Security by Design

Industrie 4.0 - ein Sicherheitsrisiko?

| Autor / Redakteur: Robert Russell / Jürgen Schreier

Bei vielen OT-Devices (Maschinen, Anlagen, Steuerungen) sind die Sicherheitsprotokolle veraltet und oft ist ein Update nicht oder nur bedingt möglich.
Bei vielen OT-Devices (Maschinen, Anlagen, Steuerungen) sind die Sicherheitsprotokolle veraltet und oft ist ein Update nicht oder nur bedingt möglich. (Bild: Pixabay / CC0)

Industrie 4.0 sorgt für mehr Transparenz in der Produktion, doch nehmen auch die Sicherheitsrisiken zu. Maschinenausfälle und Qualitätsprobleme drohen. Deshalb sollte ein I4.0-Projekt von Grund auf sicher entwickelt werden, anstatt nur eine Drittanbieter-Software im Netzwerk zu installieren.

Industrie 4.0 eröffnet Herstellern enorme Möglichkeiten, durch vorausschauende Instandhaltung und ähnliche Technologien mehr Effizienz und Transparenz in der Produktion zu erreichen. Gleichzeitig birgt sie aber auch ein neues, operatives Risiko – die Sicherheit. Cyberangriffe nehmen immer mehr zu und können für die verarbeitende Industrie eine Vielzahl verheerender Folgen haben. Dazu zählen etwa Datendiebstahl, Erpressung von Lösegeldern für gesperrte Daten, Maschinenausfälle oder Gefahren für die Standortsicherheit und die Verarbeitungsqualität.

Sicherheitslücken können sich auf Unternehmen verheerend auswirken

Erst vor Kurzem gab das Bundesamt für Sicherheit in der Informationstechnologie (BSI) eine Warnung heraus, dass eine Ransomware im Umlauf sei, die selbst von aktuellen Virenscannern nicht identifiziert werden könne. Die Ransomware wird als E-Mail verschickt, bei der es sich scheinbar um eine Bewerbung auf eine offene Stelle im Unternehmen handelt. Wird das an die Mail angehängte PDF-Dokument geöffnet, installiert sich das Schadprogramm auf dem Rechner und fängt an, Dateien zu verschlüsseln.

Ransomware der Dinge: IoT-Devices in Geiselhaft

Cybersecurity

Ransomware der Dinge: IoT-Devices in Geiselhaft

06.06.18 - Wegen der hohen Nachfrage nach IoT-Endgeräten bleiben bei deren Entwicklung Sicherheitsaspekte oft auf der Strecke. Das machen sich Hacker zunutze und versuchen mit Ransomware den Zugriff auf die Geräte zu sperren. Für stabile Betriebsabläufe ist deshalb ein Gerätesicherheitscheck unabdingbar. lesen

Erst nach Bezahlung eines Lösegelds werden diese dann wieder freigegeben. Kleine und mittelständische Unternehmen stellen für Cyber-Kriminelle mittlerweile ein lukrativeres Ziel als Privatpersonen dar, da die Summen, die hier erbeutet werden können, bei weitem höher sind. Die Folgen können sich für Unternehmen im produzierenden Sektor als fatal erweisen, wenn sie über Maschinen verfügen, die auch über das Netzwerk steuerbar sind.

Sobald die Ransomware im Netzwerk aktiv ist, sind wichtige Informationen wie Fertigungsdaten, Lieferdokumente oder Termine nicht mehr nutzbar. Bei fehlenden Fertigungsdaten ist die Konsequenz ein Stillstand der gesamten Produktion, mit den damit verbundenen Umsatz- und Reputationsverlusten.

Darüber hinaus können Daten manipuliert werden, die beispielsweise 3D-Drucker und andere Geräte zum Arbeiten benötigen. Die Folge können fehlerhaft hergestellte Werkstücke sein, was besonders im Healthcare-Sektor kritisch bis lebensbedrohlich ist.

Die Digitalisierung hat viele Vorteile für Unternehmen

Die Sicherheit darf daher nicht außer Acht gelassen werden, sollte aber auch kein Anlass sein, Innovationen zu stoppen. Im Fertigungssektor ergeben sich große Chancen, mit Technologien zur Rationalisierung der Produktion, bei gleichzeitiger Kosteneinsparung, höherer Qualität und durchgehender Transparenz. Das industrielle Internet of Things (IIoT) kann Unternehmen eine Fülle von Möglichkeiten eröffnen.

Beispielsweise können die Sensoren von Produktionsmaschinen einen stetigen Fluss an Informationen liefern, der mit der richtigen Auswertungssoftware Rückschluss darüber gibt, wann eine Wartung der Maschine notwendig ist (Predictive Maintenance). Darüber hinaus bewirkt eine Vernetzung innerhalb des Betriebs eine Unabhängigkeit vom Arbeitsplatz. Viele Maschinen sind bereits über das Internet steuerbar, womit ihre Bedienung nicht mehr an die Anwesenheit in der Produktionsstätte gebunden ist.

„Das S in IoT steht für Sicherheit“

Dieser unter Informatikern verbreitete Scherz hat einen wahren Kern. Die Vision der Industrie 4.0 wurde auf alten Sicherheitsprotokollen aufgebaut, ohne groß Gedanken an die Schattenseiten der globalen Vernetzung zu verschwenden. Mit den Vorstellungen von einst lässt sich eine vernetzte, ständig veränderliche Umgebung aber nicht schützen. Sicherheitsmechanismen von OT-Geräten werden selten aktualisiert, um den laufenden Betrieb nicht einzuschränken. Eine Aktualisierung dieser Sicherheitsmechanismen fällt daher schwer.

IT trifft OT – eine folgenreiche Begegnung

Unsicher vernetzt

IT trifft OT – eine folgenreiche Begegnung

06.08.18 - Systeme der Industriellen Betriebstechnik (OT-Systeme) können durch Cyberangriffe auf traditionelle Informationstechnologie (IT) beeinträchtigt werden. Besonders risikobehaftet sind dabei schlecht programmierte Mensch-Maschine-Schnittstellen. lesen

Oft handelt es sich sogar noch um die Betriebs- und Sicherheitssysteme, die bereits bei Inbetriebnahme der Maschinen installiert waren. Für OT-Abteilungen ist es von größter Wichtigkeit, dass die Maschinen ohne Unterbrechung laufen, um die Produktion und damit den Umsatz zu gewährleisten. Für die IT steht die Sicherheit und die Integrität des Unternehmensnetzwerks im Vordergrund.

Bei Industrie-4.0-Projekten sollte bereits zu Beginn auf die Sicherheit geachtet werden, um sowohl vor Angriffen geschützt zu sein als auch die Produktion zu gewährleisten. Hier eine kleine Checkliste, die dabei helfen kann:

  • 1. Risiken einschätzen: Risikobewertungen sind unerlässlich, wenn im Unternehmen eine neue Technologie eingeführt wird. Bei solchen Bewertungen sollten alle Kontaktpunkte berücksichtigt werden, die Passwörter, Mitarbeiterzugriffe, Datenbewegungen, die Sicherheit bei den Anbietern etc.
  • 2. Von Grund auf sicher planen: Die Sicherheit des Unternehmensnetzwerks sollte von Anfang an eine hohe Priorität haben. Deshalb ist es hilfreich, bei der Installation von OT-Geräten schon mögliche Aktualisierungen der Sicherheitsmechanismen im Hinterkopf zu haben.
  • 3. Die richtigen Security-Anbieter für Ihr Unternehmen wählen: Es ist wichtig, Anbieter und deren Produkten vertrauen zu können. Ein Anbieter sollte vollständige Systeminformationen zur Verfügung stellen, einschließlich solcher zur Sicherheit, und alle Probleme oder Anfragen effizient und kompetent bearbeiten.
  • 4. Gute Verschlüsselung gewährleisten: Eine Lösung sollte stets sicher sein. Die Daten müssen durchgängig verschlüsselt werden.
  • 5. So einfach wie möglich: „Minimaler Kontakt“ ist die beste Devise für sicheren Netzwerkverkehr. Das könnte zum Beispiel bedeuten, dass Daten nur einseitig statt wechselseitig übertragen werden und der Zugriff auf interne Netzwerke vermieden wird. Viele Unternehmen trennen auch die im Betrieb befindlichen Maschinen von den internen IT-Netzwerken. Weniger Kontakt sollte stets angestrebt werden. Wenn das Vertrauen in die Sicherheitsmaßnahmen wächst und neue Chancen genutzt werden sollen, kann er immer noch ausgeweitet werden.
  • 6. Das Projekt-Potenzial im Auge behalten: Die potenziellen Chancen eines Projekts tun sich nur auf, wenn die Freiheit nicht zu sehr beschnitten wird. Sicherheit ist unerlässlich, doch gleichzeitig ist es wichtig, die Innovation nicht zu behindern.
  • 7. Einen Krisenmanagementplan aufstellen: Wenn es tatsächlich zu einem Angriff kommt, muss jeder wissen, wie er zu reagieren hat. Nur so ist es möglich, die Bedrohung schnell einzudämmen und zu beseitigen, damit die Auswirkungen auf das Tagesgeschäft minimiert werden.
  • 8. Die Sicherheit laufend überprüfen: Sicherheit ist keine einmalige Angelegenheit. Konsens ist, dass Passwörter regelmäßig geändert werden sollten – und das ist nur ein Teil Ihrer Sicherheitsstrategie. Bedrohungen wird es immer geben, und die Angriffsarten verändern und entwickeln sich laufend. Deshalb müssen Unternehmen auch ihre Sicherheitsmaßnahmen ständig anpassen.

Sicher(er) mit Security by Design

Sicherheit ist für jedes Unternehmen ein wichtiges Thema und wenn ein Industrie-4.0-Projekt von Grund auf sicher entwickelt wird, ist es besser geschützt, als wenn einfach nur eine Drittanbieter-Software im Netzwerk installiert wird. Zu einer vorausschauenden Planung gehört, dass Risikobewertungen durchgeführt, Zugriffe von außen auf interne Netzwerke vermieden werden, Verschlüsselung gewährleistet ist und stets nach dem Grundsatz „minimaler Kontakt“ verfahren wird.

Auf diese Weise können die Risiken und die Innovationschancen von Industrie 4.0-Projekten in ein ausgewogenes Verhältnis gebracht werden.

Robert Russell ist CEO und Gründer von Senseye. Die Softwarelösung für die vorausschauende Wartung erfasst Maschinenzustands- und Betriebsdaten z.B. aus der IoT-Middleware, ohne dass zusätzliche Hardware benötigt wird.
Robert Russell ist CEO und Gründer von Senseye. Die Softwarelösung für die vorausschauende Wartung erfasst Maschinenzustands- und Betriebsdaten z.B. aus der IoT-Middleware, ohne dass zusätzliche Hardware benötigt wird. (Bild: Senseye)

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45632264 / Praxis)