com!-Academy-Banner
Udo Schneider, Trend Micro

Diese Risiken birgt das IIoT

Udo Schneider, Trend Micro
Foto: Trend Micro
Im Industrial IoT (IIoT) werden Produktionsanlagen direkt miteinander und der Cloud verbunden. Das erfordert gänzlich neue Sicherheitsrichtlinien, wie Udo Schneider von Trend Micro erläutert.
Udo Schneider, Security Evangelist DACH bei der Trend Micro Deutschland GmbH, kennt die Sicherheitsprodukte im IIoT-Umfeld sowohl aus der technischen wie aus der Business-­Perspektive. Mit com! professional spricht er darüber, was es für die Sicherheit bedeutet, wenn Maschinen, Produktionsstraßen und fast alle anderen Geräte über ein Netzwerk oder über Cloud und Internet miteinander „sprechen“ können.
com! professional: Die Vernetzung der Geräte ist für die Industrie ja eigentlich nichts Neues – Maschinen werden schon lange ferngesteuert und auch Techniken wie Fernwartung sind hier gang und gäbe. Bleibt also die Frage, wie man Industrial IoT am besten definiert? Gibt es eine griffige, allgemein akzeptierte Definition?
Udo Schneider: Nein, eine allgemeingültige Definition für IIoT gibt es nicht – aber man kann es vielleicht ein wenig an den Geräteklassen beziehungsweise an der jeweiligen „Selbstständigkeit“ der Geräte festmachen. Wenn ich einen Blick auf den klassischen Aufbau in der Industrie werfe, dann gibt es dort die Automationspyramide. Dabei besteht der klassische Aufbau beispielsweise aus einem Motor, der über einen Feldbus an einer SPS (speicherprogrammierbare Steuerung) hängt, die wiederum über einen Feldbus oder ein Netzwerk an einem Scada-System (Supervisory Control and Data Acquisition) hängt. Das sind also in der Regel mindestens drei getrennte Systeme. Erst dahinter wird dann vielleicht ein HMI-System (Human Machine Interface) angeschlossen, das dann beispielsweise die Drehzahl auf einem Windows-Rechner anzeigt.
Bei den Geräten des Industrial Internet of Things wiederum steckt die „Intelligenz“ häufig schon direkt in den Geräten und die Bereitstellung der Benutzerschnittstelle geschieht bereits auf dem Gerät, also beispielsweise auf dem Motor.
Durch mehr Intelligenz auf dem Gerät sind diese modernen Systeme natürlich auch deutlich flexibler einsetzbar. Zudem muss ich in diesen Fall nicht mehr die gesamte Infrastruktur mitschleppen, da viele ihrer Teile direkt auf den Geräten repliziert werden. Der grundsätzliche Ansatz dabei ist: Auf der einen Seite ist der Aktor/Sensor, auf der anderen Seite das Internet – alles was dazwischenliegt, erledigt das Gerät. So kann man meiner Meinung nach IIoT-Geräte gut von der klassischen Industrievernetzung abgrenzen, bei der es immer sauber getrennte Layer gibt.
com! professional: Ist IIoT also eigentlich nur ein neues Label für die bekannten SPS-/Scada-Systeme?
Schneider: Die neue Sichtweise ist definitiv weitaus IT-näher als der klassische Industrieaufbau. Man kann da zwar sicher auch CPUs und RAM in den SPS-Geräten finden – sie haben trotzdem aber kaum etwas mit der klassischen IT zu tun. Aus IT-Sicht wird hier erst der Scada-HMI-Layer interessant, wo dann auch klassische Windows-Systeme anzutreffen sind.
com! professional: Bedeutet das dann, dass wir uns die typischen Sicherheitsprobleme erst mit der weitergehenden Integration der IT beim IIoT ins Haus holen?
Schneider: Ja, die typischen IT-Sicherheitsprobleme holen wir uns erst mit diesem Schritt rein. Denn aus Sicht der klassischen Industrie ist es einfach so, dass ich einen Aktor/Sensor nur physikalisch kompromittieren kann. Zwar sind die heute eingesetzten SPS-Systeme schon deutlich komplexer als früher, aber auch an die komme ich im Normalfall über IT-Systeme nicht wirklich heran.
Was aber heute schon häufiger passiert: Man fängt an, diese SPS-Systeme mit Modulen zu erweitern, beispielsweise mit einem Modul, das Ethernet beziehungsweise TCP/IP „spricht“. So kann ich dann aus meinem Office-Netzwerk direkt die SPS programmieren, ohne dass ich vor Ort sein muss.
Das sind zwar noch keine echten Gateways, sondern von der Funktionalität her eher Umsetzer von modernem Netzwerk auf alte serielle Verbindungen. Sie sind aber in der Regel sperrangelweit offen und waren nie dafür gedacht, dass sie mit dem Internet verbunden sind. Wer sich ein wenig mit speziellen Such­maschinen wie Shodan umschaut, findet solche SPS-Systeme mit einem offenen Programmierbus über die ganze Welt verteilt – auch in sicherheitskritischen Einrichtungen der Industrie wie in Kraftwerken. Wenn Unternehmen dort also ein Modul zur Fernwartung dranhängen und es nicht schützen, dann ist dort das Problem. Das weist dann auch schon in die Richtung IT.
com! professional: Das sehen Sie dann also noch nicht als Sicherheitsproblem an, das durch IIoT-Einsatz verursacht ist?
Schneider: Erst wenn ich eine Ebene höher gehe, also zu den Scada- und Industrial-Control-Überwachungssystemen (ICS), finde ich Linux- und/oder Windows-Server. Auf denen läuft dann ein Apache- oder IIS-Server für die Windows-Oberfläche und eine Datenbank-Software, die das eigentliche ICS-System steuert. An dieser Stelle sind wir dann ganz klassisch in der IT-Welt. Solche Geräte wurden zumeist vor 20 Jahren aufgestellt und entsprechend abgenommen und die rührt niemand mehr an.
com! professional: Dort läuft dann in der Regel auch keinerlei Sicherheits-Software?
Schneider: Nein, an diesem Punkt kommt in der Industrie der sehr wichtige Aspekt „Security versus Safety“ ins Spiel. Das heißt, das System wird einmal abgenommen vom Hersteller und kann dann auch nicht mehr verändert werden. Hier müssen wir aus IT-Sicht noch umlernen. Viele dieser Maschinen sind Safety-relevant, beispielsweise insofern, als eine Maschine dem Benutzer nicht den Arm abreißt, wenn er versehentlich reingreift. Da hier auch der Gesetzgeber streng reagiert, werden bei diesen Maschinen Safety-Evaluierungen durchgeführt.
Ein solcher Risikobewertungsprozess ist irgendwann mal abgeschlossen. Ich habe dann ein abgenommenes System, für das auch jemand unterschreibt. Wenn ich danach irgendetwas an dem System ändere – und sei es, indem ich eine Antiviren-Software aufspiele –, bin ich aus der Haftung raus. Das System müsste neu abgenommen werden. Und das ist der Grund: Die Firma darf das System nicht ändern, weil sie damit vielleicht Safety-Regularien ändern würde.
com! professional: Aber ändert sich das nicht langsam?
Schneider: Wir sind uns aktuell in Deutschland, was IIoT und Se­curity angeht, ein bisschen uneins: Es gibt gute Rahmenwerke, es gibt gute Forschungsgruppen und Arbeiten, aber es existiert eben nichts, was bindend oder verpflichtend wäre – eine Art Best Prac­tice fehlt. Auf diese Art fängt jeder an, so ein bisschen sein eigenes Süppchen zu kochen. Ein Rahmenwerk wäre zum Beispiel RAMI, was für Referenzarchitekturmodell Industrie 4.0 [PDF] steht. Diese Bestrebungen sind da und werden auch vorangetrieben, man muss sie aber erst wirklich durchsetzen.
Es treffen meiner Meinung nach auch zwei Lager aufeinander: die klassischen IT-Security-Anbieter, die mit der klassischen Angst- und Panikmache kommen – das ist es, was man normalerweise sieht – und auf der anderen Seite die fehlende Übersetzung „Was bedeutet das denn eigentlich für die Produktion?“ An dieser Stelle sehe ich eine große Herausforderung für die IT: Es ist unsere Aufgabe als IT-Menschen, zu verstehen, was die Produktion überhaupt will und benötigt.
com! professional: Ist das denn nur Panikmache?
Schneider: Nun, diese „Angst-Marketingmasche“, das kann die
IT-Security sehr gut. Wir verkaufen es immer ganz gern als Aufklärung – aber das kommt beim Empfänger im Industriebereich häufig anders an: „Mein Hochofen ist mit dem Internet verbunden. Ja gut, aber wo ist das Problem?“
com! professional: Im Consumer-Bereich gebe ich im Zweifelsfall dem Anwender einfach eine „Off-the-shelf“-Lösung mit dem Kommentar, wenn du das installierst, dann bist du erst einmal ziemlich gut abgesichert. Im Industriebereich kann man so aber wohl kaum vorgehen.
Schneider: Genau, ein derartiges Produkt gibt es (leider) nicht. Was es aber gibt, sind Lösungen, die diese Problematik adressieren. Die zeigen, wie ich so ein System aufbaue, oder Fragen klären wie „Muss denn mein System unbedingt offen am Internet sein oder wäre es nicht sinnvoller, es hinter ein VPN zu setzen?“ – das sind dann rein infrastrukturelle Lösungen.
com! professional: Können Sie uns ein Beispiel geben?
Schneider: Ja, auch wenn das sicher keine Lösung für alle Fälle ist: Alte Hardware muss zwangsläufig irgendwann ersetzt werden. So kann dann eine Scada-Software, die bisher unter Windows 2000 auf einer mehr als zehn Jahre alten Hardware lief, auf einer neuen aktuellen Hardware innerhalb einer virtuellen Maschine betrieben werden. Und sobald ich im Bereich Virtualisierung bin, kann ich auch mit ganz anderen Schutzmechanismen arbeiten. Ich fasse dabei das eigentliche Scada-System gar nicht an, kann aber eine Firewall/Sicherheitslösung auf Netzwerk- oder Hyper­visor-Ebene einsetzen.
Ich kann also sicher etwas für die Sicherheit tun. Es gibt nur nicht ein „Industrie-Sicherheitsprodukt 3.0“, das ich einfach so in­stallieren kann. Ich muss im Grunde genommen meine Sicherheit aus bestehenden Technologien, Lösungen und infrastrukturellen Entscheidungen aufbauen.
com! professional: Das bedeutet doch auch: Ohne entsprechendes Consulting geht da gar nichts?
Schneider: Genau – entweder ich schaffe mir das Wissen selber an, was ich für sinnfrei halte, wenn meine Expertise „Wie baue ich Produktionsstraßen und/oder Maschinen“ heißt – oder ich greife auf Consulting beziehungsweise auf ein erfahrenes Systemhaus zurück.
Bei solchen Consultingfirmen gibt es dann diejenigen, die klassisch aus dem Industriebereich kommen, und es gibt genauso gut Consultingfirmen beziehungsweise Systemhäuser aus dem IT-Bereich, die sich den „Industrie-Sprech“ angeeignet haben, die also das Verständnis für die Industrie und ihre Probleme besitzen. Firmen müssen sich als zunächst einmal die Frage stellen, was passt besser zu mir.
Verwandte Themen