Olaf Mischkovsky ist bei Symantec Spezialist für Endpoint Security. In der Funktion ist er einerseits bei Kunden vor Ort, andererseits vertritt er das Unternehmen auch in diversen Gremien, wenn es um kritische Infrastrukturen oder Sicherheit im Zusammenhang mit Industrie 4.0 geht. Denn in beiden Zusammenhängen sind weniger die zentralen Einrichtungen der Betreiber, als aus Sicht der Sicherheitsexperten vielmehr die neuartigen Endpunkte das wesentliche Problem.
ZDNet: Herr Mischkovsky, im vergangenen Jahr drängte sich durch die Kommunikation von Behörden, Forschungseinrichtungen und Verbänden zunehmend der Eindruck auf, dass ohne Industrie 4.0 schon bald in der deutschen Wirtschaft fast gar nichts mehr geht. Gegen Ende des Jahres mehrten sich allerdings skeptischere Stimmen: Etwa auf Basis einer Umfrage des VDE kamen Experten da zu dem Schluss, dass es mindestens noch bis 2025 dauert, bevor sich das Konzept flächendeckend durchgesetzt haben wird. Wie ist denn die Erfahrung von Symantec im Feld?
Olaf Mischkovsky ist bei Symantec Spezialist für Endpoint Security (Bild: Symantec)Mischkovsky: Demzufolge, was ich bei unseren Kunden in den vergangenen Monaten gesehen habe, ist Industrie 4.0 keine Revolution, sondern eine Evolution. Viele verfügen schon über Elemente dessen, was unter Industrie 4.0 zusammengefasst wird, manche sogar schon seit längerer Zeit – und manche, ohne sich tatsächlich dessen bewusst zu sein.
Nicht vergessen darf man ja auch, dass der Begriff Industrie 4.0 vom deutschen Wirtschaftsraum ausging und die Gegebenheiten hier berücksichtigte. Allerdings ist es inzwischen schon so, dass wir auch erste Reaktionen aus den USA darauf bekommen. Das Thema ist dort aber eher ein Unterthema von Internet of Things. Wird es dort künftig stärker aufgegriffen, könnte das die Adaption möglicherweise erheblich beschleunigen. Insgesamt dauert es aber wohl länger, als sich Staat und auch die Kanzlerin das wünschen.
ZDNet: Was ist der Grund dafür?
Olaf Mischkovsky: Beim produzierenden Gewerbe sind der Grund im Wesentlichen die sehr langen Lebenszyklen der Systeme. Da, wo ein komplett neues System angeschafft wird, ist Industrie 4.0 ganz klar ein Thema und wird auch bedacht oder gar gefordert. Allerdings sind diese Überlegungen oft nur theoretisch. Denn fast immer sind ja schon Systeme vorhanden. Und die werden noch 10 oder sogar 15 Jahre weiter genutzt. Das, was der Kunde von ihnen erwartet, leisten sie ja. Der mögliche Mehrwert durch Elemente von Industrie 4.0 rechtfertigt den kompletten Austausch nicht – denn, man darf ja nicht vergessen, die Systeme sind oft sehr teuer. Außerdem muss man berücksichtigen, dass eben aufgrund der langen Nutzungszeiten der industrielle Bereich nicht so weit entwickelt ist, wie die Büro-IT.
ZDNet: Was meinen Sie mit „weniger entwickelt“?
Mischkovsky: Ich meine damit, in den beiden Bereichen ist nicht die gleiche Technologie im Einsatz. Es gibt tatsächlich Firmen, die sich über Auktionsplattformen mit Altgeräten eindecken, weil sie nicht von Windows XP wegwollen und können. Es gibt auch heute noch Projekte, in denen wir über die Absicherung von Windows NT reden. Und es gibt Robotersysteme, die werden tatsächlich noch ausschließlich über USB angesprochen.
Nehmen wir einmal ein Beispiel, in dem es um Pressen in der Produktion geht. Die sind zwar beim Kunden schon vernetzt – aber alle mit einem eigenen DSL-Anschluss angebunden und nur über fest verdrahtete IP-Adressen. Da ein VPN mit starker Authentifizierung dazwischen zu schalten ist mit hohen Kosten und hohem Aufwand verbunden – und deshalb macht man das ohne konkreten Anlass eben nicht.
Der Bitkom hat in einer Grafik Erwartungen des Frauunhofer IAO zum Wachstum durch Industrie 4.0 bis 2025 übersichtlich zusammengefasst (Grafik: Bitkom).ZDNet: Ein Problem bei der Vernetzung ist ja immer, dass jeder denkt, der andere wird schon dafür sorgen, dass alles sicher ist. Das ist wahrscheinlich bei Industrie 4.0 und der dazu erforderlichen Vernetzung auch nicht anders. Wer fragt denn jetzt schon nach Sicherheit? Und wer will die selber in die Hand nehmen?
Mischkovsky: Die Produktion ist wesentlich vorsichtiger im Umgang mit neuen Technologien als wir das aus der IT kennen. Das ist ja aber auch kein Wunder: Geht hier etwas schief, sind nicht selten Menschenleben oder enorme Werte in Gefahr. Im Zweifelsfall wird etwas Neues daher lieber gar nicht eingeführt.
Dazu kommt noch, dass es auch einen größeren Mangel an qualifiziertem Personal gibt, als im Office-Bereiche. Auch das trägt dazu bei, dass die Firmen eher zögerlich agieren. Das heißt nicht, dass die Leute ihr Geschäft nicht verstehen: Sie sind hervorragend darin, Produktionsanlagen zu vernetzen und zu warten. Aber die Expertise zu Produktionsanlagen einerseits und IT andererseits ist dann doch eher die Ausnahme.
ZDNet: Gibt es denn Richtlinien, an denen sich Firmen und Verantwortliche in Firmen orientieren könnten?
Mischkovsky: Wirklich umfassende und verbindliche verbindlichen Richtlinien gibt es noch nicht. Hilfreiche ist die Richtlinie VDI/VDE 2182 „Informationssicherheit in der industriellen Automatisierung – Allgemeines Vorgehensmodell“. Dass das ganze Thema aber noch recht neu ist, zeigt sich zum Beispiel auch daran, dass dieses Jahr die VDI-Fachkonferenz Industrial IT Security 2015 erst das dritte Mal stattfindet.
Cloud Computing, IT-Sicherheit und Big Data Analytics sind die drei wichtigsten Hightech-Themen des Jahres. Neu in den Top-Fünf ist in diesem Jahr das Thema Industrie 4.0. Das hat die jährliche Trendumfrage des Bitkom ergeben (Grafik: Bitkom).Die IEC 62443, eine Normenreihe, die „IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz“ behandelt, sieht zwar vor, dass Security nicht nur Aufgabe des Betreibers ist, sondern nimmt auch den Hersteller und den Integrator in die Pflicht. Die reagieren aber unterschiedlich darauf. Und wenn der Kunde nichts ins Pflichtenheft schreibt, dann kann es auch schon mal sein, dass das Thema ganz ausgeblendet wird.
Hier offenbart sich dann auch ein organisatorisches Problem in den Firmen: Die Ausschreibung für die neue Maschine wird in der Regel vom Anlagenbauer betreut. Der sorgt sich in erster Linie darum, dass sie die ihr zugedachte Aufgabe in der Produktion erfüllt. Und wenn er an IT-Sicherheit denkt, dann oft nicht intensiv genug. Für ihn ist das Thema oft schon damit abgehakt, dass er eine Firewall und HTTPS verlangt. Er weiß aber nicht, dass Netzattacken oder Trojaner da einfach durchgehen.
Wenn man aber weiß, dass WLAN Access Points, die im Produktionsumfeld stehen, heute immer noch ungesichert sind, dann weiß man auch, dass selbst eine bessere Absicherung nach außen Netz vergeblich wäre. Ein weiteres Beispiel ist, dass in der Produktion Daten noch oft über FTP übertragen werden, welches das Passwort immer im Klartext sendet. Aus all dem wird deutlich, dass schon beim aktuellen Stand der Vernetzung, aber viel mehr noch bei zunehmender Vernetzung, ein erheblicher Qualifizierungsbedarf besteht.
ZDNet: Wäre dann angesichts der großen Gefahren durchgängige Verschlüsselung ein Ansatz? Ist die überhaupt möglich? Oder was spricht dagegen?
Mischkovsky: Die Anlagen selbst sind in der Regel natürlich schon vernetzt – aber nur intern. Als Faustregel hat sich in der Vergangenheit durchgesetzt, dass so wichtige und unersetzliche Systeme am besten entkoppelt werden. Aus dem Internet über das Netzwerk in die Produktion zu gehen ist einfach nicht vorgesehen.
Industrie 4.0 bringt hier nun eine dramatische Veränderung. Ein Ansatz wäre in der Tat die Verschlüsselung und Authentifizierung mittels Zertifikaten und bevorzugt auf der Geräte-Ebene. Das bringt allerdings hohe Komplexität mit sich. Welches Unternehmen hat denn schon eine funktionierende PKI-Infrastruktur? Und wieviele Systeme verfügen über einen Key Store, in dem Zertifikate für eine sichere Authentifizierung und Verschlüsselung gespeichert werden können.
ZDNet: Was schlagen sie also als gangbaren Weg vor?
Mischkovsky: Verschlüsselung nützt nichts ohne Authentifizierung. Letztendlich ist Verschlüsselung nur ein Mini-Baustein, ein Must-have, das man gerne mitnimmt, sie reicht aber nicht aus, um sich dann darauf auszuruhen.
Zwar hinkt die Produktions-IT in vielen Bereichen der Office-IT hinterher, dafür hat sie aber aus Sicherheitssicht auch einen Vorteil. Sie ist weitaus weniger vielfältig. Daher sind anders als bei der Office-IT bei der Produktions-IT auch Whitelisting und Sandboxing machbar. Sie müssen aber beide zusammenwirken. Whitelisting gibt dann die Anwendungen vor, die überhaupt laufen dürfen und Sandboxing überprüft, ob die erlaubten Prozess das dürfen, was sie tun sollen.
Bei Stuxnet wurden zum Beispiel von der Malware Schwellenwerte im Programm geändert. Und bei Shamoon wurde die Konfigurationsdatei so geändert, dass ein Angriff auf einen Prozess stattfand, der im Speicher ausgeführt wurde, wodurch sich die Produktionsdaten ändern sollten. Also: Whitelisting ist eine gute Strategie, muss aber durch Sandboxing ergänzt werden.
Whitelisting hat zudem auch Schwächen: Ja, eigentlich sollte Software signiert sein. Das habe zum Beispiel auch ich schon an der Universität gelernt. Aber wie viel Software ist denn in der Praxis wirklich signiert? Wenn zum Beispiel ein Walzenhersteller im Jahr 200 seiner Maschinen mit seiner Software ausliefert – dann könnte die aufgrund ihrer Reputation und geringen Anzahl durchaus auch als Schadsoftware eingestuft werden. Software zu signieren ist also wichtig. Wir sehen da zwar schon Änderungen, wir sehen aber auch, dass es nur langsam voran geht.
Letztendlich gibt es keine einzelne Lücke oder auch keinen Ansatz, der mit einer Lösung alle Probleme erschlägt. Was als Industrie 4.0 vorangetrieben wird, bietet in vielen Branchen Chancen und Mehrwerte, um Sicherheit müssen sich aber nicht nur Gerätehersteller, sondern auch Betreiber kümmern. Und für beide gilt: Die größtmögliche Sicherheit wird immer aus einer Kombination mehrerer Methoden erreicht werden.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…