Cad.de Newsletter
Maschinen am Internet:

Überlegungen zur IT/OT-Sicherheit



Die Cyber Sicherheit beschäftigt derzeit viele Köpfe. So auch das Sicherheitsnetzwerk München - ein Zusammenschluss von  140 IT-Sicherheitsunternehmen sowie Forschungseinrichtungen im Großraum München. Dessen Arbeitskreis, Sichere Industrie 4.0, erarbeitete ein Whitepaper "Anforderungen für die IT/OT-Sicherheit bei Planung und Betrieb von Industrie 4.0 Anlagen", um Anlagenplanern, besonders aber -betreibern bei diesem wichtigen Thema zu helfen. Der Leiter des Arbeitskreises Thomas Trägler, im Hauptberuf Geschäftsführer des Unternehmens Software Factory (SF), gab dem CAD.de/NL das folgende Interview.

CAD.de/NL: Herr Trägler, wer oder was ist das Sicherheitsnetzwerk München?
Trägler: Das Sicherheitsnetzwerk München ist ein Zusammenschluss von IT-Sicherheitsunternehmen sowie Forschungseinrichtungen im Großraum München und beschäftigt sich mit Cyber Security. Es wurde vor sieben Jahren als Förderprojekt des bayerischen Wirtschaftsministeriums ins Leben gerufen und ist aktuell als Projekt am Zentrum Digitalisierung.Bayern in die Themenplattform Cyber Security angegliedert. Im Januar 2019 wurde daraus der gemeinnützige Verein "Sicherheitsnetzwerk München e. V." Innerhalb des Sicherheitsnetzwerks gibt es verschiedene Arbeitskreise und Arbeitsgruppen, die sicherheitsrelevante Themen bearbeiten.

In unserem Arbeitskreis Sichere Industrie 4.0 haben wir uns auf die Produktion fokussiert, und zwar auf die diskrete Fertigung. Ich habe die Leitung dieses Arbeitskreises gerne übernommen, weil wir uns bei SF ebenfalls viel mit dem Fertigungsthema befassen, und insofern passt es auch. Wer heute Anlagen entwickelt, plant und aufbaut, kommt an dem Thema Cyber Sicherheit nicht mehr vorbei. Die zunehmende Vernetzung von Fabriken, Maschinen, Produkten und Prozessen erfordert es einfach.


Produktionsnetzwerk mit abgetrenntem Sicherheitsbereich. Werkbild SF

Wer hat außer SF noch mitgemacht?
Das schon angesprochene White Paper wurde von den Firmen Bihler, Felss, gt München und ZF  sowie Fraunhofer ESK und eben unserem Unternehmen erarbeitet.

Es steht auf der SF Webseite zum Herunterladen bereit.

Was ist denn in den Augen des Arbeitskreises eine 4.0 Anlage?
Eine 4.0 Anlage gibt es meiner Meinung nach nicht. Wir im Arbeitskreis haben gesagt, wir wollen diesen Schritt einmal gehen von der Basis 3.0, 3.1, 3.2... aus.

Wenn jemand auf der grünen Wiese eine neue 4.0 Anlage entwickeln und bauen würde, dann wäre das Ganze einfacher. Aber in der Realität hat jeder Anlagenbauer Komponenten, die einfach schon existieren, verbaut, Komponenten, Subsysteme etc. und darum wird man eine 100%ige 4.0-Anlage nicht finden. Und wir haben versucht, den Spagat nicht zu groß werden zu lassen, sondern diesen mittelständischen Anlagenbauern, Betreibern und Systemintegratoren einen Leitfaden oder wenigstens ein paar Ideen an die Hand zu geben, die helfen sollen mit dem Thema Cyber Security zu starten.

Also keine fertigen Lösungskonzepte
Nein, wir wollten keine fertigen Lösungskonzepte liefern, die wären auch sehr vielfältig, sondern wir wollen Anstöße geben, die dann helfen sollen, individuelle Lösungen im Einzelfall zu erarbeiten.
Das wurde in Fragen und Antworten aufgebaut, die praxisrelevant sind und fallspezifisch umgesetzt werden können. Also, wenn diese und jene Fragestellung bei Dir ein Thema ist, dann solltest Du auf jene Punkte schauen. Und nicht, wenn dieses oder jenes ein Thema bei Dir ist, dann ist das die Lösung.


Segmentierte Produktionsnetze. Werkbild SF

Einzelmaßnahmen sind ja schon länger realisiert worden. Solcherart, das man z. B, einen Netzwerkanschluss nur aktiv schaltet, wenn jemand wirklich auf die Steuerung schauen will und muss. Aber eine vorausschauende Wartung durch Zustandsüberwachung ist damit kaum zu machen. Das gleiche gilt für eine permanente Maschinenüberwachung, mit dem Ziel der Einsatzoptimierung.
Es ist immer die Frage, was ist technisch machbar und was ist kommerziell vernünftig?
Bei vernetzten Umgebungen über Unternehmensgrenzen hinaus will ein Bearbeiter eines Anlagenbauers z.B. wissen, was für eine Komponente verbaue ich denn da und holt sich die entsprechenden Produktions- oder Qualitätsdaten übers Internet. Aber das muss eben geschützt passieren.

Welches sind nun die Kernaussagen dessen, was Sie erarbeitet haben?
Wie schon gesagt, wir liefern in unserem White Paper keine fertigen Konzepte oder gar Rezepte, an die man sich dann halten muss, sondern wir liefern Ideen.

Es gibt ja zwei Seiten in der Cyber-Kriminalität: Den "Informationsklau" und den willentlichen Schaden, den man einer Anlage zufügt. Was steht bei Ihrem Whitepaper im Mittelpunkt?
Ganz wesentlich ist natürlich die Beschädigung einer Anlage von außen. Wenn es Angreifern gelingt, z. B. die Festplatten zu verschlüsseln, endet die Produktion an der Stelle. Und die meisten Betreiber haben heute keine Notfallpläne: "Was tue ich, wenn's passiert ist? Wo ist meine Software, was muss ich tun, um das System mit welcher Version und Konfiguration neu aufzusetzen...“
Also Cyber-Security nur auf den Diebstahl von Informationen zu verkürzen, wäre zu kurz gesprungen.

Noch kritischer als bei Maschinen wird es ja bei Autos und Fahrzeugen aller Art, wenn die angegriffen werden und Dinge tun, die sie normal nicht tun dürfen…
Aber wieder zurück zur Produktion. Kann man eine im Betrieb befindliche vernetzte Anlage wirklich schützen?

Hier muss ich mit einem klaren "Jein" antworten. Einen 100%igen Schutz gibt es nicht. Was man technisch machen kann ist das eine, aber es spielt ja überall auch der Faktor Mensch eine Rolle und Menschen machen Fehler.
Es gibt z. B. die Möglichkeit, die besonders schützenswerten Anlagenteile zu definieren und die dann besonders im Fokus zu haben, Stichwort: Netzsegmentierung. Klassisch sind  heute Anlagenenetze nicht segmentiert. Das gesamte Netz hat einen Adressraum in dem alle Komponenten hängen.
Wenn man nun anfängt, das Netz zu segmentieren und die Übergänge zu kontrollieren, dann kann man feststellen, was dort überhaupt vor sich geht und es kann z. B. eingeschränkt werden, wer mit einem besonders schützenswerten Segment sprechen kann, welche Protokolle hier überhaupt passieren dürfen. Und das Segment ist dann nicht für alles offen.
Bei einem segmentierten Netz ist es auch leichter zu sagen, welche Anlagenteile ein besonderes Risiko darstellen, z.B. aufgrund veralteter Software-Stände und man kann dieses Segment dann isolieren oder abschalten, wenn ein Angriff auf die Anlage festgestellt wird. Also es gibt schon Möglichkeiten, wenn man bereit ist, die entsprechenden Aufwände zu akzeptieren.

Wie bekommt jetzt der "normale", sich nicht im Arbeitskreis befindliche Betrieb das nötige Wissen?
Es ist einmal das White Paper, das sich jeder herunterladen kann. Interessierte Firmen können aber auch gerne des Arbeitskreises werden. Es sind besonders Maschinen- und Anlagenbauer, Systemintegratoren und Betreiber, die uns herzlich willkommen sind. Wir starten in diesen Tagen auch wieder mit neuen Themen, so dass sich die Kontaktaufnahme für beide Seiten lohnt. Es gibt diverse Themen, wie z. B. der Schutz der Entwicklungsumgebung, was gerade für Nutzer von CAD.de besonders interessant sein dürfte.

Kurz noch zu Ihrem Unternehmen selbst:
Steigen Sie jetzt auch als SF tiefer in dieses Thema ein? Wollen Sie Dienstleistungen oder gar Produkte anbieten?
Nachdem wir Software für die Produktion machen, ist das natürlich unser ureigenes Thema. Wir wollen natürlich sichere Produktionslösungen entwickeln. Weiterhin ist es wichtig, dass man alle Partner, die in so einem Produktionsumfeld vorkommen, zusammen bringt, weil jeder von dem anderen lernen kann. Das ist auch der Grund, warum eine Firma Felss weiter in unserem Arbeitskreis aktiv ist, eben dieser gegenseitige Lerneffekt, und das motiviert auch uns.
Erwähnen möchte ich auch noch, dass aus dem Arbeitskreis heraus ein Forschungsprojekt entstanden ist, namens APOLI: Wie kann man automatisiert und sicher Kommunikationsverbindungen herstellen zwischen Produktionspartnern? Neben dem Fraunhofer ESK, waren die Firmen Bihler und Felss als Industriepartner dabei. Untersucht wurde das Ganze am konkreten Anwendungsfall Fernwartung.


Thomas Trägler, Geschäftsführer des Unternehmens Software Factory (SF) und
Leiter Arbeitskreis, Sichere Industrie 4.0.


Brauchen die Firmen neues Personal, um die Herausforderungen bewältigen zu können?
Ich zitiere hier eine Aussage von ZF, dass Sie durchaus neues Personal suchen, nur bekommen sie es nicht. Die großen Automobilhersteller "saugen" den gesamten Markt ab, um die Sicherheit für Automobile in einer vernetzten Welt sicherzustellen. Da zu arbeiten ist natürlich schicker als im Umfeld von Maschinen und Anlagen und dann noch in einem 3-Schichtbetrieb.

Herr Trägler, vielen Dank für das Gespräch.

Über SF GmbH
Software Factory steht seit ihrer Gründung 1992 für die Digitalisierung und Vernetzung von der Produktentwicklung über Lifecycle Management bis hin zu Produktion und Service. Wir unterstützen unsere Kunden bei ihrer digitalen Transformation und ihrem Weg zum digitalen, vernetzten und zukunftsfähigen Unternehmen. Digitaler Wandel bedeutet Geschwindigkeit, weniger über das Produkt und dessen Perfektionierung nachzudenken, sondern mehr darüber wie es dem Kunden nutzt, wie es benutzt wird, was es kann und was es morgen können muss. Der Kunde und dessen Nutzen müssen im Mittelpunkt der digitalen Transformation stehen, das ist der kritische Faktor.

https://www.sf.com/
https://it-security-munich.net

- Karl Obermann –

Anzeige: