Mit Industrie 4.0 können Unternehmen ihre Produktion flexibler, kostengünstiger und effizienter gestalten. Doch die Vernetzung der Anlagen mit Unternehmensnetzwerken und dem Internet öffnet neue Angriffsflächen für Hacker. Erfahren Sie hier, welche 7 Schritte nötig sind, um eine sichere Produktionsumgebung zu schaffen.

 

Industrie 4.0 verbindet IT und Operational Technology (OT) und vernetzt die vorher getrennten Welten. Anlagenteile in einer Produktionsanlage kommunizieren dadurch nicht nur untereinander, sondern auch mit Unternehmenssoftware wie einem ERP-System. So können sie beispielsweise benötigte Rohstoffe selbstständig bestellen, ohne dass dafür ein Mitarbeiter aktiv werden muss. Das autonome Handeln der Anlage erhöht die Effizienz und spart Kosten. Doch bei allen Vorteilen gibt es auch eine Kehrseite der Medaille, denn durch die Verbindung der Herstellung mit Unternehmensnetzwerken und dem Internet öffnen sich auch neue Einfallstore für Hacker. Angriffsszenarien, die wir bisher aus der IT kennen, betreffen jetzt auch die OT. Und das mit gravierenden Folgen: Wenn es einem Angreifer gelingt, in den Computer eines Produktionsleiters einzudringen, könnte er bis zur Anlagensteuerung vordringen und sie manipulieren. Cyberkriminelle könnten so die komplette Produktion lahmlegen oder Industriespionage betreiben. In beiden Fällen wäre der Schaden riesig.

Damit Ihrem Unternehmen so etwas nicht passiert, zeige ich Ihnen 7 Schritte zur sicheren Industrie 4.0 Umgebung.

Schritt 1: Bedrohungen analysieren

Zu allererst muss sich jedes Unternehmen im Bereich Industrie 4.0 darüber Gedanken machen, was für Bedrohungen auftreten könnten. Dazu hilft ein Blick auf bereits eingetretene Schadensszenarien. Eine aktuelle Bedrohung beispielsweise ist Ransomware – also Schadsoftware, die Systeme verschlüsselt und quasi als Geisel nimmt. Cyberkriminelle versuchen auf diese Weise, ihre Opfer zu erpressen. Nur wer ein Lösegeld zahlt, erhält den Schlüssel, um seine Daten wieder zu befreien – oder auch nicht. Im Sommer 2017 trieb der Kryptotrojaner Petya sein Unwesen und traf unter anderem auch Produktionsunternehmen. So standen im Milka-Werk in Lörrach, das täglich bis zu 4,5 Millionen Tafeln Schokolade produziert, tagelang die Bänder still, weil alle Systeme heruntergefahren werden mussten. Informationen zu aktuellen Angriffen erhalten die Firmen unter anderem beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Dort finden sie eine Liste mit den zehn häufigsten Bedrohungen für Industrieanlagen. Auf Platz eins rangieren übrigens Social Engineering und Phishing.

Cyberangriffe

Bei Bedrohungen gilt stets die Devise: auch wenn etwas abwegig erscheint, ist man nie sicher vor Leuten, die bereit sind, über Grenzen zu gehen. Wer Anregungen braucht, kann dazu auch Marc Elsbergs Buch „Blackout“ lesen.

Schritt 2: Die Eigenheiten der Anlage kennen

In einem Maschinenpark existieren mehrere Kommunikations-Standards, wie Profinet und Profibus. Diese sprechen mit unterschiedlichen Protokollen. Es ist also wichtig zu wissen, welche Protokolle eine Produktionsanlage spricht.
Ein weiteres Augenmerk ist auf die Geschwindigkeit zu legen. Firewalls verursachen immer eine Zeitverzögerung, da sie den Netzwerkverkehr analysieren müssen, um Sicherheitsregeln umzusetzen. Während es im Enterprise-Umfeld unerheblich ist, ob eine Webseite in 3,0 oder 2,6 Sekunden lädt, sind solche Verzögerungen für manche Produktionsanlagen nicht tragbar. Sie erwarten mitunter Antwortzeiten innerhalb von Millisekunden.

Ebenfalls wichtig sind etwaige vorhandene extreme äußere Einflüsse durch Hitze, Kälte oder Staub. Eine herkömmliche Firewall würde beispielsweise die extremen Temperaturen in einem Stahlwerk nicht aushalten.

Schritt 3: Anforderungskatalog erstellen

Um die ideale Sicherheitslösung zu implementieren, sollten Unternehmen und Dienstleister gemeinsam eine Bestandsaufnahme machen und einen Anforderungskatalog erstellen. Dort hinein gehören Informationen wie: In welcher Halle stehen welche Maschinen und wo gibt es welche Sensoren? Welche Geräte müssen miteinander kommunizieren können? Welche Protokolle sprechen sie? Welche Ansprüche an die Sicherheit hat das Unternehmen? Gibt es gesetzliche Vorgaben? Zum Beispiel müssen Betreiber von kritischen Infrastrukturen etwa aus den Sektoren Energie, Wasser, Gesundheit oder Ernährung die strengen Anforderungen der KRITIS-Verordnung erfüllen.

Anschließend geht es um die Frage, wie sich die Anforderungen am besten technisch umsetzen lassen. Dabei gilt es, die richtige Balance zu finden: Einerseits besteht das Ziel darin, die größtmögliche Sicherheit zu erreichen. Andererseits dürfen die Security-Maßnahmen die Produktion nicht beeinträchtigen. Für Industrieunternehmen hat der reibungslose Betrieb der Anlage immer Priorität, denn damit verdienen sie ihr Geld.

Ebenso wichtig wie technische Überlegungen sind begleitende Policies und Richtlinien. Wie etwa kann ein Dienstleister auf ein System zugreifen und was passiert mit dem Zugang, wenn er nicht mehr für das Unternehmen arbeitet? Wer benötigt welche Berechtigungen und wie werden sie vergeben? Welche Prozesse greifen, wenn einmal ein Sicherheitsvorfall eintritt? Solche Fragen müssen im Vorfeld geklärt werden.

Schritt 4: Ein Sicherheitskonzept mit Experten entwickeln

Einige Hersteller wie Siemens bieten bereits Sicherheitskomponenten an, die auf die speziellen Bedürfnisse von Industrie 4.0 abgestimmt sind. Entscheidend ist, dass man die richtigen für die jeweilige Produktionsanlage auswählt und in ein Gesamtkonzept einbindet. Herstellerunabhängige Berater und Systemintegratoren wie Axians in Zusammenarbeit mit der Konzernschwester Actemium, einem Automatisierungsspezialisten, bringen sowohl IT- als auch OT-Know-how mit und können wertvolle Unterstützung leisten.

Cyberangriffe

Schritt 5: Die Anlage absichern

Zunächst einmal empfiehlt es sich zu prüfen, ob die Anlage selbst bereits Möglichkeiten zur Absicherung bietet. In der Regel verfügen Industrieanlagen über eine Steuereinheit, auf der eine Software läuft. Meist kann man hier bereits Einstellungen vornehmen, um die Anlage vor Manipulation zu schützen – etwa indem man festlegt, dass nur bestimmte Personen oder Geräte die Anlage überhaupt programmieren dürfen.

Auf Netzwerkebene sollten Unternehmen spezielle, für ihre Umgebung geeignete Firewalls einsetzen. So lassen sich Kommunikationsflüsse steuern und Sicherheitsregeln auf den Netzwerkverkehr anwenden. Mit welchen Systemen im Unternehmensnetzwerk muss die Produktionsanlage sprechen? Je weniger, desto besser, denn umso kleiner wird die Angriffsfläche.

Schritt 6: Fernwartung für ständige Aktualität

Nach der Implementierung einer Security-Lösung ist die Arbeit noch nicht getan. Die beste Firewall bringt nichts, wenn sie nicht auf dem neuesten Stand ist. Deshalb sollten Sicherheitsverantwortliche schon in der Konzeptionsphase berücksichtigen, wie sie die eingesetzten Systeme regelmäßig patchen können. Auch die Software der Produktionsanlage selbst sollte stets aktualisiert werden, um mögliche Sicherheitslücken zu schließen. Doch dies gestaltet sich in der Praxis schwierig. Bei alten Maschinen bieten die Hersteller vielleicht schon gar keine Updates mehr an. Außerdem birgt es immer ein gewisses Risiko, Patches in eine Industrieanlage einzuspielen. Denn anders als in der IT kann man vorab nicht richtig testen, ob die neue Version reibungslos läuft. Zwar besteht die Möglichkeit, eine virtuelle Testumgebung aufzubauen. Doch auch diese garantiert nicht, dass sich die Ergebnisse eins zu eins in die reale Produktion übertragen lassen. Ein Restrisiko bleibt. Hier gilt es abzuwägen, was schwerer wiegt: ein Hackerangriff oder ein Maschinenstillstand. Dementsprechend zögerlich gehen viele Industrieunternehmen mit Software-Aktualisierungen um.

Daher ist es zu überlegen, ob eine Anlage von einem externen Dienstleister betreut werden soll. Denn die Maschinen sind 24 Stunden an sieben Tagen die Woche nonstop in Betrieb. Es ist also nicht immer ein Systembetreuer vor Ort, der im Notfall schnell ein Problem beheben kann. Wenn eine Maschine stillsteht, kostet das jedoch viel Geld. Gerade in der Produktion ist es daher extrem wichtig, schnell auf Vorfälle zu reagieren. Eine Fernwartung erleichtert die Prozesse und stellt sicher, dass die Produktionsumgebung zu jeder Zeit den größtmöglichen Schutz erfährt. Dies kann relativ einfach über eine gesicherte und verschlüsselte Verbindung geschehen, die von einem granularen Rechtemanagement begleitet wird.

Schritt 7: Mitarbeiter sensibilisieren und schulen

Bei allen Sicherheitsbetrachtungen dürfen Unternehmen eines nicht vergessen: Das größte Sicherheitsrisiko ist und bleibt der Mensch. Wie die BSI-Risikoliste zeigt, nutzen Hacker häufig Social Engineering und Phishing, um sich Zugang zu Netzwerken und sensiblen Daten zu verschaffen. Das ist im Industrie-4.0-Bereich nicht anders als in einer Büro-Umgebung. Unternehmen müssen ihre Mitarbeiter für solche Gefahren sensibilisieren. Außerdem sollten diese lernen, sicherheitsbewusst mit Daten und vernetzten Geräten umzugehen. Viele sind sich über die Risiken gar nicht im Klaren, die unbedachtes Verhalten mit sich bringt. Wer sein Handy beispielsweise zum Laden per USB an eine Fräsmaschine steckt, öffnet auch gleich die Tür für Cyberkriminelle. Entsprechende Schulungsmaßnahmen sind also gefragt.

Fazit – so sichern Sie Industrie 4.0 Umgebungen

Wer Industrie-4.0-Projekte richtig absichern möchte, braucht Kompetenz sowohl in der IT als auch der OT. Denn nur wer die Technologien und Protokolle in beiden Welten kennt, kann sie auch sicher verknüpfen und in ein umfassendes Security-Konzept einbinden. Dieses muss neben technischen Überlegungen auch Policies und Maßnahmen zur Mitarbeitersensibilisierung enthalten. Für die Umsetzung benötigt man Komponenten, die speziell für die besonderen Anforderungen im industriellen Umfeld entwickelt wurden.

Zudem wird IT-Security künftig für die Produktion immer wichtiger. Denn der Trend geht hin zu Industriesteuerungen in der Cloud. Dass Gefahren aus dem Internet kein Pappenstiel sind, zeigt das eingangs erläuterte Beispiel von Milka. Jedes Unternehmen muss jedoch selbst für sich abwägen, ob es ein solches Risiko eingehen möchte. Wer einen verlässlichen Partner sucht, sollte sich einen integren und vertrauenswürdigen Experten an seine Seite holen.