IT-Sicherheit in der Fabrik

Sander Lass und David Fuhr

Zunehmende Vernetzung, Konvergenz und Integration lässt Bedrohungen der Standard-IT auch in der Industrie- und Automatisierungstechnik an Bedeutung gewinnen. Gleichzeitig sind klassische Methoden der Informationssicherheit ohne Weiteres auf die Fabrik zu übertragen. Spezifische Systeme, Anwendungen und Prozesse erfordern Modifikationen, nicht zuletzt konzeptioneller Art. Das Vorgehensmodell „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kann hier mit zusätzlicher Anpassungsarbeit eine Grundabdeckung bieten.

Die Automatisierung von Maschinen oder Verfahrensschritten ist seit jeher ein probates Mittel zur Optimierung von Produktionsprozessen. Gerade in den Industrieländern ist seit Jahren ein hoher Automatisierungsgrad vorzufinden [1]. Die Automatisierung von bisher manuell gesteuerten Prozessen erfordert den Einsatz umfangreicher Sensorik und Aktorik. Die zunehmend komplexeren Szenarios führen zu starker Vernetzung der Systeme auf Fertigungsebene. Intelligente Systeme mit erweiterten Speicher- und Kommunikationsmöglichkeiten ermöglichen, Informationsaustausch, Umgebungserkennung und Aufgabendurchführung selbstständig auszuführen [2].

Weiterhin ist zu beobachten, dass der Trend zur Konvergenz der produktionsnahen Informationstechnik und der betrieblichen Standard-IT-Systeme stark zugenommen hat. Die Automatisierungsinfrastruktur auf der Shop-Floor-Ebene ist nicht mehr nur ein abgeschlossenes System isoliert vom Office-Netz des Unternehmens, sondern wird zunehmend in die Gesamtumgebung integriert. Ziel ist die (Mehrfach-)Nutzung vorhandener Teile der Infrastruktur, die schnelle Integration („Plug&Play“) von Komponenten (Industrial Ethernet in der Fertigungs- und Produktionstechnik) sowie die Realisierung des uneingeschränkten Informationsaustauschs über alle Ebenen hinweg.

Dadurch, dass die Shop-Floor-IT nicht mehr nur ein abgeschottetes Gebilde darstellt, welches lediglich physisch zugreifbar ist, entstehen neue Bedrohungsszenarien (siehe Stuxnet, Duqu etc.). Als Konsequenz ergeben sich neue Herausforderungen an Sicherheitskonzepte und deren praktische Umsetzung in der Fabrik.


IT-Systeme in  der Fabrik

In einem produzierenden Unternehmen kommen zahlreiche IT-Systeme zum Einsatz. Computersysteme werden zur betriebswirtschaftlichen und produktionstechnischen Planung von Ressourcen und Aufträgen, zur Steuerung der Produktionsanlagen, zur Verwaltung von Betriebsmitteln und Lagern sowie für die Logistik von Rohmaterial, Betriebs- und Hilfsstoffen eingesetzt, um nur einige Beispiele zu nennen.


Bild 1: Automatisierungspyramide nach Langmann [3]

Bild 1 zeigt eine etablierte Systematisierung der beteiligten Systeme. Beginnend an der Spitze der Pyramide wird ein Kundenauftrag im Enterprise Resource Planning System  (ERP) erstellt. Dort wird die Produktion betriebswirtschaftlich geplant. Anschließend übernimmt das Manufacturing Execution System (MES) die Feinplanung. Hier werden aus den Planungsaufträgen entsprechende Fertigungsaufträge erstellt, die dann von den Werkern oder Maschinen bearbeitet werden.

Während der obere Teil der Pyramide (ERP und MES) im Wesentlichen aus Komponenten der Standard-IT aufgebaut ist, erfordert der untere Teil (Shop-Floor-Ebene), der die Steuerung, Koordination und Kontrolle der Industrieanlagen übernimmt, eine spezifische Betrachtung.

Diese Shop-Floor-IT beinhaltet diskrete Verkabelung von Sensorik und Aktorik, Feldbussysteme zur Signalkommunikation sowie SPS (speicherprogrammierbare Steuerungen) als steuernde Elemente. Für die Steuerung und Überwachung im Produktionsbereich von Fabriken werden aufgrund der besonderen Anforderungen dedizierte Informationssysteme und Anwendungen verwendet. Es entsteht die Frage nach der Anwendbarkeit üblicher Verfahren für die IT-Sicherheit.


Standardvorgehen für IT-Sicherheit

Für die Standard-IT haben sich über die letzten zwei Jahrzehnte verschiedene Familien von Normen und Richtlinien herausgebildet, die die Behandlung von IT-spezifischen Risiken mit Hilfe von Vorgehensweisen und Konzepten erleichtern. Beispiele sind die internationale ISO 27000er-Familie [4], die nationale Variante des BSI (Bundesamt für die Sicherheit in der Informationstechnik), „IT-Grundschutz“ [5], aus den USA die NIST Special Publications der 800er-Reihe (etwa [6]) oder für die Zertifizierung von Produkten die internationalen Common Criteria [7].

Die meisten dieser Standards sind nicht ohne Weiteres auf die Fabrik-IT übertragbar. Dies hat im Wesentlichen drei allgemeine Gründe:

  • Die in den Standards geschützten Werte beziehen sich primär auf Vertraulichkeit, Integrität und Verfügbarkeit. Safety – das absolute Top-Ziel in der Industrie – wird höchstens indirekt unter diesen subsumiert.
  • Zentrale Prozessvorgaben der Standards wie etwa zum Patchmanagement oder rund um Zertifizierung sind a priori weder zu Geschäftsprozessen noch zu Organisationsformen der Fabrik kompatibel.
  • Oft ist das Sicherheitsmanagement für die IT in der Fabrik organisatorisch anders eingebunden als in anderen Bereichen.

Dazu kommen eine Reihe fachliche Gründe, von denen hier nur beispielhaft zwei genannt seien:

  • Die technischen Zielobjekte der Normen sind Standard-Hard- und -Software; spezifische IT-Systeme und Anwendungen der Fabrik fehlen.
  • Allein die Abgrenzung, was ein IT-System oder eine informationstechnische Anwendung sein soll und damit zum „scope“ des Sicherheitsmanagements gehört und was nicht, kann hier eine komplexe Frage werden.

Ein Beispiel für letzteres: ein Oszilloskop, das über keine dokumentierte Datenschnittstelle verfügt, sich aber nach näherem Hinsehen als auf Windows XP SP 1 basierend herausstellt.

Das BSI hat das Problem bereits vor Jahren erkannt und ein Überblickspapier zum Thema entwickelt, das die Spezifika der Fabrik-IT anspricht [8]. Andere Organisationen haben ähnliches versucht [9, 10].

Bestanden die ersten Ansätze der Entwicklung von Konzepten für die Absicherung der Fabrik-IT aus noch nicht viel mehr als teilweise systematisierten Sammlungen von Gefährdungen und mehr oder weniger abstrakten Empfehlungen, so entsteht aktuell die nächste Generation, die eine systematischere Einbindung der Fabriksicherheit in den IT-Sicherheitsprozess verfolgt (etwa die in Entwicklung befindliche ISA-99 Standardfamilie).

Nach wie vor fehlen jedoch konkrete Rezepte, Bausteine und allgemein verfügbare Best Practices, die über bestimmte Hersteller oder Branchen hinausgehen und die nötige konzeptionelle Reife und allgemeine Anerkennung besitzen.


Besondere Anforderungen der Shop-Floor-Ebene

Im Bereich der produktionsnahen IT beeinflussen im Vergleich zur typischen betrieblichen Standard-IT zusätzliche Anforderungen und Faktoren den Betrieb. Dies sind unter anderem die notwendige Echtzeitfähigkeit, die Ausführung als Embedded-Geräte und die oft vorherrschenden langen Innovations-
zyklen (> 7 Jahre), aufgrund derer Systeme auf der  Shop-Floor-Ebene über lange Zeiträume betrieben werden.

Bei der Segmentierung von Netzwerken nach sicherheitstechnisch relevanten Kriterien sind dem Einsatz von Firewalls aus Gründen der Echtzeitfähigkeit Grenzen gesetzt.

Patches lassen sich nur mit hohem Aufwand ausrollen. Embedded-Systeme besitzen einen längeren Wartungszyklus. Ein Update ist gleichzusetzen mit einem Update der Firmware und stellt den Komplettaustausch der auf dem Gerät befindlichen Software dar. Unter Umständen müssen spezifische Konfigurationen (Einstellungen und Programme) neu eingespielt und angepasst werden. Auch sind Update-Prozesse häufig sehr komplex, weshalb die Ausführung nicht intern, sondern durch den Hersteller selbst erfolgt und damit zusätzliche Kosten verursacht. 

Hinzu kommt, dass die Durchführung von Vorabtests (wie z. B. beim Patchmanagement üblich) auf Grund von zu vermeidenden Produktionsausfällen und der Aufrechterhaltung der Safety nicht ohne Weiteres möglich sind. Somit sind zum Beispiel Penetrationstests (simuliertes Eindringen in die IT-Systeme einer Anlage zur Aufdeckung von Sicherheitslücken) nur begrenzt möglich. Ein effektives Testsystem mit realistischer Umgebung ist aus Kostengründen selten vorhanden.

Durch die bisherige Abschottung der produktionsnahen IT beschränken sich Sicherheitsaktivitäten meist auf den Safety-Bereich, d. h. auf die Vermeidung von Gefahren für den Werker bzw. die Abwendung kostenintensiver Beschädigungen von Maschine oder Material. Vertraulichkeit, Verfügbarkeit und Integrität sind sekundäre Ziele.

Untersuchungen im Labor des Lehrstuhls für Wirtschaftsinformatik [11]  zeigten den konkreten Handlungsbedarf. Das Labor stellt reale Komponenten (z. B. SPS oder Robotersteuerung) zur Verfügung und erlaubt die Simulation von Fabrikanlagen unter Laborbedingungen, womit Bedrohungen und mögliche Gegenmaßnahmen praxisnah ermittelt und überprüft werden können. Manipulationen der Anlage waren durch Zugriff auf das Fabrik-LAN innerhalb kurzer Zeit möglich.


Sicherheit im Baukastensystem

Für die IT-Sicherheit in der Fabrik besteht also aktuell die Herausforderung, dass weder Konzepte oder „Bausteine“ in ausreichendem Maße zur Verfügung stehen, um mit begrenztem Ressourceneinsatz ein Sicherheitskonzept aufstellen zu können, noch die Methoden der Standardvorgehensweisen alle Aspekte abdecken, die für die Industrie- und Automatisierungstechnik spezifisch und notwendig sind.

Eine mögliche Lösung besteht in der Erweiterung bewährter Rezepte wie etwa IT-Grundschutz in zweifachem Sinn: zum einen durch die Erarbeitung passender Bedrohungs- und Maßnahmenkataloge für die Fabrik-Assets über konkrete Risikoanalysen, zum anderen durch das „Aufbohren“ der Methodiken, um diese für die Industrie- und Automatisierungstechnik anwendbar zu machen.


Bild 2: IT-Grundschutzbausteine für die Fabrik (Auswahl)

Bild 2 zeigt beispielhaft die für die Fabrik wesentlichen Bausteine aus den IT-Grundschutzkatalogen des BSI (vgl. [12]) sowie minimal notwendige Anpassungen und Ergänzungen:

Hier lässt sich insbesondere ablesen, dass die IT-Grundschutzkataloge in den „höheren“ (konkreteren) Schichten (Anwendungen, Netze, IT-Systeme) bereits viele Bausteine mitliefern, die eins zu eins oder mit leichten Anpassungen angewandt werden können. Je „tiefer“ (allgemeiner) man bei den Schichten schaut, desto mehr Lücken tun sich auf. In der Schicht B1 „Übergreifende Aspekte“ schließlich müssen sämtliche Bausteine angepasst werden, um den Bereich Industrial Automation and Control Systems (IACS) angemessen abdecken zu können. Dasselbe gilt für den BSI-Standard 100-2 („IT-Grundschutz-Vorgehensweise“) selbst.

Zu beachten ist bei Anwendung des IT-Grundschutz-Vorgehens immer, dass dieser Maßnahmen für einen „normalen“ Schutzbedarf beschreibt; sobald höhere Werte bedroht sind, sind zusätzliche Risikoanalysen notwendig (vgl. [5]).

Zum Teil liefern große Hersteller von Automatisierungstechnik Bausteine in Form von Sicherheitskonzepten für bestimmte Komponenten gleich mit. Diese sind jedoch jeweils noch an die Anforderungen des konkreten Einsatzszenarios anzupassen. Insbesondere die Bestimmung des Schutzbedarfs und damit des geforderten Sicherheitsniveaus kann den Eigentümern der Informationswerte und sonstigen Assets nicht out-of-the-box abgenommen werden. Auch können diese Fertigbausteine auf der organisatorischen Seite natürlich nicht an jedes Sicherheitsmanagement oder jede Organisation anflanschbar sein. Hier ist in jedem Fall Anpassungsarbeit einzuplanen. Zum Teil werden auch nur technische Maßnahmen beschrieben, was die Gefahr birgt, dass die wichtige organisatorische Seite des Sicherheitsmanagements vernachlässigt wird.

Die größte Herausforderung ist jedoch, einen Informationssicherheitsprozess zu etablieren, der die systematische Absicherung der gesamten Fabrik-IT umfasst. Insbesondere die Themen Patchmanagement und Compliance stellen hier Besonderheiten dar, die nicht mit den Hausmitteln des IT-Grundschutz zu „erschlagen“ sind.

Während Compliance heute im Fabrikbereich noch weitgehend die Erfüllung anderer gesetzlicher und vertraglicher Vorgaben meint, spielt die Gewährleistung der Informationssicherheit als regulatorische Anforderung noch eine geringere Rolle. Dies wird sich in Zukunft in vielen Branchen ändern, wie sich schon heute in den USA beobachten lässt (Stichworte FISMA (Federal Information Security Management Act), NERC CIP (North American Electric Reliability Corporation – Critical Infrastructure Protection), CFATS (Chemical Facility Anti-Terrorism Standards)). Auch in Deutschland wird aktuell neben freiwilligen Initiativen wie der Cyberallianz und dem Umsetzungsplan Kritis über Meldepflichten für Cyberangriffe nachgedacht.

Im Bereich Patch- und Änderungsmanagement und seinem prüferischen Gegenstück, dem technischen Audit, sind angepasste Vorgehensmodelle notwendig, die eigens für den Bereich IACS zu entwickeln sind und einiges an Expertise erfordern, das über das Testen von klassischen Business- und Webanwendungen hinausgeht.


Fazit

Die vollständige Trennung von Produktionstechnik und Office-IT ist heute schon weitgehend unrealistisch und auch in Zukunft nicht überall durchzuhalten. Im Gegenteil wird die Vernetzung weiter zunehmen. Konvergenz und vertikale Integration machen die Absicherung der „Fabrik-IT“ und die Absicherung der Office-IT zunehmend voneinander abhängig und füreinander unverzichtbar.

Bisherige Standards der Informationssicherheit bieten vieles zur Absicherung der Office-IT, weniges zur Schnittstelle zur Fabrik und noch weniger zur eigentlichen IACS Security. Der Sicherheitsbegriff muss sowohl für den Bereich als auch im Bereich IACS erweitert werden: zu Safety plus Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz.

Mit IT-Grundschutz, dem ISMS des BSI, kann durch Modifikation und Erweiterung um einige Bausteine schon einiges abgedeckt werden, es bleibt aber noch viel Anpassungsarbeit zu tun, die besondere Expertise auf fachlichem wie konzeptionellem Gebiet erfordert.

Schlüsselwörter:

IT-Sicherheit, IT-Grundschutz, Sicherheitsmanagement, ISMS

Literatur:

[1] Helmus, F. P.: Anlagenplanung: Von Der Anfrage Bis Zur Abnahme Wiley-VCH Verlag 2003, S. 19.
[2] Freitag, M.; Herzog, O.; Scholz-Reiter, B. (2004): Selbststeuerung logistischer Prozesse – Ein Paradigmenwechsel und seine Grenzen - Ein neuer Sonderforschungsbereich an der Universität Bremen, In: Industrie Management 20. GITO-Verlag, Berlin. S. 23-27.
[3] Langmann, R.: Taschenbuch der Automatisierung; Leipzig: Hanser Verlag 2004, S. 335.
[4] ISO copyright office (Hrsg.) (2005): ISO/IEC 27001:2005. Information technology – Security techniques – Information security management systems – Requirements.
[5] Bundesamt für Sicherheit in der Informationstechnik (2008): IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 2.0, Mai 2008, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/I....
[6] National Institute of Standards and Technology (2010), Special Publication 800-53, Recommended Security Controls for Federal Information Systems and Organizations, Revision 3, August 2009, mit Updates von 2010.
[7] Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 4, September 2012. Parts 1-3, http://www.commoncriteriaportal.org/cc/.
[8] Bundesamt für Sicherheit in der Informationstechnik (2012): Industrial Control System Security. Top 10 Bedrohungen und Gegenmaßnahmen, BSI-CS 010, Version 1.00 vom 29.05.2012, https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/empfehlung...
[9] Bundesverband der Energie- und Wasserwirtschaft (2008): Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme, Version 1.0, 10. Juni 2008.
[10] U. S. Department of Energy (2002): 21 Steps to Improve Cyber Security of SCADA Networks.
[11] www.industrie40-live.de
[12] Bundesamt für Sicherheit in der Informationstechnik (2011): IT-Grundschutzkataloge, 12. Ergänzungslieferung, September 2011, https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/it....