Beginnen wir mit einer Begriffsdefinition. Für das deutsche Wort Sicherheit gibt es im Englischen zwei Übersetzungen: Safety und Security. In der Safety geht es, vereinfacht gesagt, um die Vermeidung von unbeabsichtigten Störungen des Betriebsablaufs (oder globaler gesehen des Lebens), in der Security um die Abwehr von beabsichtigten, also böswilligen Störungen. Betrachten wir industrielle Anlagen, so dienen der Zaun ums Firmengelände sowie der Werkschutz der Security, hingegen Lichtgitter, redundante Sicherheitssteuerungen und Notaus-Taster der Safety. Im vergangenen Jahrhundert hat das auch gereicht. Meistens. Doch dann kamen Computer und das Internet. Das hat, neben vielen Annehmlichkeiten und Vorteilen auch ein paar neue Risiken mit sich gebracht. Hacker, Trojaner und Computerviren zum Beispiel. Die Industrie, insbesondere die Fertigungsnetze, waren davon allerdings lange nicht betroffen.
Hima: Anbieter von Safety-Lösungen mit Security-Partnerschaft
Hima, unabhängiger Anbieter smarter Safety-Lösungen für die Industrie, und Genua, Spezialist für IT-Sicherheit, haben eine strategische Partnerschaft im Bereich Automation Security vereinbart. Die Partner bieten gemeinsam Sicherheitslösungen für die Prozess- und Bahnindustrie, die höchste Safety- und Security-Standards erfüllen. Schwerpunkte sind die sichere Fernwartung von Maschinen und Anlagen sowie die Kontrolle von Industrieprotokollen an kritischen Netzwerk-Schnittstellen. Die Hard- und Software-Lösungen von Genua ergänzen Himas Portfolio im Bereich Security wirksam: Genuas Kompetenz liegt in der sicheren Anbindung mobiler Mitarbeiter, der verschlüsselten Kommunikation via Internet, der internen Netzwerk-Segmentierung mit Firewalls sowie der Vernetzung hochkritischer Anlagen mit Datendioden.
Sichere Fernwartung von Safety-Systemen - Quelle: ke NEXT
Für viele der proprietären Steuerungen, die überdies oft jahrzehntelang im Einsatz blieben, gab es schlicht keine passenden digitalen Schädlinge, und überhaupt, die Fabriknetze waren ohnehin vom Rest der Welt getrennt. Was sollte da schon passieren?
Einiges: Unter Namen wie Petya, Stuxnet oder Wannacry wurden Cyberattacken bekannt, die eindeutig auch Industrieunternehmen geschädigt haben, teilweise sogar explizit für diese programmiert waren. Während eine verschlüsselte Festplatte für einen Privatanwender im besten Falle nur lästig ist, kann sie für ein Unternehmen zu einem teuren Produktionsausfall werden. Und falls die Systeme der funktionalen Sicherheit ausfallen, drohen Maschinen- und im schlimmsten Falle auch Personenschäden.
Security: Welche Risiken bestehen für Industrieunternehmen?
„Wir unterscheiden im Wesentlichen drei Arten von Risiken“, erklärt Dr. Alexander Horch, Entwicklungsleiter beim Safety-Spezialisten Hima in Brühl bei Mannheim. „Das Erste ist Erpressung. Auf manche Daten, oder schlimmer, auf gewisse Steuerungen kann das Unternehmen dann nicht mehr zugreifen. Der Angreifer legt den Betrieb sozusagen mit einer geladenen Waffe lahm und zwingt die Firma, Geld zu zahlen. Das ist nicht unbedingt einfach, aber es gibt sehr viele Angreifer, die genau das im Sinn haben.“ Die zweite Art von Angriffen sei Spionage. „Hier geht es darum, Betriebsgeheimnisse aus den Steuerungssystemen auszulesen, chemische Rezepte etwa“, so Horch. „Auch das ist nicht leicht zu bewerkstelligen. Zudem ist der Kreis der Leute, die das interessiert, kleiner. Aber dafür gehen sie gezielter vor und haben in der Regel mehr Mittel zur Verfügung.“ Gerade von diesen Angriffen sei wenig zu hören, da die betroffenen Unternehmen solche Vorfälle oft geheim hielten.
Die dritte Sorte von Angriffen ist sicher die seltenste, aber dafür die dramatischste: Es besteht die Möglichkeit, Kraftwerke und insbesondere Chemieanlagen so zu sabotieren, dass bewusst Menschenleben gefährdet werden. „Das ist, als würde man bei einem Auto aufs Gas treten und gleichzeitig die Bremse deaktivieren“, führt der Hima-Experte aus. „In der Industrie bedeutet das, das Leitsystem aus dem Tritt zu bringen und gleichzeitig die Safety-Systeme außer Kraft zu setzen. Eine explodierende Anlage könnte dann zum Beispiel große Mengen Giftgas freisetzen.“ Auch wenn es diese Versuche global gesehen wohl schon gab, sind derartige Angriffe ausgesprochen schwierig. Da solche Attacken aber als kriegerische Akte im Wesentlichen von Regierungen und Militärs beauftragt werden, stehen den Tätern hier im Fall der Fälle fast unbegrenzte Mittel zur Verfügung. Ein guter Grund, vor allem die Safety-Systeme besonders gut zu schützen. Oder sie gar nicht erst ins Netz zu lassen?
Produktionsnetz: Warum sich Zugriffe nur schwer vermeiden lassen...
Die naheliegende Lösung: Wenn das Produktionsnetz für Angreifer zu 100 Prozent nicht erreichbar ist, dann muss man sich auch keine Sorgen machen. Das ist grundsätzlich richtig. Allerdings sind Fälle bekannt, in denen USB-Sticks mit Schadsoftware über den Zaun geworfen wurden (irgendjemand steckt sie aus Neugier schon in den nächstbesten Rechner...) oder eine Kaffemaschine mit Ethernet-Anschluss in der Werkskantine gelandet ist. Und selbst wenn sich das alles vermeiden lässt, irgendwann klinkt sich der Wartungstechniker mit seinem (infizierten?) Laptop ganz legal im Produktionsnetz ein. Außerdem ist es sehr nützlich, auch die Werksnetze kommunikativ anzubinden. Denn mit der Auswertung von Daten aus Sensoren und Aktoren lassen sich Prozesse verbessern und Kosten sparen. Stichwort Industrie 4.0 und Big Data. Allerdings reicht es hierfür, dass die Daten sich nur in eine Richtung bewegen, aus dem Werk heraus in die Cloud. Ein Durchgriff von außen nach innen ist dazu nicht nötig. So genannte Datendioden – spezielle Software auf einer Security-Hardware – können genau das gewähren.
Bleibt das Dilemma bei der Fernwartung. Denn Industrieanlagen sind weltweit verteilt, manche von ihnen wie Bohrinseln arbeiten komplett ohne Personal vor Ort. Dem gegenüber ist die Zahl der Experten bei den Maschinenherstellern und Wartungsdienstleistern begrenzt. Wenn Spezialisten bei jeder Fehlersuche zum Teil weite Anreisen zu den Maschinen machen müssen, ist der Prozess zeit- und kostenintensiv. „Ein Fernzugriff soll ja letztlich Geld sparen“, führt Dr. Horch aus. „Und in voller Schönheit zeigt sich das nur, wenn man auf alles zugreifen kann. Wenn man am Ende doch wegen gewisser Systeme immer wieder vor Ort fahren muss, dann bringt es nicht so viel. Also sollte man auch auf die hochkritischen Safety-Systeme über öffentliche Netze zugreifen können.“
Aber eben sicher. Deshalb hat Hima als einer der weltweit führenden unabhängigen Anbieter von Safety-Lösungen gemeinsam mit seinem strategischen Partner Genua, einem Spezialisten für IT-Sicherheit und Tochterunternhemen der Bundesdruckerei, eine Lösung für die Fernwartung im industriellen Umfeld vorgestellt.
Konkret besteht sie aus Serviceboxen am Wartungsobjekt, also im Schaltschrank der Anlage, sowie einem Rendevouzserver in der so genannten demilitarisierten Zone (DMZ). „Bei der DMZ handelt es sich um ein eigenständiges Netzwerk, das als Pufferzone zwischen einem externen Netz und dem internen Netzwerk agiert“, erklärt Benjamin Gedik, Account Manager IT Security bei Genua. „Unsere Genuboxen dienen als hochsichere Fernwartungs-Appliance, sprich als Gateway und Firewall ebenso wie als Rendevouz-Server.“ Die Systeme nutzen sichere Protokolle wie SSH, IPsec und SSL/TLS. Die Authentifizierung des Nutzers kann neben dem Passwort auch über ein Einmalkennwort mit Yubikey-Token in Kombination mit RSA-Schlüssel erfolgen. Funktionen zum Monitoring und zur Videoaufzeichnung des Fernzugriffs runden das Leistungspaket ab.
Fernwartung: Die Definition des BSI
Mit Fernwartung werden ein räumlich getrennter Zugriff auf IT-Systeme und die darauf laufenden Anwendungen zu Konfigurations-, Wartungs-, Reparatur- oder Kontrollzwecken bezeichnet. Die Fernwartung kann passiv durch einen ausschließlich betrachtenden Zugang auf das IT-System bzw. die Anwendungen erfolgen oder aktiv durch direkte administrative Eingriffe in das Betriebssystem oder laufende Anwendungen. Im Fall der passiven Fernwartung muss ein Benutzer vor Ort unter Anleitung durch einen Administrator die eigentlichen Aktionen durchführen. Bei der aktiven Fernwartung wird dagegen in ein Betriebssystem eingegriffen und dieses direkt durch einen Administrator bedient.
Ziel ist der Schutz der Informationen, die auf Basis der Fernwartung gespeichert, verarbeitet und übertragen werden. Zu diesem Zweck werden Anforderungen an die Fernwartung gestellt, die sich auf Funktionen der aktiven und passiven Fernwartung beziehen.
(Quelle: https://www.bsi.bund.de)
Fernwartung: So einfach sind Apps...
Soll nun eine Fernzugriffsverbindung zu einer Maschine oder einem Anlagenteil hergestellt werden, wählt sich der Dienstleister von außen auf den Rendevouz-Server in der DMZ ein. Bedient wird die Rendezvous-Lösung über eine Fernwartungs-App: Mit einem Mausklick initiiert der Service-Mitarbeiter hier den Aufbau der Wartungsverbindung. Wenn zusätzlich von innen die Genubox des betreffenden Schaltschrankes oder Anlagenteils ebenfalls aktiv auf diesen Rendevouz-Server geschaltet wird, stellt das System eine verschlüsselte Verbindung zwischen Wartungstechniker und Maschine her. Die Fernwartungs-App für den Service-Mitarbeiter lässt sich auf jedem aktuellen Windows-System installieren – Administratorrechte sind dazu nicht erforderlich. Alle Aktionen über diese Verbindung werden protokolliert. Der Zugriff auf die Maschine ist natürlich nicht auf die Hima-Komponenten beschränkt, auch Automatisierungslösungen von Drittanbietern sind mit diesem System sicher integriert. Anwender werden nicht durch eine proprietäre Lösung eingeschränkt. Durch ein zentrales Management ist diese Fernwartungslösung auch für große Umgebungen einfach skalierbar und immer auf dem aktuellen Stand.
Die Hima-Genua-Kooperation hat den Charme, dass eine BSI-konforme, sichere Fernwartungslösung existiert, bei der Hardware, Software und Support aus einer Hand geliefert werden. Das reduziert die Komplexität. Die Investitionssicherheit ist durch optional erweiterbaren IPv6-Support und ständige Produktpflege gegeben. Und auch Hima selbst hat einen praktischen Nutzen: Die Lösung ist so sicher, dass der Hersteller es seinen Kunden künftig ermöglichen will, sich sogar in eine laufende Werksendabnahme einzubinden. Dabei werden auch die finalen Tests durch entsprechende Aufsichtsbehörden durchgeführt, also die Validation. Durch den Einsatz der Hima-Genua-Lösung können Kunden künftig von jedem Standort der Welt eine Endabnahme, eine Remote FAT, durchführen, ohne lokal bei Hima anwesend sein zu müssen.
Es ist vielleicht nicht die Quadratur des Kreises, aber durch die intelligente Verknüpfung und gleichzeitige Trennung von Safety und Security werden die unterschiedlichen Updatezyklen der Teilbereiche – in der Safety Jahre, in der Security Tage – ausgeglichen. Und am Ende ist die Anlage so sicher, wie es heute eben geht. Und zwar safe und secure.
Experte verrät: So gehen Safety und Security heute Hand in Hand
Über Security in der Safety bei Hima sprach ke NEXT mit Dr. Alexander Horch, seit 2016 Leiter des Bereichs Forschung, Entwicklung und Projektmanagement bei Hima. Zuvor war der technische Kybernetiker etliche Jahre im Forschungszentrum bei ABB tätig.
Safety und Security unter einen Hut zu bekommen ist nicht einfach. Was war für Hima die größte Herausforderung?
Dr. Alexander Horch: Der Safety-Markt ist, zumindest in unseren Branchen, also Prozessindustrie und Bahn, sehr konservativ. Wer einmal etwas gekauft hat, der bleibt gerne lange dabei. Viele Kunden wollen 20, 30 Jahre bei einer Produktfamilie bleiben. Das heißt, was immer wir tun: wir müssen vorsichtig innovieren. Im Grunde soll bezüglich der Safety alles so bleiben wie es ist, aber man möchte natürlich trotzdem mit den technologischen Veränderungen Schritt halten. Da geht es um neue Protokolle, mehr Remote-Systeme, es ist nicht mehr alles zentral im Schaltschrank. Und hier kommt das Thema Security ins Spiel. Das ist ein kleines Dilemma, denn unsere Kunden möchten die gleichen Produkte wie früher, aber jetzt soll alles nicht nur safe, sondern auch secure sein.
Ist das derzeit nur Wunschdenken oder werden die Anlagen heute wirklich schon mit der Cloud verbunden?
Das passiert, aber zuerst auf der Prozessleitebene. Wir haben das Glück in der Safety, dass alles, was sich verändert, sich zuerst in der normalen Leittechnik verändert und dann gegebenenfalls bei uns. Wenn man heute noch hört „meine Anlage kommt nicht in die Cloud“, dann ist das eher dem geschuldet, dass manche Manager nicht genau wissen, worüber sie reden. Natürlich hängt man eine Anlage samt Prozess- oder Engineeringdaten nicht einfach ins Internet, das ist ja logisch. Das heißt aber nicht, dass nicht doch immer ein Zugang existiert. Weil mindestens muss ich neue Software einspielen, mindestens mal brauche ich Zugänge, um Wartung zu machen. Selbst wenn ich glaube, ich habe einen Luftspalt zwischen meiner Anlage und dem Internet, dann gibt es natürlich trotzdem Möglichkeiten für das Internet, auf diese Anlage zuzugreifen – und sei es über Datenträger.
Aber machen diese neuen Technologien die Anlagen nicht unsicherer – speziell was die Maschinensicherheit, die Safety angeht?
Im Gegenteil, eine moderne Cloudlösung ist eigentlich viel sicherer, weil sie neu und seriös aufgesetzt wird. Viel schwieriger sind ja die Dinge, die man schon vergessen hat. Wer weiß denn noch, was vor zehn Jahren alles gemacht wurde? Da mag irgendwo ein Router hängen, den keiner mehr kennt und der irgendeine Verbindung oder einen Port offen hat, von dem keiner mehr weiß – den aber Hacker natürlich trotzdem finden. Das ist viel gefährlicher als eine sauber aufgesetzte Lösung, die aus verschiedenen Sensoren Daten gezielt über ein abgesichertes Gerät in die Cloud schiebt.
Oft heißt es ja, der Mensch sei das größte Sicherheitsrisiko...
Ich persönlich finde es unfair, wenn man sagt, der Mensch ist das schwächste Glied. Der Mensch ist natürlich eine beliebte Angriffsfläche, zumindest am Anfang der Angriffe. Das wird man nicht ändern können. Natürlich muss man gerade deshalb Menschen gut schulen und sichere Prozesse haben. Wenn ich weiß, warum ich mich im Auto anschnalle und es verstanden habe, dann stört es mich auch weniger. Vor allem aber: Wenn ich eine Anlage notabschalten muss aus Security-Gründen, genau dann ist der Mensch gefragt. Denn Algorithmen sind gut in der Nische, während wir Menschen gut darin sind, die Nischen zu verlassen. Immer wenn das Unerwartete kommt, muss der Mensch ran. Da ist es psychologisch unklug ihm vorher einzureden, er sei das Problem, wo er doch die Lösung sein muss.
Sie haben sich entschieden, bezüglich der Security-Applikationen mit Genua zusammenzuarbeiten. Warum?
Da gibt es mehrere Gründe. Im Vordergrund stehen deren technische Fähigkeiten, die einfach sehr gut sind. Das ergänzt unser Safety-Portfolio auf ganz wunderbare Art. Ein Stück weit ist Genua in der Security das, was wir in der Safety sind. Das passt einfach sehr gut. Wir haben außerdem gemerkt, dass die beiden Firmen auch vom Mindset und von der Unternehmensphilosophie sehr gut harmonieren. Das ist für uns als kleine Firma extrem wichtig. Außerdem finden wir es gut, dass Genua zur Bundesdruckerei gehört. Wir hatten vor Jahren schon eine Partnerschaft mit einer anderen Firma geplant, die wurde uns dann von einem Mitbewerber vor der Nase weggekauft. Das kann bei Genua nicht mehr passieren. wk
Bleiben Sie informiert
Diese Themen interessieren Sie? Mit unserem Newsletter sind Sie immer auf dem Laufenden. Gleich anmelden!