„Nicht windowsbasierte Geräte in der Automatisierung wurden bisher überhaupt nicht

„Nicht windowsbasierte Geräte in der Automatisierung wurden bisher überhaupt nicht geschützt“, bestätigt  Dr.-Ing. Lutz Jänicke, CTO bei Innominate Security Technologies.

von Sabine Spinnarke

Wie unterscheiden sich IT-Security im Büro und in der Fertigung?

Der Unterschied zwischen Automatisierung- und Office-Netzen liegt in der Art der Protokolle und in dem Alter der Geräte – die Standzeiten in der Produktion sind bedeutend höher.

Sicherheitsupdates sind eher unüblich…?

Automatisierungsgeräte werden nicht gepatcht (nachgebessert): Ein Sicherheitspatch, wie ihn Microsoft alle paar Wochen herausbringt, wird in der Fertigung nicht angewandt, weil das Risiko einer Unterbrechung des Produktionsprozesses zu hoch ist.

Wie sieht es mit Virenscannern aus?

Der Versuch windowsbasierte Rechner mit Virenscannern zu versorgen ist häufig nicht erfolgreich, weil ein Virenscanner A, Performance frisst und B, bei Updates anfängt den Rechner nach neuen Viren zu durchsuchen, was die Reaktionsfähigkeit einschränkt und für ein System das in Echtzeit Regelungs- und Steuerungsaufgaben durchführen muss, nicht tragbar ist. Man kann bislang im Wesentlichen nur Segmentierung von Netzen betreiben und Firewall-Systeme verwenden.

Was also sind die realen Schutzmöglichkeiten?

Da es bei Virenscanner-Updates schon einmal zu einem Bandstillstand kommen kann, richten Unternehmen teilweise eine Firewall zwischen Fertigung und Office-Bereich ein, um zu verhindern, dass IT-Mitarbeiter Virenscanner installieren. Die Zusammenarbeit zwischen Office-IT und Automatisierungs-IT ist häufig schwierig.

Wie sieht es bei Geräten aus, die andere Betriebssysteme haben?

Nicht windowsbasierte Geräte in der Automatisierung wurden bisher überhaupt nicht geschützt. Denn sie waren noch vor ein paar Jahren nicht an das Internet angebunden. Außerdem herrschte allgemein die Ansicht, dass so exotische Systeme, Protokolle und Betriebssysteme uninteressant und für die Außenwelt unverständlich sind und daher auch nicht geschützt werden müssen.

Das heißt sie sind völlig ungeschützt…?

Status Quo ist, dass Securitygeräte in der Automatisierung praktisch nicht vorhanden sind – man steht hier erst am Anfang. Sicherheitsgeräte verkaufen, ist im Prinzip wie das Verkaufen von Versicherungen: wenn gerade ein größerer Schadensfall stattfand, steigt die Bereitschaft Geld auszugeben.

Gibt es Zahlen zu Angriffen oder Virenproblemen in der Industrie?

Vorfälle in Unternehmen unterliegen zumeist einer Kommunikationssperre, nicht zuletzt in börsennotierten Unternehmen. Daher gibt es hier keine verlässlichen Zahlen. Von Anlagenstillständen erfährt man nur unter der Hand, offizielle Meldungen dazu gibt es nicht.

Wie reagieren Betreiber denn auf Attacken oder Infekte?

Unter Security-Fachkräften heißt es übereinstimmend, wenn es Auffälligkeiten gibt, wird das Netz sofort abgeschaltet. In der Fertigung hingegen ist der fortlaufende Betrieb oberste Priorität. Die Verfügbarkeit steht an erster Stelle und alles andere kommt danach. Das sind extrem unterschiedliche Denkweisen, was eine Zusammenarbeit der Abteilungen schwierig macht.

Sind brauchbare Geräte auf dem Markt zu finden?

Es gibt bereits Lösungen, die an die Bedingungen der Fertigung angepasst sind. Gegen Bedrohung von Innen empfehlen wir eine Defence-in-Depth-Strategie: die Schutzeinrichtung sollten nicht nur am Eingang zur Fertigung installiert sein, sondern möglichst dicht an den jeweiligen Industrie-Steuerungen oder -PCs. Damit sind die Geräte auch gegen Infektionen über das Notebook des Servicetechnikers geschützt. Wenn der Servicetechniker hingegen seinen USB-Stick direkt in die Steuerung steckt, nutzt das natürlich nicht. Da hilft ein Intrusion Detection System, das ermöglicht Modifikationen an der Steuerung zu erkennen, sobald die Steuerung mit einem unserer Securitygeräte kommuniziert.

Ist das Risiko gestiegen?

Früher haben wir eher ungezielte Angriffe, wie die zufällige Einschleppung von Viren beobachtet, seit Stuxnet weiß man, dass gezielte Angriffe nicht nur möglich sind sondern auch getätigt werden. Vor einigen Monaten gab es bei der Firma RSA SecurID, einem weltweiten erfolgreichen Anbieter von Einmal- Tokens einen Einbruch, gehackt wurde der Mechanismus mit dem diese Passwörter erzeugt werden. Einige Wochen später wurde dieses Wissen gezielt genutzt um bei dem Rüstungsanbieter Lockheed Martin Corporation einzubrechen, das geht in eine sehr professionelle Richtung.

Ist es sinnvoll nach zuverlässigeren Schutzmaßnahmen zu suchen?

100%ige Sicherheit gibt es nicht. Seit 2, 3 Jahren fordern Kunden aus der Prozessindustrie vermehrt von ihren Lieferanten Steuerungen securitytechnisch gegen Angriffe zu härten. Auch in der Energietechnik erwarten wir als Nachwehe von Stuxnet ähnliches. Der Druck auf Steuerungshersteller nimmt hier zu. In den USA wird bereits an einem konkreten Vorschriftenwerk gearbeitet in Deutschland meines Wissens noch nicht. Bei Siemens bewegt man sich mit einem ersten Produkt in diese Richtung,  andere bieten Firewalls als Hardwarezusatz, was der Kunde extra bezahlen muss und deren Akzeptanz erheblich begrenzt.

Was bietet Innominate?

Unsere Geräte sind allgemein für Netzwerksicherheitsanwendungen konzipiert, entweder als Einsteckkarte oder als eigenes Gerät für die Hutschienen-Montage. Das Gerät wird über die Netzwerkverbindung in das Steuerungsnetz eingeschleift.

Ist ein Gerät pro Fertigung ausreichend?

Gegen die ungerichtete Streuung von Viren oder Trojanern kann eine Fertigung nur geschützt werden, wenn Schutzmechanismen möglichst direkt an jeder Fertigungszelle eingesetzt werden, das begrenzt die Zugangsmöglichkeiten in beide Richtungen: das Netz wird vor dem infizierten Gerät geschützt und andersrum. Ein Gerät kostet bei uns zwischen 500 und 1000 Euro je nach Bauform.

Kann der Anlagenbetreiber diese Geräte ohne Hilfe bedienen?

In der Fertigung weiß kaum jemand, was in dem Netz eigentlich alles vor sich geht, weil sie weder die Ausbildung dafür haben noch ihre Priorität darin sehen, daher werden Sicherheitsregeln von unseren Kunden zumeist von null angefangen schrittweise aufgebaut. Das Problem liegt eher darin, das Budget vom Vorgesetzten zu bekommen.