Zukunft der Industriesysteme
Vernetzung und Sicherheit

Martin Hutle

Industriesysteme und auch Automatisierungssysteme waren aus Sicht der Unternehmens-IT lange Zeit einsame Inseln, denn es handelte sich dabei vorwiegend um isolierte Systeme. Dies ist zwar zum Großteil nach wie vor der Fall, doch durch die zunehmende Verbreitung von IT-Standards werden Industriesysteme mit ihren Insellösungen immer stärker in die internen Büronetze eingebunden oder gar ans Internet angeschlossen. Vor allem im Zuge der Entwicklung in Richtung der Zukunftsvision „Industrie 4.0“ kommen auf die Systeme neue Anforderungen und Herausforderungen zu – vor allem im Bereich der Sicherheit. Denn stärkere Vernetzung bedeutet auch größeren Sicherheitsbedarf.

Industrie 4.0 wird von der Bundesregierung als Zukunftsvision und als wichtige und notwendige Transformation der deutschen Industrie zum Erhalt der Wettbewerbsfähigkeit gesehen. Diese Vision ist „mit wichtigen technologie-, wirtschafts- und gesellschaftspolitischen Standortperspektiven“verbunden, heißt es dazu in der Hightech-Strategie der Bundesregierung, was von der Bundeskanzlerin wie auch dem Bundeswirtschaftsminister auf dem IT-Gipfel 2012 in Essen in ihren Reden bekräftig worden ist [1]. Die zukünftigen modernen Fabriken (factory of the future, smart factory) müssen der Digitalisierung mit intelligent vernetzten, industriellen Produktions-, Fertigungs- und Automatisierungs- sowie Logistik-Systemen begegnen, um auf dem Weltmarkt zu bestehen. In der Praxis heißt das, Maschinen und Anlagen erhalten die Fähigkeit, ihr Verhalten durch Selbstoptimierung und Rekonfiguration an sich ändernde Aufträge und Betriebsbedingungen anzupassen. Das Ziel sind ressourcensparende, hochoptimierte Abläufe, die zugeschnitten auf individuelle Kundenwünsche, Produkte mit hoher Qualität fertigen. In solchen Fertigungsprozessen der Zukunft werden beispielsweise eine Vielzahl von Sensoren eingesetzt werden, die ihre Umwelt wahrnehmen und diese über Aktoren auch ihrerseits beeinflussen können. Es werden flexible Fertigungskomponenten entstehen, die ihr eigenes Verhalten in Abhängigkeit der Umwelt planen und an geänderte Anforderungen schnell anpassen können sowie neue Verhaltensweisen und -strategien erlernen und sich somit selbst optimieren können.

Vernetzung vs. Sicherheit
Dem Wunsch nach Vernetzung, Optimierung und Effizienzsteigerung auf der einen, steht der Wunsch nach Sicherheit auf der anderen Seite gegenüber. Bisher führte die besondere Isoliertheit der Industriesysteme dazu, dass die verwendeten Technologien zur Steuerung und Programmierung wenig bis keine Security-Mechanismen implementierten. Das muss sich nun auf dem Weg in die Industrie 4.0 grundlegen ändern. Denn die Gefahr für Industrieanlagen oder Steuerungssystemen von kritischen Infrastrukturen, wie beispielsweise Wasser- oder Energieversorgung, ist kein rein theoretisches Szenario mehr, wie das Aufkommen des Wurms Stuxnet oder Duqu eindrucksvoll demonstriert [2]. Stuxnet ist speziell auf die speicherprogrammierbaren Schaltungen in Siemens S7 Systemen zugeschnitten und greift dort den für die Prozessvisualisierung eingesetzten WinCC-Server an. Dazu benutzt die Schadsoftware ein ausgefeiltes Verbreitungsschema, das sowohl netzbasierte Ausbreitungsmechanismen als auch die Infektion mittels mobiler Datenträger (z.B. USB-Sticks) umfasst. Ein infizierter Visualisierungsrechner ermöglicht dann nicht nur eine beliebige Veränderung des Steuerprogramms, die Veränderung kann sogar gegenüber den Benutzern verschleiert werden. Eine Fehlfunktion ist daher unter Umständen nur schwer zu entdecken und gegebenenfalls nur schwer als Folge einer Schadsoftware einzustufen. Stuxnet hat die Anfälligkeit von Industrieanlagen in den Fokus der Öffentlichkeit gerückt – aber auch die Aufmerksamkeit von anderen Angreifern erregt. Mit Duqu trat dann auch nur kurze Zeit später der erwartete und befürchtete „Nachfolger“von Stuxnet in Erscheinung [3]. Der Wurm basiert auf ähnlicher Bauart wie Stuxnet, allerdings versucht Duqu lediglich Informationen zu sammeln. Das Wissen über den tatsächlichen Aufbau von Systemen könnte  neben dem grundsätzlichen Problem der Industriespionage für neue, zielgerichtete Angriffe genutzt werden.

Schwachstellen des Systems erkennen
Die Angriffe zeigen, dass die Systeme verletzlich sind und aufgrund ihrer Architektur auch nicht mit herkömmlichen Schutzmethoden abzusichern sind. Auch wenn der Einwand zunächst Geltung hatte, dass Stuxnet auf ein spezielles System zugeschnitten war und das dabei eingesetzte Fachwissen über die Ausnutzung von Schwachstellen nicht jedem Angreifer zur Verfügung stehe, bleibt es kein Einzelfall. Die Erkenntnisse und Lehren aus diesem Fall lassen sich durchaus auch auf andere Systeme übertragen. Neuere Fälle belegen, dass auch mit deutlich weniger Aufwand relativ einfach Automationssysteme unautorisiert manipuliert werden können. So finden sich in derartigen Systemen häufig Backdoors oder hart codierte Passwörter, die z.B. vom Hersteller selbst bei der Entwicklung zu Testzwecken integriert wurden und sich dann im Betrieb durch einen Angriff ausnutzen lassen. Erst kürzlich wurden etliche Sicherheitslücken in SCADA-Systemen durch eine Gruppe um Dillon Beresford veröffentlicht [4]. Die Sicherheitsforscher konnten zeigen wie einfach es ist, Industrie- und Automatisierungssysteme zu kompromittieren. Die Schwachstellen betreffen dabei nicht nur einige wenige Hersteller, sondern es sind nahezu alle Hersteller von Systemen zur Industrie- und Automatisierungssteuerung betroffen. Schon im Sommer 2011 wurden entsprechende Fälle bekannt. Unter anderem war es möglich, mittels einer einfachen Google-Suche in die Fernwartung der speicherprogrammierbaren Steuerungen von Wasserversorgungsanlagen einzudringen. Das Passwort hat die Suche praktischerweise gleich mitgeliefert: 颲“[5]. Neuere Fälle von Backdoors betreffen ausgerechnet das Netzwerk-equipment von Industrieanlagen, das speziell für „Kraftwerke, Öl-Raffinerien, beim Militär und in der Verkehrsüberwachung“[5] eingesetzt werden soll. Damit sind Teile von kritischen Infrastrukturen betroffen, was mehr Grund zur Besorgnis gibt.
Eine weitere Schwachstelle sind die oft eingesetzten Windows-Systeme im Bereich Wartung und Programmierung. Aufgrund der spezialisierten Software auf derartigen Systemen werden Aktualisierungen gescheut und Sicherheitslücken bleiben daher ungeschlossen. Die zunehmende Verbreitung von PC-basierten Systemen im Steuerungsbereich lässt hier für die Zukunft sogar eine weitere Zunahme des Bedrohungspotenzials erwarten. Letztlich muss hier als Folge dieser Entwicklung auch im Industriebereich mit einer ähnlichen Dichte an Bedrohungen durch Schadsoftware gerechnet werden, wie das derzeit bereits im PC- und Consumer-Umfeld der Fall ist.

Security by Design
Über eines sind sich alle Sicherheitsexperten einig: Bei der Absicherung der Industriesysteme genügt die reine Bekämpfung der Symptome nicht. Es müssen die Ursachen, also die systembedingten Schwachstellen, beseitigt werden. Zudem erfordern neue Herausforderungen durch eine Zunahme der Angriffe neue Schutzmaßnahmen für bekannte Schwachstellen und Abwehrmethoden. Um neuartigen Bedrohungen erfolgreich begegnen zu können und den zukünftigen Anforderungen an sichere Industrie- und Automatisierungssysteme zu genügen, ist ein vollständiges Re-Design der Automatisierungssysteme erforderlich. Security muss bereits von Anbeginn an berücksichtigt werden und die Systeme mit entsprechenden Sicherheitsmechanismen zur sicheren Programmierung, Konfiguration und zur sicheren Kommunikation ausgestattet werden. Dabei sind in einem ganzheitlichen Ansatz sichere Hardware, sichere Betriebssysteme und sichere Steuerungssoftware zu entwickeln, deren Sicherheitsmechanismen ineinandergreifen und IT-Sicherheit über alle Ebenen garantieren.
Die Absicherung der Systeme ist dabei ein iterativer Prozess, an dem Hersteller, Integratoren und Betreiber der Anlagen gleichermaßen beteiligt sind. Eine mögliche Herangehensweise an einen solchen Prozess ist z.B. in der VDI/VDE Richtlinie 2182, Blatt 1 beschrieben [7]. Am Beginn eines solches Zyklus steht dabei eine Strukturanalyse des betrachteten Systems sowie die Identifikation der schützenswerten Assets. Die erlaubt die Ermittlung möglicher Bedrohungen sowie des damit verbundenen Risikos. Für Bedrohungen mit Handlungsbedarf, d.h. jene Bedrohungen bei denen das identifizierte Risiko das akzeptable Risiko übersteigt, werden nun Schutzmaßnahmen entwickelt und umgesetzt. Dies führt zu einem neuen System, bei dem nun entweder periodisch oder aufgrund eines neuen Anlassfalles erneut ein solcher Prozess durchlaufen wird.
Die Entwicklung sicherer Komponenten und Technologien liegt vorwiegend im Aufgabenbereich der Komponentenhersteller. Solange keine gehärteten und sicheren Steuerungssysteme verfügbar sind, ist eine entsprechende Isolierung von  Business-IT (und  damit vom Internet) die vordringlichste Maßnahme, die ein Betreiber ergreifen kann. Dabei sind auch indirekte und alternative Verbreitungswege für Schadsoftware, wie mobile Datenträger, oder ungenutzte Wartungszugänge, zu berücksichtigen. Potenziell vorhandene Windows-Systeme zur Visualisierung und Programmierung sollten auf den neuesten Stand gebracht und mittels zusätzlicher Mechanismen gehärtet werden. Diese Ansätze stellen allerdings noch kein Sicherheitskonzept dar, vielmehr besitzt jedes System eigene Schwachstellen und erfordert somit ein den Anforderungen angepasstes, spezifisches IT-Sicherheitskonzept. Die Durchführung einer Sicherheitsanalyse sowie die Entwicklung eines solchen  IT-Sicherheitskonzeptes sind daher unerlässlich für jedes Unternehmen, bevor es seine Systeme vernetzt und mit beispielsweise ERP-Systemen zusammenschaltet, was zwar eventuell eine Optimierung der Geschäftsprozesse mit sich bringt, jedoch das Sicherheitsrisiko enorm erhöht.
 

Schlüsselwörter:

Industrie 4.0, Industriesicherheit, Sicherheit von Industrie- und Steuerungssystemen, Anlagen- und Maschinenbau, Automatisierung, Automatisierungssicherheit, Security by Design, Stuxnet

Literatur:

[1] Die Bundesregierung: Die Hightech-Strategie für Deutschland. Industrie 4.0. URL: http://www.hightech-strategie.de/de/2676.php, Abrufdatum 01.10.2012.
[2] Brunner, M.; Hofinger, H.; Krauß, C.; Roblee, C.; Schoo, P.; Todt, S.: Infiltrating Critical Infrastructures with Next-Generation Attacks, W32.Stuxnet as a Showcase Threat. Darmstadt 2010.
[3] Symantec: W32.Duqu: The Precursor to the Next Stuxnet .URL: http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet, Abrufdatum 01.10.2012.
[4] heise Security: Sicherheitsexperten setzen Hersteller von Industriesteuerungen unter Druck. URL: http://www.heise.de/security/meldung/Sicherheitsexperten-setzen-Herstell..., Abrufdatum 01.10.2012.
[5] heise Security: Hintertür in Netzwerk-Hardware für Industrieanlagen. URL: http://www.heise.de/newsticker/meldung/Hintertuer-in-Netzwerk-Hardware-f..., Abrufdatum 01.10.2012.
[6] Softpedia: Insecure SCADA Systems Can Be Found with Google. URL: http://news.softpedia.com/news/Insecure-SCADA-Systems-Can-Be-Found-with-..., Abrufdatum 01.10.2012.
[7] VDI/VDE 2182, Blatt 1. Beuth Verlag GmbH.