IT Security für die Prozessindustrie
Was ändert sich durch Industrie 4.0?
Seit drei Jahren wird intensiv über Industrie 4.0 gesprochen, geplant, vorbereitet. Stand zunächst die technische Machbarkeit im Vordergrund der Diskussionen, kommen jetzt „weiche Faktoren" wie die Bedeutung von Industrie 4.0 für die Beschäftigten oder Fragen der IT Security bei der mit Industrie 4.0 verbundenen allumfassenden Vernetzung. CHEManager sprach zu diesen Themen mit Prof. Dr. Karl-Heinz Niemann, der an der Hochschule Hannover Prozessinformatik und Automatisierungstechnik lehrt. Das Gespräch führte Dr. Volker Oestreich.
CHEManager: Herr Prof. Niemann, Sie unterrichten im Schwerpunkt die Automatisierung von Anlagen der Prozessindustrie. Sehen Sie schon einen Einfluss von Industrie 4.0 auf diesem Gebiet?
Prof. Dr. Karl-Heinz Niemann: Die Prozessindustrie ist, aus gutem Grund, eher vorsichtig in Bezug auf neue Technologien und neue technischen Trends. Dennoch sind auch schon heute verschiedene Industrie 4.0 Konzepte in der Prozessindustrie zu erkennen. Themen wie vertikale und horizontale Integration, durchgängiges Engineering, Modularisierung und IT-Sicherheit haben in der Prozessindustrie eine Relevanz. Ob diese Themen nun auch ohne Industrie 4.0 gekommen werden, steht auf einem anderen Blatt. Auf der vergangenen NAMUR-Hauptversammlung konnte man gut erkennen, dass auch in der Prozessindustrie ein technologischer Wandel eingeleitet wird.
Wandel bedeutet ja auch, dass man die Mitarbeiter mitnehmen muss und dass junge Arbeitskräfte auf die neuen Gegebenheiten vorbereitet werden. Ist Industrie 4.0 bei Ihren Studierenden schon angekommen?
Prof. K-H. Niemann: Ich habe in meine Vorlesung „Integrierte Automation" das Thema Industrie 4.0 integriert, so dass ich meinen Studierenden einen ersten Einblick vermitteln kann. Die Dynamik der Entwicklung führt jedoch dazu, dass ich im Moment jedes Semester die Inhalte überarbeiten muss. Das wird wohl auch noch eine Weile so bleiben. Trotzdem halte ich es für wichtig, unsere Studierenden schon jetzt an das Thema heranführen.
Die mit Industrie 4.0 verbundene allumfassende Vernetzung erfordert neue Konzepte für die Cyber Security.
Prof. K-H. Niemann: Richtig. Zunächst muss ich festhalten, dass die IT-Sicherheit für Industrie 3.0 genauso relevant ist wie für Industrie 4.0. In diesem Kontext zeichnet sich aber ein Paradigmenwechsel ab. Industrie 4.0 wird in Bezug auf die IT-Sicherheit neue Ansätze erforderlich machen, die so bisher noch nicht zum Einsatz kommen.
Wo sehen Sie die Unterschiede?
Prof. K-H. Niemann: Die heutige Vorgehensweise basiert im Allgemeinen auf einer Abschottung der Automatisierungsanlage. Man geht davon aus, dass die Bedrohung von außen kommt, was ja auch grundsätzlich stimmt. Innerhalb des Automatisierungsnetzwerkes erfolgt dann eine ungeschützte Kommunikation. Das heißt, dass jeder, der physischen Zugang zum Netzwerk hat, die Kommunikation beeinflussen kann.
Wenn ein Angreifer physischen Zugang zum Netzwerk hat, kann er doch auch den Stecker herausziehen? Dagegen hilft doch die beste IT-Sicherheit nichts.
Prof. K-H. Niemann: Das ist grundsätzlich richtig. In einem solchen Fall, würde man das „Ziehen des Steckers" relativ schnell bemerken und entsprechende Gegenmaßnahmen einleiten können. Zudem würde die Anlage wahrscheinlich beim Ziehen des Steckers in den sicheren Zustand gebracht. Subtiler ist das Problem, wenn ein Angreifer den Netzwerkverkehr manipuliert, aber nicht vollständig zum Erliegen bringt. Hier könnte man zum Beispiel Nachrichtenpakete so verfälschen, dass der Betrieb gestört wird, das Problem jedoch nicht sofort offensichtlich wird. In dem Moment, wo ich einen Zugang zum Netzwerk habe, bin ich über verschiedene Angriffsmethoden in der Lage, den Netzwerkverkehr zu beeinflussen.
Man kann doch den Zugang zum Netzwerk beschränken, indem man ungenutzte Ports an Switches abschaltet.
Prof. K-H. Niemann: Das ist zwar grundsätzlich möglich, die Praxis zeigt jedoch, dass diese Möglichkeit, gerade bei großen Anlagen, in der Regel aus Aufwandsgründen nicht oder nur wenig genutzt wird. Mit der zunehmenden Vernetzung, wie sie im Kontext von Industrie 4.0 stattfinden wird, wird sich dieses Problem der Zugangsüberwachung noch weiter verschärfen. Hier sind Konzepte erforderlich, die den Zugang zum Netzwerk ohne manuellen Konfigurationsaufwand automatisch reglementieren. Jedes Gerät, welches an der Kommunikation eines Automatisierungsnetzwerkes teilnehmen möchte, muss ich authentifizieren, also den Nachweis erbringen, dass es ein zugelassener Teilnehmer ist. Das Gerät benötigt einen eindeutigen und fälschungssicheren Identitätsnachweis. Bei solch einem Vorgehen kann man auf Konzepte der Office-IT zurückgreifen und mit Zertifikaten arbeiten. Das Gerät erhält damit eine sichere, digitale Identität, die es zur Teilnahme an der Kommunikation autorisiert.
Was ist neben der Authentifizierung noch zu tun, um zu einer sicheren Kommunikation zu gelangen? Muss man in Zukunft verschlüsseln?
Prof. K-H. Niemann: Die Frage nach der Verschlüsselung wird mir häufig gestellt. Bevor man diese Frage beantwortet, muss man sich erst einmal darüber klar werden, welche Schutzziele man adressieren muss. Zunächst will ich erst einmal erreichen, dass ein Nachrichtenpaket unverfälscht seinen Empfänger erreicht. Das ist das Schutzziel der Integrität. Eine Verschlüsselung zielt auf das Schutzziel der Vertraulichkeit, also z.B. der Bewahrung von Firmengeheimnissen. In der Diskussion mit verschiedenen Anwendern hat sich herausgestellt, dass in der Regel das Ziel der Integrität und weniger das Ziel der Vertraulichkeit im Vordergrund steht. Vertraulichkeit ist nur dann von Interesse, wenn z. B. geheime Rezepturen über das Automatisierungsnetzwerk versandt werden. Die Integrität kann ich dadurch sicherstellen, dass ich an die Nachricht eine kryptografische Prüfsumme anhänge. Diese wird unter Nutzung eines Schlüssels berechnet. Der Empfänger prüft unter Nutzung des gleichen Schlüssels, ob die Prüfsumme korrekt ist. Da ein Angreifer nicht im Besitz des Schlüssels ist, kann er keine Nachdichtenpakete mehr verfälschen. In dem Moment, wo ein Angreifer ein Datenpaket verfälscht, wird das durch die kryptografische Prüfsumme aufgedeckt.
Wie kommen diese Prüfsummen-Schlüssel in die Geräte?
Prof. K-H. Niemann: Auch hier können wir auf bekannte Verfahren aus dem Office-Bereich zurückgreifen. Man kann beispielsweise über ein mehrstufiges Verfahren einen Schlüsselaustausch so organisieren, dass dieser nicht im Klartext über das Netzwerk übertragen wird. Das erfordert beim Aufbau der Verbindung einige hundert Millisekunden Zeit. Danach kann man gesichert und in Echtzeit kommunizieren. In dem Forschungsprojekt SEC_PRO haben wir einen IT-Security-Layer für ein Industrial-Ethernet-Protokoll entwickelt und konnten nachweisen, dass man selbst auf ressourcenbeschränkten Plattformen wie zum Beispiel Remote I/O-Systemen mit Zykluszeiten bis hinunter auf 1 ms gesichert Prozessdaten austauschen kann.
Was wird aus IT-Sicherheitssicht neben den Schutzzielen Authentifizierung, sichere digitale Identität und Integrität noch für Industrie 4.0 in der Prozessindustrie benötigt?
Prof. K-H. Niemann: Die drei von Ihnen genannten Kriterien bilden zunächst das Grundgerüst, auf dem weitere Anforderungen aufbauen. Zukünftig rechnen wir mit einem höheren Grad an Ad-Hoc-Kommunikation und selbstaufbauenden Netzwerken. Es empfiehlt sich den Sicherheitsstatus des Netzwerkes kontinuierlich zu überwachen und ggf. Alarme daraus abzuleiten. Das Konzept muss so flexibel sein, dass es sich auch an künftige Anforderungen anpassen lässt und muss auch bei einer Kommunikation über Unternehmensgrenzen hinaus wirksam sein. Unter bestimmten Umständen kommen hochverfügbare Systeme zum Einsatz. Ein IT-Sicherheitskonzept sollte diesem Umstand Rechnung tragen. Dann ist da noch die lange Lebensdauer verfahrenstechnischer Anlagen. Es wird sicher ein Ansatz verfolgt werden müssen, der ein Nachrüsten von Funktionalität im Lebenszyklus der Anlage gestattet.
Das klingt relativ komplex und aufwändig. Ist dieser Aufwand überhaupt vertretbar?
Prof. K-H. Niemann: Die Quantifizierung des Nutzens von Schutzmaßnahmen ist natürlich schwierig, da ja die Bedrohung eher als abstrakt bezogen wird. Die Ergebnisse der Cyber-Sicherheits-Umfrage 2014 des BSI sprechen da eine klare Sprache. Von den 257 befragten Mitarbeitern sagten immerhin 56,4% aus, dass ihre Unternehmen im Zeitraum von 2012 bis heute Opfer von Cyber-Angriffen waren. Seit Juni dieses Jahres ist mit Havex erstmalig eine Schadsoftware beschrieben worden, welche OPC-Server kompromittiert.
Ich denke, dass wir in Bezug auf Aufwand und Kosten eine ähnliche Situation haben wie in der Vergangenheit bei der Einführung von sicherheitsgerichteten Systemen. So lange kein Unfall passiert, benötigt man eigentlich keine Sicherheitssysteme. Trotzdem schreibt der Gesetzgeber den Einsatz solcher Systeme zum Personenschutz vor. Ich erwarte, dass der Gesetzgeber früher oder später auch im Bereich der IT-Sicherheit zu entsprechenden Regelungen kommen wird, auch wenn hier eher Assets und weniger Personen geschützt werden. Der Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gibt einen ersten Eindruck, in welche Richtung hier für die kritischen Infrastrukturen seitens des Gesetzgebers gedacht wird.