehrten Einsatz von IT-Standardkomponenten in der Produktionswelt und durch die Integration von Office-IT und Fertigungs- und Automationstechnik entstehen neue Bedrohungen.
Industrielle Produktionsanlagen werden zunehmend vernetzt, mit dem Ziel eine durchgängige Kommunikationsplattform zu schaffen. Innerhalb der vereinheitlichten Infrastruktur ist systematisch die Bereitstellung sowie der durchgängige Transport von Informationen zum Beispiel in einem ERP-System wie etwa SAP möglich. So können, durch die Integration der Systeme bis in die Produktionsabläufe, effiziente Workflows gestaltet werden – von der Prozesssteuerung bis hin zu den entsprechenden Rückmeldungsvorgängen über den jeweiligen Produktstatus in ein CRM-System. Darüber hinaus bietet der Einsatz von Ethernet noch weitere Vorteile. Dies ist zum einen die enorme Zunahme an Bandbreite – zum anderen garantiert die ständige Weiterentwicklung der Technologie, dass sich fortwährend neue Möglichkeiten zur Verbesserung der Produktionsanlagen eröffnen.
Neben dem Austausch der proprietären Feldbus-Systeme zu Gunsten von Ethernet zeichnet sich ein zweiter Trend ab: der vermehrte Einsatz von IT-Standardkomponenten. So ist bereits heute eine Vielzahl der großen Prozessleitsysteme Windows-basiert. Dies eröffnet Herstellern und Wartungsfirmen unter anderem die Möglichkeit, per Fern-Zugriff Maschinendaten abzurufen, um Probleme ebenso schnell wie effektiv zu lösen oder um notwendige Modifikationen an den Einstellungen vorzunehmen.
Damit sind insgesamt Prozesse in der Produktion mittels Einsatz von IT zunehmend effizient gestaltbar. Dies bedeutet jedoch andererseits auch, dass dem Schutz der Produktionsnetze vor Angriffen und Systemausfällen eine hohe Priorität eingeräumt werden muss.
Probleme bei der Absicherung
Die Vernetzung industrieller Produktionsanlagen ist nicht allein unter dem Aspekt der Effizienzsteigerung planbar, es sollte auch berücksichtigt werden, dass hierdurch das Bedrohungsrisiko immens steigt. Bislang boten speziell diese Bereiche nur wenig Angriffsfläche, da häufig proprietäre, technologiespezifische Kommunikationsprotokolle eingesetzt und damit eng begrenzte Kommunikationsinseln gebildet wurden. Durch die Vereinheitlichung der Kommunikationsinfrastruktur wachsen diese Inseln jetzt zu Landschaften zusammen. Mit der Konsequenz, dass Störungen und Bedrohungen nicht mehr lokal begrenzbar sind. Auch kann es innerhalb der vereinheitlichten WLAN-Netze vorkommen, dass unbeabsichtigte Verbindungen hergestellt werden, die wiederum potentielle Störquellen darstellen.
Da die Anzahl der Systeme sowie Infrastruktur-Komponenten, die auf Basis von Ethernet kommunizieren, stetig ansteigen, haben die meisten Anbieter auf diesen Trend bereits reagiert und Protokolle entwickelt, die auf Ethernet aufbauen; beispielsweise Modbus/TCP oder Powerlink. Somit existieren unterschiedliche Protokolle nebeneinander, deren jeweils individuellen Anforderungen in puncto Sicherheit zu berücksichtigen sind – was in der weiteren Konsequenz ein übergeordnetes Management unbedingt erforderlich macht.
Bei der Festlegung der Sicherheitsstrategie muss beachtet werden, dass die Mehrzahl der bewährten Standard-Maßnahmen gar nicht oder nicht im gewohnten Umfang einsetzbar sind, um vor Würmern, Viren oder unerlaubten Übergriffen zu schützen. In der Büro-IT besteht die Möglichkeit, Systeme zu patchen und zu härten, – nicht so in der Produktion. Systeme werden in der Regel seitens der Hersteller in einer bestimmten Konfiguration ausgeliefert – die Gewährleistung ist exakt auf diesen Gerätezustand beschränkt. Da selbst minimale Änderungen seitens des Kunden zum Verlust der Herstellergarantie führen würden, ist die Strategie des automatischen Patch-Managements nicht auf die Produktionsumgebung übertragbar. Nahezu identisch verhält es sich mit dem Einsatz von Sicherheitssoftware wie Anti-Virensoftware oder Virenscannern. Auch die Implementierung einer Firewall erhöht das Schutzniveau nicht zwingend. Eine einzelne Firewall, eingesetzt an einer zentralen Stelle, wäre zu komplex und von daher nicht geeignet, die notwendige Leistung zu erbringen.
Die hier aufgeführten Problemstellungen stehen exemplarisch für die Aufgaben, die sich im Rahmen der Integration der beiden Netzwerke ergeben. Im Prinzip gelten für die Definition der Schutzziele hier die gleichen Parameter wie für die Büro-IT: Verfügbarkeit, Vertraulichkeit und Datenintegrität. Ebenso gleichen die Bedrohungsszenarien sowie Täterprofile und deren Motivation den aus der Netzwerksicherheit bekannten Mustern, so dass auch – oder gerade – ein Angriff auf die Produktions-IT dem Unternehmen einen erheblichen Schaden zufügen kann.
Risiken durch zunehmende Vernetzung
Zu den primären Bedrohungen für diesen Bereich und – nach Einschätzung von Experten – eine der häufigsten Ursachen für Störungen liegt in der Möglichkeit ungewollter oder unberechtigter Zugriffe auf Systemkomponenten, etwa durch Fehladressierungen. Die Folgen dieser Fehlbedienungen sind Fehlparametrierungen oder Fehlprogrammierungen – Problemstellungen, die im Unternehmensalltag immer häufiger auftreten.
So kann es beispielsweise vorkommen, dass durch die unautorisierte Integration eines externen Laptops in das Büronetzwerk große Teile der Produktionsumgebung lahm gelegt werden – ein Szenario, das keine Utopie mehr ist. Fehlen adäquate Sicherheitsmaßnahmen, dann kann es passieren, dass ein Laptop die Funktion eines Servers übernimmt, – mit allen Konsequenzen bis hin zur unkontrollierten Vergabe von IP-Adressen. Dies lastet das gesamte Netzwerk aus – bis hin zur Produktion, wenn hier keine logische Trennung eingezogen ist. Auch der Einsatz Internet-basierter Dienste, zum Beispiel im Bereich der Fernwartung, birgt unter diesem Aspekt in einer einheitlichen Kommunikationsinfrastruktur Risiken. Service-Technikern wird mit der IP-Einwahl zum Leitstand manchmal zusätzlich die Möglichkeit geboten, sich im gesamten übrigen Firmennetzwerk umzusehen – immer dann, wenn keine Barrieren innerhalb des Netzes bestehen.
Doch auch von gezielten Angriffen geht ein hohes Bedrohungspotential aus. Die in der Automation eingesetzten Protokolle und Dienste sind – ebenso wie die Protokolle der klassischen IT-Welt – grundsätzlich angreifbar. Mit dem Einsatz des offenen IP-Standards zur Kommunikation in nahezu jedem Bereich des Unternehmens werden ebenso die hiermit verbundenen bekannten Schwachstellen in weite Teile der Produktion hineingetragen. Dies hat zur Konsequenz, dass auch dort die Daten nicht mehr vor Manipulation oder Vernichtung sicher sind. Insbesondere Funktionsstörungen – zum Beispiel durch eine gezielte DoS-Attacke – lassen sich mit relativ geringem Aufwand verursachen. Dabei können bereits Angriffsversuche das Laufzeitverhalten von Steuerungskomponenten erheblich beeinflussen. Auf Grund der hohen Anforderungen an das Zeitverhalten und die Verfügbarkeit der Systeme ist es dadurch möglich, eine Produktionslinie vollständig zum Erliegen zu bringen.
Sichere Kommunikation in vereinheitlichten Netzen
Neben der maximalen immanenten Sicherheit der Systeme und Automatisierungskomponenten kommt einem sicheren sowie transparenten Netzwerk-Design größte Bedeutung zu. Denn das neue »Unternehmensnetzwerk«, das im Prinzip alle Bereiche umfasst – die Bürokommunikation ebenso wie die Produktion –, muss vor Außenbedrohungen geschützt werden und interne Angriffe möglichst selbst erkennen.
Diese Anforderungen lassen sich innerhalb eines so genannten Zonendesigns realisieren. Hierbei findet eine Untergliederung des Netzwerks in mehrere Zonen statt. Die übergreifende Kommunikation wird durch die Definition von »Traffic Flows« festgelegt und dokumentiert. Dabei muss dem Übergang vom Büro- zum Produktionsnetzwerk besondere Aufmerksamkeit gewidmet werden, inklusive Planung der entsprechenden Schutzmaßnahmen wie Router, Firewalls oder Intrusion-Detection. Innerhalb der Produktion können weitere Sub-Zonen notwendig sein, beispielsweise um besonders sensible Systeme möglichst zu isolieren.
Die technische Umsetzung von Lösungen zur Absicherung folgt letztendlich immer der individuellen Situation sowie den Anforderungen der Unternehmen. »Security follows policy« gilt insbesondere auch für die Zonensegmentierung der Netzwerke. Die Policy für die Regelung des Netzwerkverkehrs beschreibt das, was technisch umgesetzt werden soll. Aus der Reflektion der Soll-Ist-Situation, inklusive der Anforderungen der beteiligten Prozesse und Daten, wird ein genereller Kommunikationsplan sowie die Abbildung der einzelnen Zonen abgeleitet.
Wenn die Kommunikationsflüsse und die Zonen definiert sind gilt es, eine Kategorisierung vorzunehmen, die allgemein beschreibt, wie Systeme und Dienste innerhalb der Zonen und darüber hinaus kommunizieren. Das daraus resultierende Regelwerk hilft insbesondere im laufenden Prozess neue Systeme, Zonen oder Kommunikationsarten schnell und nach klaren Normen dem Gesamtsystem hinzuzufügen.
Die richtige Herangehensweise bringt Erfolg
Durch Zonenkonzepte sowie die Definition von Sub-Zonen und deren Absicherung kann auch eine wesentliche Schwachstelle in Produktionsnetzen angegangen werden: Viele Komponenten können nicht mit Sicherheitsmechanismen wie Firewalls oder Anti-Virensoftware ausgestattet werden, da sie ansonsten die Herstellergarantie verlieren würden. Die Absicherungsmaßnahmen können konsequenterweise nur außerhalb der Automationsebene erfolgen, das heißt um das System herum. Hierbei müssen sowohl die technischen mit den organisatorischen Aspekten in eine Gesamtlösung integriert als auch die Anforderungen an die Schutzziele unter wirtschaftlichen Aspekten auf ihre Notwendigkeit überprüft werden.
In nahezu jedem Unternehmen existiert bereits eine Umgebung – Büro-IT wie Produktionstechnik – mit gewachsenen Strukturen. Hinzu kommt, dass für die Einführung der notwendigen Veränderungen eine Unterbrechung des produktiven Betriebs nicht möglich ist. Unter Berücksichtigung dieser beiden Prämissen kann die bestmögliche Strategie nur folgendermaßen aussehen: Planung und Umsetzung erfolgen graduell. Als Basis für diese Vorgehensweise dient die Eruierung der individuellen Ausgangsposition im Unternehmen.
Im Zuge der Ist-Analyse werden konkret die technischen Angriffspunkte und Bedrohungsszenarien offengelegt. Darauf aufbauend gibt dann eine Risiko-Matrix inklusive Stufenplan die logische Vorgehensweise zur Schließung der Sicherheitslücken vor. Neben den technischen Lösungen ist es erforderlich, Grundlagen auf Ebene der Organisation und Prozesse zu schaffen. Hierzu müssen IT-Abteilung und Betriebsleitung in einem intensiven Austausch regelmäßige Soll-/Ist-Abgleiche durchführen und gemeinsam Ergebnisse definieren. Die Festlegung, welche Abteilung in welchem Umfang für welche Systeme verantwortlich ist, gehört dabei ebenso zum Gesamtkonzept wie die Definition verbindlicher Kommunikations- und Eskalationswege. Dies bringt Unternehmen bei der Verfolgung ihres Ziels – störungsfreie und hochperformante Abläufe in der Produktion – ein gutes Stück weiter.
Markus Geier,
Geschäftsführer @-yet