Industrie 4.0: Warum Sie mit der Absicherung Ihrer Anlage nicht lange warten sollten

Inhaltsverzeichnis

    Jedermann spricht von Digitalisierung und Industrie 4.0. Doch was meinen diese Begriffe überhaupt? Und was gilt es neben den umfänglichen Marketingversprechen der Hersteller zu beachten? Hier stellen wir Ihnen das Thema Industrie 4.0 aus einem leicht kritischen Blickwinkel vor.

    Das Versprechen der Industrie 4.0…

    Wer die Entwicklungen der letzten Jahre in der Industrie verfolgt hat, wird feststellen, dass die Themen digitale Vernetzung und künstliche Intelligenz in den verschiedensten Formen großen Einzug gehalten haben. Dabei geht es um Big Data-Analysen und daraus resultierende Prozessoptimierung, intelligente fahrerlose Assistenzsysteme oder „selbst denkende“ Maschinen, die durch Predictive Maintenance vorhersagen können, wann und an welcher Stelle sie demnächst kaputt gehen werden.

    Diese digitale Revolution wird auch als Industrie 4.0 bezeichnet und meint die „smarte“ und allumfassend vernetzte Industrie, die der Digitalisierung durch Computertechnologien (Industrie 3.0), Massenproduktion durch Elektrizität (Industrie 2.0) und der Mechanisierung in der ersten Industriellen Revolution (Industrie 1.0) folgt.

    Im Optimalfall wird jede noch so kleine Komponente, sei es ein Temperatursensor, ein Ventil oder ein elektrischer Motor, netzwerkfähig gemacht. Die anfallenden Daten werden oftmals in die Cloud weitergeleitet, um dort auf Informationen hin untersucht zu werden, die die gewünschte Effizienzsteigerung bringen können. Die Vollvernetzung einer industriellen Anlage wird daher unter anderem auch Smart Factory genannt.

    …und damit einhergehende Herausforderungen

    Viele industrielle Komponenten und Systeme sind auf eine lange Lebensdauer ausgelegt. Eine Laufzeit von 15-20 Jahren ist die Norm, teilweise erstreckt sie sich sogar auf 30 Jahre. Dadurch existiert ein Jahrzehnte alter Altbestand der nun mit einer Vielzahl an neuen Geräten vernetzt wird, und täglich kommen weitere hinzu.

    Stellen Sie sich vor, Ihr Arbeitsrechner samt Software-Stand ist 15 Jahre alt (z.B. Windows XP mit Patchstand von 2003) und soll nun gefahrlos mit dem Internet oder einem riesigen Firmennetzwerk verbunden werden. Über diese Netze können sich Malware, Angreifer oder unabsichtliche Fehler, z.B. durch interne Mitarbeiter, großflächig und rasant ausbreiten. Durch die zunehmende Verwendung von aus der IT bereits seit Jahrzehnten bekannter Technologien, halten leider auch genau diese Probleme Einzug in die Anlagen.

    Für ein Industrieunternehmen ist der wichtigste wirtschaftliche Faktor, eine möglichst hohe Auslastung der Anlagen sicherzustellen. Bereits kurze Ausfälle führen zu finanziellen Verlusten, längere Störungen können ein Unternehmen in eine wirtschaftliche Schieflage bringen. Im Zeitalter von Just-in-Time-Produktion kann zum Beispiel durch den kurzzeitigen Ausfall einer Produktionsstraße ein immenser Lastwagen-Stau vor dem Werk entstehen, bevor mit deren Entladung fortgefahren werden kann.

    IT-Sicherheit als Lösungsansatz

    Hier kommt die IT-Sicherheit ins Spiel. Die Aufgabe der industriellen IT-Sicherheit ist es, die industriellen Prozesse auch bei zunehmender digitaler Vernetzung und Benutzung gängiger Technologien aus der IT so abzusichern, dass die industriellen Prozesse aufrechterhalten werden.

    Hierzu muss zwischen den beiden Welten, der IT und der industriellen Automatisierung, vermittelt werden, denn diese unterscheiden sich maßgeblich. Dies führt oftmals zu Kommunikationsschwierigkeiten zwischen den beiden Disziplinen. Aufgrund der langjährigen Trennung zwischen den Anlagen und dem IT-Betrieb in Industrieunternehmen nehmen viele Anlagenbetreiber die IT-Sicherheit immer noch nicht als notwendigen Faktor für die Automatisierungsnetze wahr. Es herrscht teilweise noch die Meinung, dass IT und Automatisierung strikt getrennt voneinander arbeiten – quasi „air gapped“ sind. Wie oben bereits angedeutet, war es lange Zeit schlicht wenig erforderlich, die Software auf den Systemen zu aktualisieren oder sich Gedanken um Netzwerksegmentierung zu machen.

    Auf der anderen Seite musste sich die klassische IT zwar mit diesen Aspekten beschäftigen, besitzt aber noch zu wenig Verständnis für die Anforderungen in Automatisierungsnetzen. Hier wird häufig zu sehr auf die Faktoren Geheimhaltung oder Datenschutz geachtet, während die Verfügbarkeit der Systeme und die Integrität der Konfigurationen weniger Beachtung finden. Auch der Faktor Safety ist für die IT in der Regel Neuland und die Erfahrungen mit Systemen, die in Echtzeit reagieren müssen, sind gering.

    Ist das alles schon so schlimm?

    Natürlich entsteht kein Schaden, wo kein Vorfall stattfindet. Die Trends der letzten Jahre sind allerdings alarmierend. Digitale Störfälle in der Industrie nehmen massiv zu und die dadurch entstehenden Schadenssummen sind mitunter gravierend:

    Bitkom Studie – 55 Mrd. € Schaden jährlich

    Eine Studie der Bitkom hat bereits 2017 festgestellt, dass in den vergangenen Jahren jedes zweite Unternehmen Ziel eines Angriffs wurde und schätzte den jährlichen Schaden für die deutsche Wirtschaft damals bereits auf 55 Milliarden Euro.

    Eine weitere Bitkom Studie aus 2020 gibt an, dass 80 Prozent der befragten KRITIS-Sektoren eine starke oder zumindest ansteigende Zunahme der Angriffe angegeben haben.

    BKA Bundeslagebericht 2016

    Das BKA warnte in seinem Bundeslagebericht 2016 davor, dass die Cyber-Kriminalität um über 80% im Vergleich zum Vorjahr angestiegen ist.

    „Aufgrund der noch stärker zunehmenden Bedeutung der weltweiten digitalen Vernetzung in allen Lebensbereichen steigt die Gefahr für jedermann und jedes Unternehmen Opfer von Cybercrime zu werden. Die digitale und analoge Welt sind kaum noch zu trennen. Die Übergänge u. a. durch Nutzung von mobilen Geräten, das „Internet der Dinge“ und die zunehmende Technisierung von Industrie und Handel („Industrie 4.0“) sind fließend.“

    BSI Lagebericht 2020

    Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) nannte in seinem Lagebericht 2020 419 Fälle von Cyberangriffen auf kritische Infrastrukturen (2019 waren es noch 252) und mahnte gleichzeitig, dass für KRITIS-Betreiber ein besonders hohes Schadenspotenzial entstehen kann. Gemeint sind damit Betreiber kritischer Infrastrukturen, die für die Gesellschaft wichtige Versorgungsleistungen zur Verfügung stellen, wie z.B. Wasser- oder Energieversorgung.

    NotPetya / WannaCry Angriffe 2017

    Im Jahr 2017 wurden mehrere Institutionen und Unternehmen heftig von den Auswirkungen zweier Verschlüsselungstrojaner (WannaCry, NotPetya) getroffen. Dabei konnten britische Krankenhäuser teilweise ihre Patienten nicht behandeln und Maersk und FedEx mussten jeweils Schadenssummen von über 300 Mio US-Dollar verzeichnen.

    EKANS / Snake 2020

    Diese Malware ist explizit darauf ausgerichtet, industrielle Steuerungsprozesse ins Visier zu nehmen, um Lösegeldforderungen durchzusetzen. Zwar kann Snake keinen direkten Einfluss auf Industrieprotokolle nehmen, ist aber in der Lage, die unterstützenden IT-Systeme in einem möglichst breiten Umfang – wie bereits von WannaCry und NotPetya bekannt – anzugreifen. 

    TRISIS attackiert Safety Systeme

    Auch Safety-Systeme geraten inzwischen in den Fokus von Angreifern. Bei einem Angriff auf ein petrochemisches Unternehmen in Saudi Arabien wurden Safety-Systeme gefährlich modifiziert. Durch einen Zufall wurde der Eingriff entdeckt und es konnte Schlimmeres verhindert werden. Ein geglückter Angriff hätte aber potenziell fatale Auswirkungen auf Mensch und Umwelt.

    Die Liste ließe sich noch deutlich ausführlicher gestalten, kann aus Platzgründen allerdings nur einen kurzen Abriss der anhaltenden Lage geben.

    Das Ziel der industriellen IT-Sicherheit

    Mit industrieller IT-Sicherheit werden diese negativen Beeinträchtigungen verhindert. Damit wird IT-Sicherheit zur neuen Basis von Verfügbarkeit und Safety. Somit wird die Chance auf zuverlässige Digitalisierung und Automatisierung ohne negative wirtschaftliche oder gar gesellschaftliche Auswirkungen ermöglicht.

    Dies wurde auch bereits durch das BSI sowie den Gesetzgeber erkannt und durch das IT-Sicherheitsgesetz gesetzlich verankert. Nicht-industrielle Unternehmen haben in den letzten Jahrzehnten einen Umdenkungsprozess durchlaufen, der zu einer Akzeptanz der IT-Sicherheit geführt hat. Dort hieß es vor 20 Jahren oftmals noch „Eine Firewall? Verschlüsselung? Nein, das brauchen wir nicht.“. Heute hat man die Notwendigkeit solcher Maßnahmen erkannt und nutzt seit Jahren auch speziell dafür vorgesehene Informationssicherheits-Management-Systeme (ISMS), um organisatorisch sauber mit dem Thema umgehen zu können.

    Die industrielle IT-Sicherheit ist gerade mitten in der Entwicklung, wird aber in den kommenden Jahren aufgrund zunehmender Vernetzung noch wichtiger werden. Konkrete Ansatzpunkte, die dadurch umgesetzt werden, sind beispielsweise die folgenden:

    Moderne Einkaufsrichtlinien

    Je früher im Beschaffungsprozess das Thema IT-Sicherheit Beachtung findet, desto weniger Probleme treten langfristig damit auf.

    Inventarisierung

    Welche Systeme befinden sich überhaupt in der Anlage? Man kann nur schützen was man kennt!

    Incident Response Plan

    Was tun bei dem anlagenweiten Befall der HMI-Systeme durch einen Verschlüsselungstrojaner?

    Netzwerksegmentierung

    Resistente Automationsnetze schaffen, in denen die Ausbreitung von Angreifern, Malware oder digitalen Störfällen eingeschränkt wird und dadurch auch alte, verwundbare Systeme abgekapselt und geschützt werden.

    Sicherheitsrichtlinien

    Einführung klarer und den Betrieb unterstützender Sicherheitsrichtlinien, damit organisatorische und menschliche Fehler verringert werden.

    Die Industrielle IT-Sicherheit ist ein umfangreiches Thema und wird noch einige Zeit benötigen, bis sie dem Standard der IT-Sicherheit von Industrienetzen entspricht. Zu schaffen ist dies nur mit einer guten Kommunikation aller Beteiligten. Außerdem gilt es, Durchhaltevermögen zu zeigen. Gelebte IT-Sicherheit ist ein kontinuierlicher Prozess, der immer wieder aufs Neue gepflegt werden muss.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung