Im Zuge von Industrie 4.0 werden Produktionen aus dem Inselbetrieb, also ohne Zugang zum Internet herausgenommen und zunehmend vernetzt und Fertigungsprozesse digitalisiert. Der Hintergrund ist, dass Unternehmen die Möglichkeit erlangen auf entfernte Maschinen oder Anlagen ‚remote‘ zuzugreifen. Mit Hilfe des Fernzugriffs werden Wartung, Zustandsüberwachung oder auch der Datenaustausch von überall auf der Welt möglich. Die Sorge der Unternehmen, die Maschinen müssen hierfür einen Zugang zum Internet haben und das ruft viele Cyberkriminelle auf den Plan: Diese verschaffen sich über das Internet Zugang zu den angeschlossenen Maschinen und Anlagen und richten dort unter Umständen enormen Schaden an.
Die IIoT-Plattform Big-LinX ist als vielseitiges Service- und Maintenance-Tool für den sicheren Fernzugriff auf Maschinen und Anlagen konzipiert. Bevor z.B. ein Servicetechniker entsendet wird, um eine Anlage im Schadensfall vor Ort zu untersuchen, kann mit dem Tool remote geprüft werden, welcher Fehler an der Anlage aufgetreten ist und ob Mitarbeiter vor Ort das Problem selbst lösen können. Dadurch können Produktionsstillstände vermindert oder schneller behoben und Kosten für Servicereisen deutlich reduziert werden. Eine Besonderheit ist das von ADS-Tec entwickelte Kommunikationsprotokoll WWH (World Wide Heartbeat). Es ermöglicht, die IIoT-Daten angeschlossener Anlagen und Maschinen an den Big-LinX-Server zu senden und dort in der jeweiligen Datenbank zu speichern – ganz ohne VPN-Verbindung und dadurch ohne Gefahr, von Cyberkriminellen über VPN angegriffen zu werden. Die Fernzugriffslösung gestattet sowohl Maschinenbetreibern, als auch -herstellern einen in sich geschlossenen und somit sicheren Zugang mittels VPN Rendezvous Server.
Schutz durch Firewalls
Die Industrial Firewalls der 1000er- und 3000er-Generation vereinen mehrere Produkte in einem Gehäuse und sind als All-in-One-Security-Lösung zur Vernetzung, Steuerung und Absicherung von verketteten Maschinen und Anlagen positioniert. Als Firewalls schotten sie durch die verbaute Smartcard-Technik das Maschinennetz des Unternehmens zuverlässig ab. Als Router tragen sie dazu bei, dass mehrere Industrie 4.0-Anwendungen zeitgleich umgesetzt werden können. Zudem leiten sie als IIoT-Gateways Daten aus angeschlossenen Maschinen, Geräten und Sensoren schnell und sicher in eine Cloud weiter. So soll Big-LinX vor allem Systemintegratoren Mehrwerte liefern, da ohne großen Aufwand der Fernzugriff ermöglicht wird und die Firewalls mit der vom Kunden bereitgestellten Konfiguration Plug&Play-fähig ausgeliefert werden.
Während Cyberattacken bisher vor allem auf klassische IT-Schnittstellen abzielen, sollen künftig auch OT-Anlagen stärker in den Fokus von Hackern und Malware geraten? Woran machen Sie diesen Trend fest, Herr Schmierer?
Cyberangriffe auf IT-Schnittstellen waren in der Vergangenheit häufigeres Ziel, denn die OT wurde früher gar nicht mit externen Netzwerken verbunden. Produktionsanlagen haben im sogenannten Inselbetrieb operiert. Das ändert sich, denn im Zuge von Industrie 4.0 nimmt die Vernetzung der Produktion zu. Angriffe auf die OT erscheinen für Hacker attraktiver, da der Schaden dabei noch größer sein kann, als bei einem Angriff auf die IT. Maschinen können zum Ausfall gebracht werden, so dass es zum Produktionsstillstand kommt. Zudem können Maschinen manipuliert werden, sodass diese zur Gefahr für Menschen werden. Das Ausmaß eines Angriffes sollte nicht unterschätzt werden, denn Produktionsausfälle für Tage oder sogar Wochen bedeuten nicht nur monetäre Schäden, sondern können auch zu einem großen Imageschaden führen. Daher ist es unumgänglich eine lückenlose und durchgängige Cybersecurity-Strategie zu implementieren. Der Trend zu Angriffen auf die OT ist leider ganz klar erkennbar. Gerade im vergangenen Jahr sind unterschiedliche Branchen ins Visier der Hacker geraten. Aber auch in den Jahren zuvor waren OT-Angriffe keine Seltenheit. Nicht ohne Grund sehen Unternehmen Cybervorfälle und Betriebsunterbrechungen laut dem Allianz Risk Barometer im zweiten Jahr in Folge als das größte Geschäftsrisiko weltweit an.
Mit welchen Arten von Angriffen muss sich die OT heute schon auseinandersetzen? Haben aus Sicht der Cyberkriminellen gezielte Attacken oder breit gestreute Malware-Angriffe mehr Potenzial?
Im Mittelstand haben meiner Meinung nach breitgestreute Phishing-Attacken deutlich mehr Potenzial, da in der OT sehr lange ungepflegte Systeme eingesetzt werden. Es ist nicht unüblich auch heute noch HMIs mit längst abgekündigtem Windows XP oder Windows 7 vorzufinden. Hier herrschte jahrelang das Motto: Never change a running system! Das hat sich auch im Patch-Zustand der einzelnen Systeme bemerkbar macht. Folglich ist es nicht zwingend besser, neue Maschinen zu kaufen, solange das Patch-Management nicht eindeutig geklärt ist. Das wird sich auch in Zukunft technisch nicht unbedingt besser lösen lassen, außer weiterhin eine industrielle Firewall vorzuschalten. Sie sollte eine Netzwerksegmentierung ermöglichen, um veraltete Segmente der Anlage zu kapseln und den Netzwerkverkehr entsprechend zu reglementieren.
Welche Knotenpunkte bzw. Anlagen in der Produktion gilt es am dringendsten bzw. ehesten abzusichern?
Wie erwähnt, sollten das OT-Netz und die einzelnen Maschinen soweit wie möglich segmentiert und abgeschottet werden. Der Netzwerkverkehr sollte ganz klar eingeschränkt werden – ohne, sofern möglich, den eigentlichen Verkehr innerhalb der Maschine zu reglementieren. Das sind gängige Praktiken, die seit Jahren bekannt und bewährt sind. Wichtig ist jedoch vor allem zu wissen, was überhaupt innerhalb einer Maschine verbaut ist und welche Komponenten miteinander kommunizieren müssen. Umso mehr Unbekannte es gibt, umso weiter muss man gegebenenfalls das Sicherheits-Tor aufmachen, um die Funktion der Maschine weiterhin zu gewährleisten. Aus meiner Sicht ist eine offene Kommunikation zwischen Maschinenbauer und Betreiber essenziell wichtig. Im besten Fall bringt die Maschine sogar schon eine entsprechende Absicherung mit und der Betreiber muss sich darum im Nachgang nicht mehr zwingend kümmern.