IT-Sicherheit in der Produktion: Feindliche Übernahme

Der Alptraum vieler IT-Sicherheitsverantwortlicher wirkt auf den ersten Blick wie eine harmlose Suchmaschine. Doch auf der Website „Shodan“ lassen sich die direkten Zugänge zu etwa 500 Millionen Geräten finden, die an das Internet angeschlossen sind. Server, Router, Kameras oder auch Produktionsmaschinen – vieles, was online ist, lässt sich theoretisch ansteuern. Und, wenn der Schutz schlecht ist, auch direkt übernehmen oder manipulieren.

Unternehmen laufen hohes Risiko: Bei einer Umfrage unter 70 Mitgliedern des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) gab knapp ein Drittel an, durch Cyberattacken Produktionsausfälle gehabt zu haben. „Schon die gute alte Industrie 3.0 hat genügend Sicherheitsprobleme, mit denen sie klarkommen muss“, sagt Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT). Mit der Entwicklung zur vernetzten Industrie 4.0 wachsen die Gefahren deutlich.

Die Unternehmen stecken in einer Zwickmühle: Anlagen sollen intelligenter werden, automatisch miteinander kommunizieren und so effizienter produzieren.  Dazu müssen immer mehr Maschinen an das Internet angeschlossen werden, immer mehr sensible Daten sind unterwegs. „Je mehr Schnittstellen es gibt, desto größer ist das Angriffspotenzial“, sagt Waidner.

Wie groß die Bedrohung tatsächlich ist, lässt sich nur mutmaßen. „Wenn etwas passiert, wird der Betroffene das nicht gerne an die große Glocke hängen“, sagt Michael Krammel, Geschäftsführer des Softwareunternehmens Koramis. Die Bundesregierung plant ein Gesetz, nach dem Cyberattacken zumindest für bestimmte Branchen meldepflichtig werden könnten. Zwei Drittel der befragten VDMA-Unternehmen lehnen das ab.

Hinzu kommt, dass heute viele Attacken gerade im Mittelstand unbemerkt bleiben.  „Viele wissen nicht, dass da tagtäglich Know-how abfließt“, sagt Krammel. Das Problem wird erst später sichtbar, wenn Wettbewerber Prozesse oder Designs einsetzen oder nutzen.

Trotz aller Risiken: Vernetzte Anlagen sind Normalität. Gordon Thomas Rohrmair, Professor für Informatik an der Hochschule Augsburg, berichtet aus einem Beratungsprojekt von einer Fertigungsstraße mit 800 IT-fähigen Elementen – die von bis zu 30 verschiedenen Anlagenbauern stammen. „Die Produktionsstraße ist schon lange nicht mehr autark“, sagt Rohrmair. Allein die Fernwartung für die verschiedenen Partner öffnet zahlreiche Einfallstore.

Als Abwehrmaßnahmen konkurrieren zig Lösungen – von personalisierten Zugängen für Servicetechniker bis hin zu telefonischen Bestätigungen, wenn ein Externer auf eine Maschine zugreift. Rohrmair merkt kritisch an: „Wenn er drin ist, müssen die Unternehmen auch zusehen, dass er nicht zu viel machen darf.“ Neue Standards sind also sowohl für die Prozessdaten und die Kommunikation als auch für das Rechtemanagement notwendig.

Die Industrie ist dabei unterschiedlich weit. Druck machen etwa die deutschen Automobilhersteller. Sie sind nach Ansicht von Beobachtern vergleichsweise gut aufgestellt. Zum Teil formulieren sie für sich und ihre gesamte Zulieferkette verbindliche IT-Sicherheitsstandards. Wer nicht mitzieht, erhält über kurz oder lang keinen Zugriff mehr auf die Daten. „Diese Marktmacht fehlt kleineren Unternehmen natürlich“, sagt Fraunhofer-Forscher Waidner.

An neuen Lösungen wird gearbeitet. Jetzt gaben etwa das Deutsche Forschungszentrum für Künstliche Intelligenz und das Softwareschutzunternehmen Wibu Systems bekannt, dass sie gemeinsam Sicherheitsmechanismen für die intelligente Industrie entwickeln wollen. Zum Einsatz kommt dabei eine Kombination aus bewährten Lösungen: Kopierschutzstecker, sogenannte Dongles, RFID-Etiketten und eine Softwarelösung, die die Autorisierung regeln soll.

Problematisch dabei bleibt, dass viele Anlagen Einsatzzeiten von vielen Jahren haben – für die IT-Sicherheitsarchitektur kaum zu überschauende Zeiträume. „In der Industrie ist alles historisch gewachsen, da stehen verschiedene Anlagen mit verschiedenen Betriebssystemen nebeneinander“, sagt Krammel. Aktuell wird also häufig an Einzelstücken optimiert – ein Sicherheitskonzept für das ganze Unternehmen fehlt. „Meine Bedenken sind, dass man das Thema Sicherheit nicht vollständig in die Planungen integriert“, sagt Krammel. Dazu kommt: Während die Sicherheitssoftware bei der Geschäfts-IT täglich aktualisiert werden kann, haben einige Industrieanlagen nur wenige Wartungszyklen pro Jahr.

Um einen Wandel anzuschieben, müsse sich das Sicherheitsbewusstsein ändern, sagen Beobachter. Während in den USA seit den Angriffen vom 11. September 2001 auch massiv in den Schutz vor Cyberattacken investiert wird, wächst hier die Sorge nur mit jedem neuen Angriff. Lutz Jänicke, Chief Technology Officer des IT-Sicherheitstechnikers Innominate, sagt: „Die Projekte, die heute umgesetzt werden, sind eine Reaktion auf Stuxnet.“ Dieser 2010 entdeckte Computerwurm wird unter anderem für die Störung von Industrieanlagen weltweit verantwortlich gemacht.

Mit den Schlagzeilen verschwindet meist das Interesse in deutschen Firmen, so Jänickes Erfahrung aus Vertragsgesprächen. „Das Produkt Sicherheit kann man nicht sehen und es rentiert sich meist nicht kurzfristig. Da endet dann schnell die Diskussion.“

Erschienen am 10. März 2014 im Handelsblatt.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *