Security: Offene Steuerungen im Netz
Wenn Industrie 4.0 Realität werden soll, dann müssen die Systeme sicher mit dem Internet verbunden werden können. Bachmann Electronic rückt das Thema Security daher in den Mittelpunkt. Die Österreicher suchen den Dialog mit den Kunden - nicht nur um ihre Security-Technik zu vermarkten, sondern um gemeinsam mit den Kunden Gefahren zu definieren, auszuschalten und voneinander zu lernen.
Bild: Bachmann Electronic GmbHSie haben auf der letzten SPS IPC Drives ein trojanisches Pferd auf Ihren Messestand gestellt. Was wollten Sie damit demonstrieren?
Christoph Scherrer: Das Pferd war eingezäunt, von uns und unserer State-of-the-Art Technologie gebändigt. Wichtig ist uns: Unsere Industriekunden dürfen Trojanische Pferde oder Schadsoftware oder Angreifer nicht unwissend in die Produktion lassen, wir wollen aufklären und beim Schutz helfen, denn aus unserer Sicht wird zu wenig über Security gesprochen, die Ausrüster und die Anwender meiden das Thema. Wir brauchen aber den Austausch mit unseren Kunden, um gemeinsam Lösungen zur Verteidigung zu entwickeln.
Sind die Anwender unwissend?:
Scherrer: Ja, viele schon. Unwissenheit ist eines der größten Einfallstore für Angreifer. Beispielsweise Shodan.io. Mit der Suchmaschine können Sie offene, nicht geschützte Steuerungen weltweit finden - viele unserer Industriekunden waren überrascht, als wir ihnen die Suchmaschinenergebnisse präsentierten. Das HMI einer Brauerei in Italien anschauen? Kein Problem, alles schnell zu finden. Oder nehmen Sie Google-Dorking. Das ist ein passiver Angriff, mit dem sich Nutzernamen und Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen. Angreifer nutzen zudem weitere Suchmaschinen, um offene Steuerungen oder IoT-Geräte zu finden - was im Netz hängt, muss geschützt werden, sonst wird es nichts mit Industrie 4.0, denn es sind nicht nur kriminelle Profis, die auf Jagd nach ICSs gehen, sondern auch Scriptkiddies, die mutwillig zerstören wollen. Das gilt auch für die Fernwartung. Für uns bedeutet das: Wir müssen den Kunden für Security in der Automatisierung sensibilisieren. Ein erster wichtiger Schritt wäre das Ende der Standardpasswörter oder Standard-Betriebseinstellungen und konsequentes Patchen. Unser Solution Center bietet dem User deshalb regelmäßige Updates für sein System an.
Bild: Bachmann Electronic GmbHDas tun ja viele Unternehmen und Aufklärung ist wichtig, aber was tun Sie technisch?
Scherrer: Klar, wir verschlüsseln Daten und wir haben viel Erfahrung in der Sicherung kritischer Infrastrukturen. Verschlüsselte Speicherbereiche und Dateien schützen kritische Daten wie beispielsweise Log-Files oder Rezepte. Feingranulare Zugriffskontrolle ermöglicht die Freigabe oder das Verbot zum Zugriff auf einzelne Dateien und sogar Variablen, für jeden Benutzer. Überwacht wird dies durch ein zentrales Security-Protokoll, welches jeden An- und Abmeldevorgang sowie sämtliche verändernden Zugriffe aufzeichnet und somit auch im Garantiefall als hilfreiches Instrument dient. Und: Wir können über offene Schnittstellen weitere kryptografische Anwendungen anbinden.
Reicht das, um für alle Gefahren gewappnet zu sein?
Scherrer: Nein, sicher nicht. Wir statten unsere M1-Steuerungen zusätzlich mit Funktionen zur Bandbreitenbegrenzung des Netzwerks aus, um die Robustheit gegen absichtliche und unabsichtliche Netzwerkstörungen zu erhöhen. Echtzeitprozesse werden durch Überlastung der Netzwerkschnittstelle nicht gestört. Die bereits erwähnten Maßnahmen zur Zugriffskontrolle und -überwachung sind auch hier wirksam. Diese helfen beim Verhindern unautorisierter Funktionsaufrufe und auch im Fall des Falles bei der Eingrenzung potenzieller Fehlerquellen. Der Betrieb eines komplexen Maschinenparks erfordert ein durchgängiges und zentralisiertes Management der User, ihrer Passwörter und Berechtigungen sowie der Zertifikate. Ebenso müssen Security-Protokolle zentral gesammelt und analysiert werden. Hier bietet Bachmann Unterstützung für die Protokolle LDAP, SCEP und syslog.
Was müssen Industrieanwender aus Ihrer Sicht tun?
Scherrer: Wir können Systeme und Ausführungsrechte einschränken und empfehlen den Kunden ein Sicherheitsmanagement mit klaren Richtlinien und einer Rechtevergabe - denn das größte Risiko sind Mitarbeiter im Betrieb, die unwissend oder weil sie frustriert sind die Prozesse zerstören. Unser Automatisierungssystem bietet im Fall der Fälle auch einen Backup- und Recovery-Mechanismus an. Doch wir sollten uns auch bewusst sein: Viele Angriffe registrieren die Unternehmen erst viele Monate nach der eigentlichen Attacke.
Wenn Industrie 4.0 Realität werden soll, dann müssen die Systeme sicher mit dem Internet verbunden werden können. Bachmann Electronic rückt das Thema Security daher in den Mittelpunkt. Die Österreicher suchen den Dialog mit den Kunden - nicht nur um ihre Security-Technik zu vermarkten, sondern um gemeinsam mit den Kunden Gefahren zu definieren, auszuschalten und voneinander zu lernen.
Bild: Bachmann Electronic GmbHSie haben auf der letzten SPS IPC Drives ein trojanisches Pferd auf Ihren Messestand gestellt. Was wollten Sie damit demonstrieren?
Christoph Scherrer: Das Pferd war eingezäunt, von uns und unserer State-of-the-Art Technologie gebändigt. Wichtig ist uns: Unsere Industriekunden dürfen Trojanische Pferde oder Schadsoftware oder Angreifer nicht unwissend in die Produktion lassen, wir wollen aufklären und beim Schutz helfen, denn aus unserer Sicht wird zu wenig über Security gesprochen, die Ausrüster und die Anwender meiden das Thema. Wir brauchen aber den Austausch mit unseren Kunden, um gemeinsam Lösungen zur Verteidigung zu entwickeln.
Sind die Anwender unwissend?:
Scherrer: Ja, viele schon. Unwissenheit ist eines der größten Einfallstore für Angreifer. Beispielsweise Shodan.io. Mit der Suchmaschine können Sie offene, nicht geschützte Steuerungen weltweit finden - viele unserer Industriekunden waren überrascht, als wir ihnen die Suchmaschinenergebnisse präsentierten. Das HMI einer Brauerei in Italien anschauen? Kein Problem, alles schnell zu finden. Oder nehmen Sie Google-Dorking. Das ist ein passiver Angriff, mit dem sich Nutzernamen und Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen. Angreifer nutzen zudem weitere Suchmaschinen, um offene Steuerungen oder IoT-Geräte zu finden - was im Netz hängt, muss geschützt werden, sonst wird es nichts mit Industrie 4.0, denn es sind nicht nur kriminelle Profis, die auf Jagd nach ICSs gehen, sondern auch Scriptkiddies, die mutwillig zerstören wollen. Das gilt auch für die Fernwartung. Für uns bedeutet das: Wir müssen den Kunden für Security in der Automatisierung sensibilisieren. Ein erster wichtiger Schritt wäre das Ende der Standardpasswörter oder Standard-Betriebseinstellungen und konsequentes Patchen. Unser Solution Center bietet dem User deshalb regelmäßige Updates für sein System an.
Bild: Bachmann Electronic GmbHDas tun ja viele Unternehmen und Aufklärung ist wichtig, aber was tun Sie technisch?
Scherrer: Klar, wir verschlüsseln Daten und wir haben viel Erfahrung in der Sicherung kritischer Infrastrukturen. Verschlüsselte Speicherbereiche und Dateien schützen kritische Daten wie beispielsweise Log-Files oder Rezepte. Feingranulare Zugriffskontrolle ermöglicht die Freigabe oder das Verbot zum Zugriff auf einzelne Dateien und sogar Variablen, für jeden Benutzer. Überwacht wird dies durch ein zentrales Security-Protokoll, welches jeden An- und Abmeldevorgang sowie sämtliche verändernden Zugriffe aufzeichnet und somit auch im Garantiefall als hilfreiches Instrument dient. Und: Wir können über offene Schnittstellen weitere kryptografische Anwendungen anbinden.
Reicht das, um für alle Gefahren gewappnet zu sein?
Scherrer: Nein, sicher nicht. Wir statten unsere M1-Steuerungen zusätzlich mit Funktionen zur Bandbreitenbegrenzung des Netzwerks aus, um die Robustheit gegen absichtliche und unabsichtliche Netzwerkstörungen zu erhöhen. Echtzeitprozesse werden durch Überlastung der Netzwerkschnittstelle nicht gestört. Die bereits erwähnten Maßnahmen zur Zugriffskontrolle und -überwachung sind auch hier wirksam. Diese helfen beim Verhindern unautorisierter Funktionsaufrufe und auch im Fall des Falles bei der Eingrenzung potenzieller Fehlerquellen. Der Betrieb eines komplexen Maschinenparks erfordert ein durchgängiges und zentralisiertes Management der User, ihrer Passwörter und Berechtigungen sowie der Zertifikate. Ebenso müssen Security-Protokolle zentral gesammelt und analysiert werden. Hier bietet Bachmann Unterstützung für die Protokolle LDAP, SCEP und syslog.
Was müssen Industrieanwender aus Ihrer Sicht tun?
Scherrer: Wir können Systeme und Ausführungsrechte einschränken und empfehlen den Kunden ein Sicherheitsmanagement mit klaren Richtlinien und einer Rechtevergabe - denn das größte Risiko sind Mitarbeiter im Betrieb, die unwissend oder weil sie frustriert sind die Prozesse zerstören. Unser Automatisierungssystem bietet im Fall der Fälle auch einen Backup- und Recovery-Mechanismus an. Doch wir sollten uns auch bewusst sein: Viele Angriffe registrieren die Unternehmen erst viele Monate nach der eigentlichen Attacke.
Bachmann electronic GmbH
Dieser Artikel erschien in Industrial Communication Journal 1 2018 - 28.03.18.Für weitere Artikel besuchen Sie www.sps-magazin.de
