Es gibt einen immens wichtigen Punkt, den die Verantwortlichen vor einem solchen Penetrationstest, wie im Artikel in der letzten Woche beschrieben, beachten sollten. Einige Maschinen reagieren sehr empfindlich auf Datenströme, wie sie von der für den Test erforderlichen Software gesendet werden. Ein einfacher Netzwerkscan kann zu einem weit verbreiteten Ausfall von Steuerungskomponenten führen. Dies liegt daran, dass viele Prozesse im System aufeinander aufbauen und es an diesen Stellen viele Abhängigkeiten gibt. Auch wir haben solche Abstürze bereits mehrfach vorsätzlich durch Scans im Kundenauftrag provoziert. Im Zweifelsfall ist es notwendig, den Test in einer Laborumgebung mit Teilen der Anlageninfrastruktur im Vorfeld zu simulieren, um unliebsame Überraschungen beim Einsatz in der Produktionsumgebung zu vermeiden. Der Aufwand ist in fast allen Fällen gerechtfertigt und dürfte überall zu spüren sein.

Die Netzwerksicherheit ist allerdingn nur eine von mehreren Komponente. Mindestens ebenso wichtig ist es, dass die Produktionsplanung im Unternehmen die Ausschreibung neuer Geräte und Lösungen mit Kollegen aus dem IT-Security-Team diskutiert. Nur so können die notwendigen Sicherheitsanforderungen in die Spezifikationen aufgenommen werden. Und nur so kann nach der Installation, aber vor der Inbetriebnahme der Systeme überprüft werden, ob die Vorgaben eingehalten werden. Den Produktionsspezialisten fehlt in der Regel das notwendige Fachwissen. Dieser Teilbereich hat in ihrer täglichen Arbeit bislang noch keine Rolle gespielt.

Teil 1 ist eine Einführung in die schöne neue Welt der smarten Produktion mit all ihren Chancen und auch all ihren Risiken. Teil 2 berührt den sensiblen Punkt des Konzepts: die Normen. Es muss auch klar sein, dass die Produktion dann vor Viren, Würmern und Hackern geschützt werden muss. Teil 3 untersucht, an welchen Stellen mittelständische Unternehmen am besten auf den Zug aufspringen können. Eine interessante Möglichkeit sind Forschungskonsortien und die Zusammenarbeit mit Universitätsinstituten.

White-Hat-Angriffe als Argument

Um die Sicherheitsanforderungen jedoch präzise zu formulieren, muss nicht nur IT-Sicherheitskompetenz zum Diskussionsthema gemacht werden, sondern auch die Denk- und Herangehensweise, mit der potenzielle Angreifer an das System herantreten würden. Diese Denkweise ist für Produktionsexperten verständlicherweise ebenso fremd wie das Bewusstsein, welche Probleme ein erfolgreicher Angriff verursachen kann. Darüber hinaus sollten die IT-Sicherheitsexperten ihren Produktionskollegen das Wissen über den zusätzlichen Aufwand und die Kosten für die Sicherung der Umwelt vermitteln. Und natürlich sollten die IT-Sicherheitsbeauftragten auch die Planer und die mit der Ausschreibung betrauten Kollegen schulen, so dass im Laufe der Zeit immer weniger Input bei der Erstellung der Spezifikationen erforderlich wird.

Aber wie schaffen es die Verantwortlichen für IT-Sicherheit, Zugang zur Produktionsplanung zu erhalten? Letztendlich müssen die Sicherheitsexperten in dieser Hinsicht mehrere Dinge beweisen: Sie müssen zum einen fähig dazu sein, den Mehrwert der von ihnen vorgeschlagenen Maßnahmen nachzuweisen oder zumindest glaubwürdig aussehen zu lassen. Dabei helfen besonders Penetrationstests, die Lücken in den bestehenden Sicherheitsmechanismen dokumentieren. Wenn die White-Hat-Hacker nach dem Test beweisen, wie sie sich Zugang zum Sicherheitsdienst verschafft haben und dann die auf dem Monitor haftenden Haftnotizen mit vertraulichen Passwörtern in den Büros der Produktionsmitarbeiter dokumentieren, bringt das Glaubwürdigkeit mit sich.

Darüber hinaus müssen die IT-Sicherheitsexperten nachweisen können, dass sie die Anforderungen der Produktion nachvollziehen können und kennen. Dazu gehört zum Beispiel, dass sie sich des Unterschieds zwischen allgemeiner Sicherheit, die in der Produktion wichtig ist, und Sicherheit, die in der IT-Umgebung unerlässlich ist, bewusst sind. Die Mengen und Laufzeiten der Maschinen müssen auch nach der Integration von Sicherheitsmaßnahmen korrekt sein. Wird dies in der vernetzten Fabrik sichergestellt, steht der Zusammenarbeit zwischen IT und Produktion nichts mehr im Wege.

Fehlende Branchen-Standards in der Industrie

Das Problem der Sicherheitskonzepte für die Produktion wird durch einen weiteren Umstand verschärft: Es gibt derzeit keine branchenweiten Normen oder Best Practices, die zur Bewältigung der Herausforderungen in Verbindung mit IoT eingesetzt werden könnten. So bleibt beispielsweise abzuwarten, wie die verschiedenen in der Produktion erzeugten Datenströme weitgehend automatisch überwacht werden können. Automatisierung ist notwendig, weil die Datenmenge beträchtlich ist. Wer beurteilt anhand welcher Kriterien, ob einzelne Datenpakete gutartig oder schlecht und gefährlich sind? Die Komplexität der Systeme schützt nach wie vor vor gezielten und oftmals auch verheerenden Angriffen. Spätestens wenn das notwendige Produktions-Know-how für solche Angriffe nicht mehr nur für staatlich finanzierte Hackergruppen, sondern auch für normale Cyberkriminelle zugänglich ist, wird es sicherlich noch mehr Angriffe geben.

Vielleicht liefert die bereits erwähnte Havex-Malware Kriminellen an dieser Stelle Hilfeleistungen. Es gibt also eine Art Machtkampf zwischen Angriff und Verteidigung – welchen die Verteidigung noch selbst entscheiden könnte. Wenn sie denn eines bedenkt: Selbst eine nahezu perfekt gestaltete IT-Umgebung in der eigenen Produktion nützt wenig, sobald die Grenzen des Netzwerks verschwimmen und Maschinen auch nach außen vernetzt sind und kommunizieren müssen. Die Kommunikation aller zum Internet der Dinge gehörenden Teile ist nicht auf die Grenzen der jeweiligen Produktionsumgebung beschränkt, sondern findet beispielsweise auch zwischen Lieferant und Kunde statt. Oder vernetzte Produktionsmaschinen kommunizieren mit einem Cloud-Service, um Einblick in ihren Status zu erhalten und eine vorausschauende Wartungsvorhersage für einen möglichen Ausfall zu erstellen. In einem solchen Fall kann ein angreifbarer Lieferant ausreichen, um über diesen Umweg das generelle Ziel zu erreichen. Es gibt viele Beispiele für solche Attacken auf die Lieferkette.

Im Rahmen einer Sicherheitsstrategie für das Internet der Dinge ist es unerlässlich, sich die Konzepte und Maßnahmen der Lieferanten genau anzusehen. Wer sich nur aus dem Weg gehen will, verschwendet Zeit und Geld. Stellen die Produktionsmaschinen beispielsweise zu Wartungszwecken eine Verbindung zum Hersteller her, gibt es einen Datenpfad von außerhalb in das Produktionsumfeld.