Die zunehmende Vernetzung von Produktionsanlagen, auch gerade in mittelständischen Unternehmen, reißt massive Löcher in das Sicherheitskonzept. Dass der Maschinenpark an die vorhandene IT angebunden wird, ist in vielen Unternehmen ein ganz normaler Vorgang. Aber genau bei den IT Systemen zur Steuerung der Produktionsmaschinen liegt das Gefährdungspotential.
Viele Hersteller (man muss leider sagen die meisten) kümmern sich nicht im Geringsten um die Sicherheit ihrer Systeme. Man darf sich ja schon fast glücklich schätzen, wenn schon Windows 98SE zur Steuerung verwendet wird und nicht erst Windows 95. Ganz wenige Hersteller verwenden Linux oder BSD-Abkömmlinge für diese Aufgabe, obwohl in diesem Fall ein deutlich besseres Sicherheitsniveau erreicht werden könnte. Da aber offensichtlich keine Nachfrage nach abgesicherten Systemen besteht oder die Hersteller daran Interesse hätten, wird sich auch auf absehbare Zeit an diesem Zustand nichts ändern.
Das Nachsehen hat in diesem Fall ja auch „nur“ der Betreiber der Anlage, da die Betriebsverantwortung ihm unterliegt. Der jeweiligen IT-Abteilung sind fast immer die Hände gebunden. Die Systeme basieren zwar auf Windows, sind aber trotzdem sehr proprietär und verbieten jegliche Änderungen. Aber was die IT nicht darf, darf hingegen der Schadcode. Ganz zu schweigen davon, dass es keine Schutzsoftware für solche alten Systeme mehr gibt. Würde man solche Systeme in der normalen IT noch verwenden, dann würde dies glatt als grob fahrlässig gelten – und dies zu Recht! Nur in der Produktion gilt dies als völlig normal.
Hier gibt es einen dringenden Handlungsbedarf um das immense Sicherheitsrisiko zu minimieren. Wie angreifbar Industrieanlagen sind, hat nur zu gut der Wurm Stuxnet gezeigt. Es muss zwar auch nicht immer davon ausgegangen werden, dass gleich Menschenleben in Gefahr sein können, aber ein teilweiser oder kompletter Ausfall der Produktion richtet schon genug Schaden an. Ein Schadcodebefall bei solchen Produktionsumgebungen ist sofort ein Kampf an mehreren Fronten. Da die Systeme mehr oder weniger ungeschützt sind, kann sich der Schadcode auch ungehindert verbreiten. Ein Übergriff auf die restliche IT oder deren Beeinträchtigung ist dann oft nur eine Frage der Zeit.
Aber der Schutz der Produktionsanlagen ist durch deren Einschränkungen gar nicht mal so trivial in der Realisierung. Oft sind es gewachsene Strukturen und es können nicht ohne weiteres Änderungen an der Topologie durchgeführt werden. Auch würde eine solche Änderung zu Ausfällen führen und das ist gerade bei Produktionsumgebungen ein Problem. Dazu kommt dann noch die schon angesprochenen proprietäre Software. Die möglichen Optionen sind also durchaus als Eingeschränkt zu bezeichnen. Trotzdem ist der Schutz dieser Systeme eine zwingende Notwendigkeit.
Ein möglicher Lösungsansatz ist die Kontrolle an der Schnittstelle zum Netzwerk und zwar auf einer transparenten Ebene. Dies hat den großen Vorteil, dass es an der Netzwerktopologie nichts ändert. Die Kontrolle ist zwar vorhanden aber eben unsichtbar für die Systeme selbst. Gerade dieser Lösungsansatz ist sehr elegant, da er sich ohne großen Aufwand implementieren lässt. Es wird eine Kontrolle über die komplette Kommunikation erreicht und somit ein effektiver Schutz möglich. Zudem beinhaltet diese Sicherheitsmaßnahme gleich mehrere Kontrollen. Zum einen lassen sich klassisch Quell und Ziel-Adressen in der Kommunikation definieren und diese Daten dann noch mit einem IDP-System entsprechend überwachen.
Eine zusätzliche Absicherung kommt mit einer solchen Maßnahme als Addon gleich mit dazu. Sehr oft haben solche Steuerungen eine Einwahlmöglichkeit für den Support des Herstellers. Diese Einwahl ist in vielen Fällen direkt an der Produktionsmaschine selbst und so gesehen eine Backdoor innerhalb der Infrastruktur. Durch die Kontrolle der Netzwerkschnittstelle kontrolliert man diese „Backdoor“ gleich mit.
Der Schutz der Produktionsanlagen hatte bisher leider nicht den Stellenwert der „normalen“ IT, aber er ist ein Bestandteil der IT-Infrastruktur und es gilt diese ebenso wie den Rest der IT zu schützen. Insbesondere im Hinblick auf die Anfälligkeit dieser Systeme und vor allem bei dem Schaden der dort entstehen kann, ist dies ein sehr wichtiges Thema, was zu überdenken ist.
Bei Fragen stehen wir wie gewohnt zur Verfügung.