Alle 14 Tage aktuelle News aus der IT-Szene >
Gastbeitrag: Mangelhafte IT-Security wird zum IoT-Stolperstein, weiß Karl Freundsberger
Foto: Fortinet Der Autor Karl Freundsberger ist Country Manager Austria beim Security-Spezialisten Fortinet Industrie 4.0 ist kein Zauberwerk der Zukunft. Industrie 4.0 ist da. Vereinfacht gesagt: Bei Industrie 4.0 „verschmelzen“ IT und Operational Technology (OT). So kommunizieren Anlagen untereinander sowie mit weiteren Bereichen von Unternehmenssoftware, beispielsweise dem ERP-System. Das ist heute schon Gang und Gäbe. Denn schließlich bedeutet das Unternehmenserfolg: Durch die Verknüpfung werden die Prozesse effizienter.
Doch wie überall gibt es auch eine Kehrseite: Die Verknüpfung bietet auch mehr Angriffsfläche. Mögliche Cyber-Attacken betreffen dann nicht nur die IT, sondern auch OT-Komponenten. Hacker könnten zum Beispiel in den Computer eines Produktionsleiters eindringen, um Industriespionage zu betreiben oder um die gesamte Produktionskette lahmzulegen.
OT-Netzwerke sind häufig anfälliger als IT-Netzwerke. Das Problem: Sie verwenden oft proprietäre und ältere Betriebssysteme und Geräte, die möglicherweise nie dazu konzipiert wurden, jemals IP-fähig zu sein.
Schon bei den Protokollen zeigt sich die Schwierigkeit. Zum einen kommunizieren Industrieanlagen über andere Protokolle als IT-Netzwerke, zum anderen gibt es in der Industrie bisher keinen einheitlichen Standard. In der Industrie 4.0 aber werden Prozesse und dazugehörige Maschinen immer intelligenter und modularer. Neue Protokoll-Standards, wie zum Beispiel OPC UA (Open Platform Communications Unified Architecture), erlauben bisher isolierten Steuereinrichtungen miteinander zu kommunizieren. Das Resultat: ein komplexes Netzwerk über mehrere industrielle Ökosysteme. Traditionell arbeiten Sicherheitsanwendungen jedoch isoliert, an einer partiellen Stelle im Netzwerk. Sie verlieren deswegen bei dem Schutz von miteinander verbundenen Geräten, Benutzern und verteilten Netzwerken zunehmend ihre Wirkung.
Eine weitere Hürde liegt in den Rahmenbedingungen der Produktionsanlage: Da sie meist über eine große Fläche verteilt ist, müssen Netzwerke weite Distanzen überbrücken. Dies erfordert eine Funktechnologie mit optimierten WLAN-Strukturen. Zudem müssen die Sicherheitskomponenten den äußeren Einflüssen wie Verschmutzungen oder extremen Temperaturen standhalten.
Nicht zuletzt müssen die Anlage und somit auch die dazugehörigen Sicherheitssysteme schnell und flexibel bedienbar sein – auch „remote“ aus der Ferne. Um die Kette nicht zu stören, braucht es Antwortzeiten im Millisekunden-Bereich. Firewalls jedoch verursachen durch die Analyse des Netzwerkverkehrs meist Zeitverzögerungen, die hier nicht tragbar sind.
Als wären die baulichen und produktionstechnischen Herausforderungen für die Security in einer Industrie 4.0-Umgebung nicht schon genug, kommt erschwerend hinzu, dass Hersteller von IoT-Geräten in deren Entwicklung oft die Cyber-Sicherheit vernachlässigen. Die meisten Geräte sind „kopflos“. Ihnen fehlt es schlicht und ergreifend an traditionellen Betriebssystemen und oft sogar am nötigen Speicher sowie an nötiger Rechenleistung, um eine Sicherheitskomponente überhaupt installieren zu können.
Um zu gewährleisten, dass nur sichere Produkte in der Industrieanlage vernetzt sind, sollte schon in der Fertigung der IoT-Produkte Sicherheit an erster Stelle stehen. Leider ist dies über den organisatorischen Aufwand hinaus auch mit höheren Kosten verbunden.
Um einen Anreiz zu schaffen, wären daher gesetzlich vorgegebene gesetzliche Mindestanforderungen notwendig. Der notwendige Spagat dabei: Eine solche Regulierung darf keinen Einfluss auf Innovation und Wettbewerb haben. Dennoch: Wir müssen handeln. Cyber-Kriminelle schlafen nicht. Daran führt kein Weg vorbei.
Eine Verbesserung der Technik allein ersetzt jedoch noch immer nicht den menschlichen Verstand. Es braucht weiterhin kompetente Netzwerk-Teams, um sicherzustellen, dass Geräte und Systeme angemessene Sicherheitsstandards erfüllen. Denn für jedes Projekt sind sowohl Expertise in IT als auch OT unerlässlich. Nur so lassen sich beide Welten sicher miteinander verknüpfen. Nur so wird Industrie 4.0 zur Erfolgsgeschichte.