IT Sicherheit im Industrial Ethernet

23.04.2007

Durch den zunehmenden Einsatz von Industrial Ethernet und Internet Protocol sind Produktionsumgebungen mittlerweile den gleichen Gefahren ausgesetzt wie Büronetzwerke. Allerdings greifen hier die aus der Office-Welt bekannten Security-Konzepte nicht, da die Produktion völlig andere Anforderungen an die IT-Sicherheit stellt. Die Absicherung von Produktionsanlagen erfordert Erfahrung sowohl aus der Produktion als auch aus der IT und muss daher als gemeinsames Projekt dieser beiden Organisationen aufgesetzt werden.

Das in der Business-IT allgegenwärtige Ethernet und das IP-Protokoll erobern zunehmend auch den Factory Floor. Getrieben wird diese Entwicklung von dem Wunsch nach einer durchgängigen Datenkommunikation von der Feldebene bis hinauf in die ERP-Systeme der Unternehmen. Zudem versprechen solche Lösungen Kostenvorteile durch Standardisierung und Massenproduktion, aber auch durch die Vereinheitlichung und den gemeinsamen Betrieb der bisher völlig disparaten Netzwerk-Welten. Hinzu kommt der Trend zur Fernwartung von Produktionsanlagen, die sich über eine offene Netzwerkumgebung mit Standardprotokollen leichter und effizienter implementieren lässt. Was dabei häufig übersehen wird, ist jedoch die Tatsache, dass Ethernet und IP die Produktionsumgebung - auch und gerade in Verbindung mit Zugängen für die Fernwartung - anfällig machen für alle Spielarten der aus der Office-Welt bekannten Sicherheitsrisiken.

Die Notwendigkeit, sich gegen solche Risiken abzusichern, ist in der Produktion ein absolutes Novum. Bislang bestanden Produktionsanlagen aus singulären Systemen oder kleinen Kommunikationsinseln ohne Anbindung an die Außenwelt oder an andere Anlagen am gleichen Standort. Lediglich einige Leitsysteme dienten als Datenkonzentratoren, hatten in aller Regel aber ebenfalls keine Verbindung nach außen. Viren, Würmer oder unbefugte Zugriffe über das Netzwerk waren demzufolge in der Produktion unbekannte Risiken. Das ändert sich mit der zunehmenden Vernetzung via Ethernet und IP nun dramatisch.

Sicherheit im Industrienetz wird oft vernachlässigt

Trotz dieser neuen Situation schenken viele produzierende Unternehmen der IT-Sicherheit in ihren industriellen Netzen noch nicht die erforderliche Aufmerksamkeit. Sicherheitskonzepte bestehen oft nur für das Office-Netzwerk. Das Produktionsnetzwerk dagegen, in dem ja die eigentliche Wertschöpfung erfolgt, bleibt bei Sicherheitsbetrachtungen oft außen vor.

Dabei sind durch den Einsatz von Ethernet und IP nun sowohl böswillige Autoren von Schadcode als auch fahrlässige Fernwartungs-Dienstleister potenziell in der Lage, die Verfügbarkeit von Produktionsanlagen zu beeinflussen und so erhebliche materielle Schäden zu verursachen. Und auch das Office-Netzwerk im eigenen Unternehmen ist aus Sicht der Produktion als nicht vertrauenswürdig anzusehen. Schließlich ist hinreichend bekannt, dass die eigenen Mitarbeiter oft die größte Herausforderung für die Sicherheitsverantwortlichen darstellen. Dabei muss es gar nicht immer böser Wille sein; die meisten internen "Angriffe" resultieren aus Unkenntnis oder unabsichtlichem Fehlverhalten.

Die Gründe für die Vernachlässigung der Sicherheit in Industrie-Netzwerken sind mannigfaltig. So ist vielen Produktionsverantwortlichen gar nicht bewusst, welche Sicherheitsrisiken die Einführung moderner Netzwerktechniken mit sich bringt. Zudem fehlen derzeit noch externe Impulse, in die Sicherheit der industriellen Netzwerke zu investieren. So betrachten Banken bei ihren Ratings im Rahmen von Basel II meist nur die Sicherheit der Business-Systeme. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) konzentriert sich praktisch ausschließlich auf Empfehlungen zur Absicherung von Büronetzwerken; industrielle Netzwerke werden im umfassenden IT-Grundschutzhandbuch des BSI so gut wie nicht erwähnt.

Auch in Vorstand und Geschäftsführung fehlt meist das Bewusstsein für die neuen Risiken, die die Integration von Office- und Industrie-Netzwerk mit sich bringt. Dabei drohen gerade dem Top-Management schmerzliche Konsequenzen, da beispielsweise das KonTraG nicht zwischen diesen verschiedenen Netzen unterscheidet und so die Unternehmensführung ggf. in eine persönliche Haftung für Unfälle geraten kann. Und ein mehrstündiger Produktionsausfall oder gar eine durch fehlende Sicherheitsvorkehrungen verursachte Umweltkatastrophe haben ein erheblich höheres Schadenspotential als etwa ein korrumpiertes Warenwirtschaftssystem.

Gemeinschaftsprojekt zwischen IT und Produktion

Viele Unternehmen, die sich Gedanken über die Sicherheit ihres Produktionsnetz-werkes machen, beauftragen zunächst die IT-Abteilung mit der Analyse und der Erstellung eines Sicherheitskonzeptes. Schließlich kennt die IT die Bedrohungen sowie die dagegen zu treffenden Maßnahmen aus langjähriger Erfahrung. Der Einsatz von Firewalls, Antiviren-Software und Intrusion Prevention Systeme gehört für sie ebenso zum Alltag wie Authentisierung und Patch Management.

Doch bei näherer Betrachtung zeigt sich sehr schnell, dass die in der Office-Umgebung gewachsenen Security-Konzepte nicht einfach auf die Produktion übertragen werden können. Viel zu unterschiedlich sind die Gegebenheiten und damit auch die Anforderungen an Sicherheitskonzepte, -maßnahmen und -produkte. Vieles von dem, was in Office-Umgebungen heute als selbstverständlich gilt, lässt sich in der Produktion nur schwer oder auch gar nicht realisieren. Trotzdem ignorieren viele Unternehmen bei der Absicherung ihrer Produktionsanlagen - sofern sie sich überhaupt mit diesem Thema beschäftigen - eine ganz grundlegende Prämisse eines jeden Sicherheitskonzepts: Wenn man ein System absichern will, muss man zunächst einmal dieses System verstehen. Und genau das können die Mitarbeiter aus der IT alleine nicht.

Unterschiedliche Risiken in Büro und Produktion

Die Unterschiede zwischen Büro- und Produktionsnetzwerk werden besonders deutlich, wenn man die jeweiligen Sicherheitsrisiken betrachtet. Stehen in der Office-Welt die Verfügbarkeit von Daten und Anwendungen, Authentifikation und Zugriffsrechte sowie die Abwehr schädlicher Software und unerlaubter Inhalte im Vordergrund, so ergibt sich in der Produktion ein völlig anderes Bild. Fehlfunktionen von Maschinen und Anlagen können hier unmittelbar zu gravierenden Sach- und sogar Personenschäden führen. In entsprechend kritischen Umgebungen wie etwa Kraftwerken oder chemischen Betrieben lösen sie im schlimmsten Fall Katastrophen mit dramatischen Auswirkungen auf Mensch und Umwelt aus - man denke nur an Unfälle in Basel, Bhopal oder Tschernobyl. Doch selbst wenn es nicht ganz so heftig kommt, wird der Ausfall von Produktionsanlagen beim betroffenen Unternehmen immer zu erheblichen wirtschaftlichen Schäden führen. Und anders als in Büroumgebungen gibt es keine Backup- und Restore-Strategien, die solche Ereignisse ungeschehen machen könnten.

Gemeinsam ist allerdings beiden Umgebungen, dass eine nicht sofort sichtbare Manipulation von Daten schlimmere Auswirkungen haben kann als ein zeitlich begrenzbarer Komplettausfall. Wenn beispielsweise ein Hersteller ein Produkt zurückrufen muss, weil ein Zulieferer wegen eines erfolgreichen Hacker-Angriffs minderwertige Komponenten geliefert hat, wird dieser Zulieferer erhebliche Probleme bekommen. Auch die böswillige oder versehentliche Modifikation einer Rezeptur in der Pharma- oder Lebensmittelindustrie kann offensichtlich sehr gravierende Auswirkungen haben. Der Einsatz von Industrial Ethernet und IP in der Produktion macht solche Manipulationen jetzt auch durch Außenstehende zumindest prinzipiell möglich. Dabei kann im Einzelfall durchaus die Existenz des Unternehmens auf dem Spiel stehen.

Heterogene Systemwelten in der Industrial-IT

Dass die Security-Konzepte aus der klassischen IT in der Produktion nicht greifen, zeigt sich sehr deutlich auch, wenn man die zu sichernde Umgebung einmal näher betrachtet. In Büroumgebungen geht es primär darum, eine vergleichsweise geringe Anzahl von Servern sowie zentrale Komponenten der Infrastruktur abzusichern. Die Kompromittierung oder der Ausfall eines einzelnen Client-Systems dagegen ist zwar ärgerlich und mit Aufwand verbunden, aber in der Regel unkritisch. Besonders kritische Systeme können redundant ausgelegt werden, so dass auch der Ausfall etwa eines Servers relativ einfach kompensiert werden kann.

In der Produktion dagegen gibt es weder unkritische Systeme noch Redundanz. In den Zeiten der Just-in-Time-Fertigung gilt der Satz vom schwächsten Glied in der Kette: Der Ausfall oder eine Fehlfunktion nur eines Systems hat Auswirkungen auf den gesamten Produktionsprozess - bis hin zum kompletten Stillstand. Die Auswirkungen können dabei sogar weit über das eigene Unternehmen hinausgehen, wenn beispielsweise bei einem Zulieferer die Produktion steht und dessen Kunde deshalb ebenfalls nicht weiterproduzieren kann.

Doch damit nicht genug. Zwar wird man auch in Büroumgebungen heute immer auf eine heterogene Systemlandschaft treffen, doch gibt es hier in der Regel das Bestreben, möglichst wenige unterschiedliche Systeme einzusetzen. Speziell die Client-Landschaft ist aus der Sicht des Netzwerks sehr homogen, selbst wenn die PCs von unterschiedlichen Herstellern stammen.

Auch die Zahl der Anwendungen und damit der Protokolle ist meist überschaubar und vor allem auch steuerbar. In der Produktion dagegen wird die Steuerung mit der Maschine geliefert, und der Anwender hatte in der Vergangenheit nur wenig Einfluss auf die technischen Einzelheiten - ganz davon abgesehen, dass sie ihn gar nicht interessierten. Da ein Maschinenpark meist aus einer Vielzahl völlig unterschiedlicher Maschinen mit jeweils eigenen Steuerungen besteht, ist in den Produktionshallen im Laufe der Jahre ein gewaltiger Wildwuchs an Systemen und Protokollen entstanden, der auch nicht ohne weiteres bereinigt werden kann.

Viele der auf Maschinenebene eingesetzten Protokolle sind in der Office-Welt (und damit dem IT-Personal) unbekannt und wurden zudem oft noch ohne jede Berücksichtigung von Sicherheitsaspekten implementiert. Aus diesem Wildwuchs ergibt sich unter anderem auch die Notwendigkeit, Sicherheitskonzepte auf der Ebene von Einzelgeräten zu entwickeln - sogenannte Perimeter- oder Zonenmodelle.

Never change a running system

Das Patchen der vorhandenen Systeme ist eines der zentralen Security-Themen in jeder Netzwerk-Umgebung.

Sicherheitslücken in Anwendungen, Betriebssystemen und Protokoll-Stacks müssen zeitnah geschlossen werden, bevor ein Angreifer sie ausnutzen kann, und Bugs werden gefixt, um Instabilitäten zu vermeiden. In den meisten Unternehmen sind mehr oder weniger ausgefeilte Patch Management Systeme im Einsatz, um die Verteilung und Installation von Patches zu vereinfachen und zu automatisieren.

Doch was für den IT-Verantwortlichen Routine ist, ist für den Produktionsleiter des Teufels. "Never touch a running system" wird nämlich in der Produktion noch wörtlich genommen. Und das mit gutem Grund. In der Produktion wird in Echtzeit gearbeitet, und jede Modifikation der Steuerungssoftware oder des darunter liegenden Betriebssystems birgt das Potential, die ausgeklügelten zeitlichen Abläufe durcheinander zu bringen. Aus diesem Grund koppeln auch viele Maschinenhersteller ihre Garantie an eine unveränderte Software. Bevor daher irgendetwas an der Software verändert werden kann, müssen zunächst umfassende Tests in isolierten Versuchsumgebungen gefahren werden - ein immenser Aufwand, den sich viele Unternehmen verständlicherweise ersparen. Und auch das vor allem in kleineren Unternehmen durchaus gängige Verfahren "Ausprobieren, notfalls deinstallieren und neu booten" verbietet sich in einer Produktionsumgebung von selbst. Hinzu kommt noch, das viele Maschinenhersteller ihre Garantie an eine unveränderte Software binden.

Schließlich müssen in besonders kritischen Umgebungen die Maschinen nach jeder Modifikation neu validiert werden, was das Schließen von Sicherheitslücken durch Patches oder neue Software-Releases praktisch nahezu ausschließt.

Produktionsanlagen und ihre Steuerungen haben deutlich längere Lebensdauern als Office-Systeme, und so findet sich in der Fertigung heute eine Vielzahl ungepatchter Systeme unter allen nur denkbaren Windows-Versionen und Echtzeit-Betriebssystemen mit all ihren jeweiligen Sicherheitslücken.

Zusätzliche Sicherheitssoftware wie etwa Virenscanner können auf solchen Systemen wegen der zeitkritischen Abläufe meist nicht installiert werden. Außerdem gibt es für viele Systeme aufgrund ihres Alters überhaupt keine aktuelle Sicherheitssoftware mehr; beispielsweise wird Windows NT von den meisten Herstellern von Antivirensoftware nicht mehr mit aktuellen Pattern unterstützt.

Zugriffsrechte

Neben dem zeitnahen Patchen sind in Office-Umgebungen die Vergabe bzw. Beschränkung von Zugriffsrechten und die Authentifikation zentrale Stützpfeiler eines jeden Security-Konzeptes. Doch ebenso wie auf Patches muss im Produktionsnetzwerk auch auf diese Maßnahmen weitgehend verzichtet werden. Maschinen und damit ihre Steuerungen werden in der Regel von mehreren Mitarbeitern in völlig gleicher Weise bedient; das Konzept von User Accounts ist praktisch unbekannt. Wenn es überhaupt ein Passwort gibt, ist es allgemein bekannt. Starke und im Zeitverlauf wechselnde Passwörter, wie sie im Büro erzwungen werden, sind hier kontraproduktiv. Und gerade besonders kritische Komponenten wie etwa eine Notabschaltung oder Produktionsleitstände können mit Passwörtern oder Tokens überhaupt nicht gesichert werden - hier muss jederzeit ein sofortiger Zugriff gewährleistet sein. Die Absicherung gegen unbefugte Zugriffe muss daher mit völlig anderen Mitteln sichergestellt werden als in Büronetzwerken.

Keine Sicherheit ohne Konzept

Bei allen Unterschieden haben Produktion und Büroumgebung doch eines gemeinsam: IT Security wird nicht durch Hard- und Software gewährleistet, sondern nur durch ein ganzheitliches Security-Konzept mit entsprechenden Policies. Erst bei der Durchsetzung dieser Policies kommen dann einzelne Produkte ins Spiel.

Da IT-Verantwortliche in der Regel nur eingeschränkte Einblicke in (und auch nur ein begrenztes Verständnis für) die Gegebenheiten und Abläufe in der Produktion haben, die Produktion dagegen wenig Erfahrung mit IP im allgemeinen und IT Security im besonderen hat, ist die Absicherung der Produktionsanlagen zwangsläufig ein Gemeinschaftsprojekt. Produktion und IT müssen gemeinsam ein Konzept erarbeitet, welches alle Aspekte der Betriebssicherheit und Betriebsverfügbarkeit umfasst. In der Realität ist dies oft schon der Punkt, an dem solche Projekte scheitern. Das liegt meist gar nicht an mangelndem Willen zur Kooperation oder gar an Eifersüchteleien - IT und Produktion sprechen einfach völlig unterschiedliche Sprachen. Und dennoch geht kein Weg daran vorbei: Sie müssen an einem Tisch sitzen und an einem Strang ziehen. Dabei hat sich gezeigt, dass die Schwachstellenanalyse und Entwicklung eines für beide Seiten praktikablen Betriebskonzeptes die mit Abstand wichtigsten Projektphasen darstellen.

Die Entscheidung für bestimmte Produkte und Hersteller ist dagegen zweitrangig.

Während der Entwicklung des Betriebskonzeptes müssen vor allem die Verantwortlichkeiten der doch sehr unterschiedlichen Bereiche klar abgegrenzt und definiert werden. Auch hier spielen technische Aspekte eher eine untergeordnete Rolle. So sind beispielsweise die Trennung von Produktions- und Officenetz durch eine Firewall und die Implementierung eines IPS-Systems klassische IT-Aufgaben, während die Produktion für die Begrenzung von Kommunikationsbeziehungen in der Produktionsumgebung durch Bilden von Security-Inseln verantwortlich sein sollte.

Im Rahmen eines übergeordneten Betriebskonzeptes müssen dabei alle Beteiligten besonders darauf achten, dass die wegen der Vielzahl von Sicherheitszonen zwangsläufig komplexe Security-Umgebung beherrschbar bleibt. Dabei geht es vor allem um einfache Administrierbarkeit, die Möglichkeit zu Updates und Änderungen, gesetzeskonformes Reporting, Change Management etc.

Best Practice: Zonenmodelle mit Industrial Firewalls

Da in der Industrial IT Sicherheitsmaßnahmen auf den Systemen selbst in der Regel ausscheiden, verspricht hier vor allem ein Weg Erfolg: Die einzelnen Maschinen bzw. Produktionsinseln müssen durch vorgeschaltete Systeme geschützt werden, die nicht in die Prozesskommunikation an sich involviert sind, sondern lediglich die einzelnen Inseln gegeneinander und vor der Außenwelt abschirmen. In solchen Zonenmodellen wird die Kommunikation zwischen den einzelnen Zonen durch Firewall-Systeme eingeschränkt, die explizit lediglich die notwendige Kommunikation erlauben. Zudem können auf solchen vorgeschalteten Firewalls problemlos Antivirensoftware oder IPS installiert und jederzeit aktualisiert werden. Mittlerweile gibt es speziell für den Einsatz im Produktionsumfeld konzipierte Firewall-Appliances mit Hutschienenmontage, 24-Volt-Versorgung und an raue Umgebungsbedingungen angepassten Gehäusen, so dass die Integration in die bestehende Umgebung relativ einfach ist. Hierzu zählen etwa die mGuard-Serie von Innominate oder die VPN-1 Edge X Industrial Model, die Check Point in Zusammenarbeit mit der Defense AG entwickelt hat.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

  • Mit den Augen eines Phishers

    Mit den Augen eines Phishers

    Die Betreiber des Forums ha.ckers.org haben einen jugendlichen Phisher, der sich Lithium nennt, dazu bewegen können, ein paar Fragen schriftlich zu beantworten. Lesen Sie unsere Übersetzung ...

    weiterlesen
  • Intelligente Dokumente mit integrierter Sicherheit

    Intelligente Dokumente mit integrierter Sicherheit

    Produkt-Piraterie, Know-how-Diebstahl oder Verstoß gegen den Datenschutz – beim Thema Digital Rights Management (DRM) sind in der heutigen globalisierten Welt alle betroffen. Ob Großunternehmen, Mittelständler oder Behörden, ob produzierendes Gewerbe ...

    weiterlesen
  • Sprachstörungen

    Sprachstörungen

    Beschäftigen wir uns heute einmal mit Sprachstörungen: „Die Störung der gedanklichen Erzeugung von Sprache“ sagt Wikipedia. Stammeln, Stottern, Lallen … sind eher hinderlich für einen flüssigen Artikel. Daher fokussieren wir uns auf einen ganz ...

    weiterlesen
  • Unternehmen sind zu fahrlässig im Web 2.0

    Unternehmen sind zu fahrlässig im Web 2.0

    In nahezu jedem Unternehmen können Mitarbeiter Blogs, Mashups, soziale Netzwerke, Foto- und Videoportale oder andere Elemente des Web 2.0 am Arbeitsplatz nutzen. Die wenigsten aber schützen sich ...

    weiterlesen
  • Ansteckende Krankheit: Viren und Würmer im Mobilfunk

    Ansteckende Krankheit: Viren und Würmer im Mobilfunk

    Am 15. Juni war es soweit: Hersteller von Virenschutzprogrammen meldeten Cabir, den ersten Wurm, der Mobiltelefone befällt. Cabir kann sich über Bluetooth auf Nokias Plattform „Serie 60“ verbreiten. Bevor ein Gerät infiziert wird, muß dessen Benutzer ...

    weiterlesen
alle Artikel zum Thema

Autor

  • Peter Dölling

    Defense AG

Dipl. Ing. Peter Dölling ist Gründer und Vorstand der im Jahr 2000 gegründeten Defense AG mit Sitz in München.

Artikel einreichen

Top Artikel

  1. Zehn Gebote für optimale End-Point-Security
  2. Complete Security
  3. Das Geschäft der Anderen mit Ihren Kundendaten
  4. Security-Framework "made in Germany"
  5. Schleichende Datenkorruption

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht