Das Internet der industriellen Dinge:
Sicherheit in der Produktion

Autor: Christoph Stoica, Regional Director Central Europe bei NetiQ

Die „Fabrik der Zukunft“ ist zu einem Teil bereits Realität. Was als Internet der Dinge (Internet of Things, IoT) bezeichnet wird, spaltet sich in zwei Entwicklungsäste: Für Konsumenten bedeutet das IoT intelligente Geräte wie Wearables oder die Herausbildung des Smart Home. Für die Industrie geht es um die Entwicklung einer intelligenten Fabrik. Diese lockt mit profitabler Just-in-Time-Produktion, der Wunsch-Losgröße 1 und ordentlichen Margen. Ein erheblicher Teil dieser Industrie 4.0 ist die Kommunikation – von Maschinen untereinander (M2M), aber auch von Mensch und Maschine. Vor allem, wenn diese Kommunikation nicht über ein Display läuft, sondern über das Internet – und letzteres bringt eine neue Stufe für die Sicherheitsanforderungen der industriellen Produktion mit sich.

Im Juni wurde dazu das lange diskutierte IT-Sicherheitsgesetz verabschiedet: Mit ihm kommt eine Meldepflicht für Unternehmen, die Opfer von Cyberangriffen geworden sind. Ein Großteil der Industrie, vor allem Mittelständler, verhält sich jedoch weiter so, als ginge sie das nichts an – und das völlig zurecht. Das Gesetz betrifft explizit sogenannte kritische Infrastrukturen, also etwa Krankenhäuser, Verkehr und Energieversorger. Doch die Entwicklungen, die das IT-Sicherheitsgesetz und eine fast identische Richtlinie der EU nötig machen, sollten auch Produktionsunternehmen aufhorchen lassen.

Der Schaden, der der deutschen Wirtschaft bereits jetzt durch Cyberkriminalität entsteht, geht in die dreistelligen Millionenbeträge. Eine Studie des Center for Strategic and International Studies (CSIS) zeigte 2014 sogar, dass Deutschland, gemessen am BIP, weltweit den größten Schaden durch Cyberkriminelle erleidet. Dabei beschränken sich Hacker oft auf Industriespionage, deren Schaden gerade Mittelständlern schmerzlich bewusst ist. Mit ihrem schmalen Produktportfolio sind sie ein nahezu wehrloses Opfer, sollte sich die Konkurrenz ihres Intellectual-Property-Kapitals bedient haben. In Zukunft werden Cyberkriminelle jedoch auch neue Wege finden. Zur Spionage kann sich durch die neuen Trends in IT und Industrie auch die Sabotage im großen Stil gesellen.

Maschinen gehen online – und mit ihnen das Risiko

An den öligsten Maschinen leuchtet heute ein RJ45-Anschluss. Neue Maschinen und Roboter kommen standardmäßig mit einer Internetverbindung. Hersteller werben mit Software-Updates und Fernwartung, was nach einem tollen Deal klingt. Und einem externen Zugriff auf die Produktion zuzustimmen, kann viele gute Gründe haben. Der Hersteller etwa kann um einiges effizienter unterstützen und Probleme lösen, wenn er sich einfach einloggen kann, anstatt fünf Stunden im Kleinlaster anreisen zu müssen. Auch Anlagenbetreiber können Interesse an Fernwartung haben, etwa wenn es keine andere praktikable Lösung gibt. Muss bei Offshore-Windanlagen die Software überprüft werden, kann schlecht jedes Mal ein Team mit dem Boot aufs Meer fahren.

Um den wahren Traum der Industrie 4.0 wahr werden zu lassen, muss die Entwicklungsabteilung mit der Produktion verschmelzen. Je weniger Zwischenschritte, desto höher schließlich die Marge. Heute existieren bereits Verfahren, in denen der Kunde seine individuelle Produktkonfiguration online in Auftrag gibt, und sie etwa mittels Spritzgussverfahren in der Produktionshalle ausdrucken kann. Die Außenwelt wächst hier in die Produktion hinein, und die bisher getrennten Kreise der Office-IT, die auch die Entwicklung beherbergt, und der Produktions-IT wachsen langfristig zusammen.

Doch natürlich gilt wie immer: Öffnet man die Türe, treten nicht nur Gäste ein. Selbst wenn ein kriminell motivierter Eindringling „nur“ Parameter in der Produktion ändert, reicht das oft schon aus, um einen gewaltigen Schaden in Form von Rückrufaktionen wegen Materialfehlern anzurichten. Ende letzten Jahres etwa gab das Bundesministerium für Sicherheit einen Fall bekannt, in dem sich Hacker Zugang zum Hochofen eines Stahlwerks beschafft hatten und verhinderten, dass dieser heruntergefahren werden konnte. Gegen Risiken wie diese müssen sich also auch Unternehmen in weniger kritischen Branchen schützen.

Die Produktion lernt von der IT

Mit den neuen Entwicklungen in der Industrie erhält der Produktionssicherheitsbeauftragte ebenfalls neue Aufgaben – jenseits des bislang zentralen Gesundheitsschutzes der Mitarbeiter. Er muss nun zusätzlich dafür sorgen, dass keine Hacker seine Roboter tanzen lassen und bekommt damit neue Aufgaben zugewiesen, die bislang nur einem IT-Leiter zufielen. Nun finden die Themen Zugriffskontrolle, Security Monitoring, Firewalls und Malware ihren Weg in die Produktionshalle. Beide Bereiche wachsen damit zusammen: IT-Manager verfügen dabei über Kompetenzen und Lösungen, die auch in der Produktion einsetzt werden müssen. Daher gilt es, die Synergie zwischen Produktionssicherheit und Office-Sicherheit zu erkennen und zu nutzen.

Beispiele für die Anwendung klassischer Sicherheitslösungen in der Produktion sind die Verwaltung von Zugriffsrechten und Identitäten (IAM), sowie das Security Monitoring: Beim Zugriffsmanagement geht es im normalen Office-Umfeld eher um die Masse der zu verwaltenden Identitäten; im Produktionsumfeld ist dies nicht der Fall, da sich die Anzahl der Befugten mit Zugriff auf Produktionsmaschinen sehr in Grenzen hält. Hier geht es vielmehr um die Berechtigungsvergabe. Wer kontrolliert etwa den Zugang externer Fernwarter? Wer darf sonntagnachmittags den Produktionsroboter 3 im Sendlinger Werk steuern? Was passiert, wenn diese Person krank wird? Die Verwaltung von Nutzern mit besonderen und kritischen Zugriffsrechten ist zugleich eine Risikoverwaltung. Die sogenannten Superuser bringen ein großes Zerstörungspotenzial mit sich, die Rechtevergabe muss daher hier besonders eingehend geprüft und mit klaren Richtlinien versehen werden.

Ein weiteres bereits aus der Office-IT bekanntes Feld ist das Security Monitoring. Jede intelligente Maschine, jeder Roboter bringt seine vom Hersteller eigens eingebaute und angepriesene Sicherheits-Kontrollfunktion mit sich, die eine eventuell missbräuchliche oder verdächtige Anwendung umgehend meldet. Nur: an wen eigentlich? Wer prüft Meldungen von tausenden Maschinen, die akribisch alle Eingaben aufzeichnen und mehr Protokolle als Prototypen produzieren? Hier lohnt sich die Planung eines nachgelagerten Security Monitorings, das alle Meldungen auffängt und mittels intelligenter und lernfähiger Algorithmen überprüft. Im Endeffekt erfolgen hier die Routinen genauso wie bei bekannten Lösungen zum Security Information and Event Management (SIEM), die in der Office-IT seit Jahren erfolgreich eingesetzt werden.

Fazit

Die Industrial Security ist an dem gleichen Punkt wie die klassische IT-Security vor zwei Jahrzehnten. Für die meisten Sicherheitsfragen haben sich daher bereits praktikable und bewährte Lösungen herausgebildet, wie etwa IAM und Security Monitoring-Systeme. Nun steht die Produktion vor der gleichen Lernkurve – für sie gilt es, die beiden Kreise der Office-IT und der Produktion so miteinander zu verbinden, dass bereits Gelerntes direkt übertragen wird und Synergien entstehen. Unternehmen sollten auf ihr eigenes Wissen vertrauen und sich nicht aufgrund falscher Bedenken von den Möglichkeiten der „Fabrik der Zukunft“ abbringen lassen.

Christoph Stoica, Regional Director Central Europe bei NetiQ. NetIQ ist das Sicherheits-Portfolio von Micro Focus, einem globalen Hersteller von Unternehmens-Software. Die identitätszentrierten Sicherheitslösungen helfen Unternehmen, den Zugang zu wertvollen Informationen zu schützen und Komplexität durch regulatorische Compliance zu minimieren. Mehr Informationen unter www.netiq.com