Stecker raus, sonst Stecker raus? IT-Sicherheit in Produktionsanlagen …

Kann man heute noch sicher und sorglos eine komplexe Produktionsanlage betreiben? Eine philosophische Frage. Smartphones, Tablet-PCs, intelligente Klemmen … die Internettechnologie hat überall Einzug gehalten. Gewohntes Verhalten aus dem Heimbereich am Arbeitsplatz auszublenden fällt schwer. Wie sicher ist eigentlich heute noch die automatisierte Anlage? Dazu muss man sich die Frage stellen, was braucht man um meine Produktion oder Fertigung sicher zu betreiben. Aus informationstechnischer Sicht die Automatisierungstechnik und ggf. eine Messdatenerfassung zur weiteren Auswertung und Visualisierung.

Geht man nun der Frage nach, wie sieht die Praxis aus, so blickt man in der Regel in ein munteres Nebeneinander verschiedenster Technik, gewachsen in vielen Jahren. Da der Mensch – und da klammern wir bewusst mal Instandhalter und Produktiöner nicht aus- von Natur aus zum Weg des geringsten Widerstand neigt, hat man sich Zugriffe auf Anlagen geschaffen; in der ersten Phase zunächst nur bis ins Büro und in weiteren Schritten in den letzten Jahren auch noch nach Hause. Internettechnologien sei Dank. Prinzipiell eine gute Sache, schnell Zugriff auf die Anlage, schnell Störungen beseitigen, Fahrten in die Anlage aus dem Rufdienst heraus minimieren. Nur, wer kann neben diesen fleissigen Geistern noch die Anlage steuern. Auch da gilt: jeder böse Bube, der es möchte. Daher nun Fernwartung oder Teleservice in die Schmuddelecke zu stecken trifft nicht den Kern des Problems und ist auch nicht lösungsrelevant. Aber ist das die einzige Gefährdung? Nein. Die fängt ganz woanders an. Im eigenen sorglosen Umgang mit einfachen Betriebsmitteln wie USB-Sticks, die man aus Bequemlichkeit zuhause und in der Anlage einsetzt. Allgemeiner Tenor, da kann nichts passieren, ich habe ja einen Virenscanner. Der beste Schutz der Anlage ist zunächst mal der Einsatz von brain.exe, dem eigenen Verstand.

Aber: was kann man nun sinnvoll machen? Man sollte einigen Fragen nachgehen:

Von wo aus brauche ich wirklich Zugriff auf meine Anlage?
Vom Büro, damit ich nicht in die Anlage laufen muss … kann man machen, allerdings sollte dann im Büro nicht der mit dem Internet verbundene PC genutzt werden, sondern ggf. eigene Hardware, die keine Verbindung nach Außen hat oder eine virtuelle Maschine mit dediziertem Zugriff.

Wie realisiert man Remotezugriffe?
Auch da gibt es verschiedenste Technologien, angefangen von zertifikatbasierten Systemen über Tokens bis hin zur klassischen Einwahl. Auch hier muss man eine Risikoabschätzung machen. Der sicherste Zugang ist der, der erst auf Zuruf VorOrt gesteckt oder geschaltet werden muss; auch wenn es speziell den jungen Wilden nicht sofort einleuchten wird, aber die klassische Einwahl hat noch viele Vorteile.

Welche Bedrohungen hat die Anlage intern?
Alle Speichermedien (wie USB-Sticks), Programmiergeräte, Servicenotebooks etc., mit deren Hilfe jede Menge Schadcode in die Anlage eingeschleust werden kann. Hier gibt es schöne Möglichkeiten diese mittels innovativer Softwarelösungen nahezu vollständig abzusichern. Angefangen von sicheren USB-Sticks, die nur in der definierten Anlagenumgebung einsetzbar sind über Antimalwarelösungen bis hin zu radikal absichernden Lösungen, wie Application Whitelisting und Sandboxing, die allerdings sehr tief in die Systeme eingreifen.

Wie reagieren die Betreiber auf die Szenarien?
Auch hier passiert alles von Aussitzen bis hin zu exorbitant teurem Aktionismus. Der eine kommt mit mehreren Kilo Hochglanzbroschüren von diversen Messen. Der eine kauft eine Firewall für mehrere hunderttausend Euro und meint damit teuer = sicher, der andere führt flächendeckend Application Whitelisting ein und bedenkt nicht die Probleme bei Hardwaretausch; alles einfache Beispiele, dass es nicht die Lösung gibt, sondern ein Gesamtkonzept inkl. Monitoring notwendig ist:

  • Patchmanagement,
  • Updatemanagement,
  • Firmwareupdates,
  • IDS,
  • VScan,
  • Firewalling,
  • Monitoring & Alarm

Fazit: Gute und herstellerneutrale Beratung und Konzepterstellung ist notwendig. Hier unterstützen wir Sie gerne!