Diese Risiken birgt das Internet der Dinge in der Industrie

Udo Schneider, Security Evangelist DACH bei Trend Micro, kennt die Sicherheitsprodukte im IIoT-Umfeld sowohl aus der technischen wie aus der Business-­Perspektive. Mit Computerworld spricht er darüber, was es für die Sicherheit bedeutet, wenn Maschinen, Produktionsstrassen und fast alle anderen Geräte über ein Netzwerk oder über Cloud und Internet miteinander «sprechen» können.

Computerworld: Die Vernetzung der Geräte ist für die Industrie ja eigentlich nichts Neues – Maschinen werden schon lange ferngesteuert und auch Techniken wie Fernwartung sind hier gang und gäbe. Bleibt also die Frage, wie man Industrial IoT am besten definiert? Gibt es eine griffige, allgemein akzeptierte Definition?

Udo Schneider: Nein, eine allgemeingültige Definition für IIoT gibt es nicht – aber man kann es vielleicht ein wenig an den Geräteklassen beziehungsweise an der jeweiligen «Selbstständigkeit» der Geräte festmachen. Wenn ich einen Blick auf den klassischen Aufbau in der Industrie werfe, dann gibt es dort die Automationspyramide. Dabei besteht der klassische Aufbau beispielsweise aus einem Motor, der über einen Feldbus an einer SPS (speicherprogrammierbare Steuerung) hängt, die wiederum über einen Feldbus oder ein Netzwerk an einem Scada-System (Supervisory Control and Data Acquisition) hängt. Das sind also in der Regel mindestens drei getrennte Systeme. Erst dahinter wird dann vielleicht ein HMI-System (Human Machine Interface) angeschlossen, das dann beispielsweise die Drehzahl auf einem Windows-Rechner anzeigt.

Bei den Geräten des Industrial Internet of Things wiederum steckt die «Intelligenz» häufig schon direkt in den Geräten und die Bereitstellung der Benutzerschnittstelle geschieht bereits auf dem Gerät, also beispielsweise auf dem Motor.

Durch mehr Intelligenz auf dem Gerät sind diese modernen Systeme natürlich auch deutlich flexibler einsetzbar. Zudem muss ich in diesen Fall nicht mehr die gesamte Infrastruktur mitschleppen, da viele ihrer Teile direkt auf den Geräten repliziert werden. Der grundsätzliche Ansatz dabei ist: Auf der einen Seite ist der Aktor/Sensor, auf der anderen Seite das Internet – alles was dazwischenliegt, erledigt das Gerät. So kann man meiner Meinung nach IIoT-Geräte gut von der klassischen Industrievernetzung abgrenzen, bei der es immer sauber getrennte Layer gibt.

Ist IIoT also eigentlich nur ein neues Label für die bekannten SPS-/Scada-Systeme?

Schneider: Die neue Sichtweise ist definitiv weitaus IT-näher als der klassische Industrieaufbau. Man kann da zwar sicher auch CPUs und RAM in den SPS-Geräten finden – sie haben trotzdem aber kaum etwas mit der klassischen IT zu tun. Aus IT-Sicht wird hier erst der Scada-HMI-Layer interessant, wo dann auch klassische Windows-Systeme anzutreffen sind.

Bedeutet das dann, dass wir uns die typischen Sicherheitsprobleme erst mit der weitergehenden Integration der IT beim IIoT ins Haus holen?

Schneider: Ja, die typischen IT-Sicherheitsprobleme holen wir uns erst mit diesem Schritt rein. Denn aus Sicht der klassischen Industrie ist es einfach so, dass ich einen Aktor/Sensor nur physikalisch kompromittieren kann. Zwar sind die heute eingesetzten SPS-Systeme schon deutlich komplexer als früher, aber auch an die komme ich im Normalfall über IT-Systeme nicht wirklich heran.

Was aber heute schon häufiger passiert: Man fängt an, diese SPS-Systeme mit Modulen zu erweitern, beispielsweise mit einem Modul, das Ethernet beziehungsweise TCP/IP „spricht“. So kann ich dann aus meinem Office-Netzwerk direkt die SPS programmieren, ohne dass ich vor Ort sein muss.

Das sind zwar noch keine echten Gateways, sondern von der Funktionalität her eher Umsetzer von modernem Netzwerk auf alte serielle Verbindungen. Sie sind aber in der Regel sperrangelweit offen und waren nie dafür gedacht, dass sie mit dem Internet verbunden sind. Wer sich ein wenig mit speziellen Such­maschinen wie Shodan umschaut, findet solche SPS-Systeme mit einem offenen Programmierbus über die ganze Welt verteilt – auch in sicherheitskritischen Einrichtungen der Industrie wie in Kraftwerken. Wenn Unternehmen dort also ein Modul zur Fernwartung dranhängen und es nicht schützen, dann ist dort das Problem. Das weist dann auch schon in die Richtung IT.

Schneider: Erst wenn ich eine Ebene höher gehe, also zu den Scada- und Industrial-Control-Überwachungssystemen (ICS), finde ich Linux- und/oder Windows-Server. Auf denen läuft dann ein Apache- oder IIS-Server für die Windows-Oberfläche und eine Datenbank-Software, die das eigentliche ICS-System steuert. An dieser Stelle sind wir dann ganz klassisch in der IT-Welt. Solche Geräte wurden zumeist vor 20 Jahren aufgestellt und entsprechend abgenommen und die rührt niemand mehr an.

Schneider: Nein, an diesem Punkt kommt in der Industrie der sehr wichtige Aspekt «Security versus Safety» ins Spiel. Das heisst, das System wird einmal abgenommen vom Hersteller und kann dann auch nicht mehr verändert werden. Hier müssen wir aus IT-Sicht noch umlernen. Viele dieser Maschinen sind Safety-relevant, beispielsweise insofern, als eine Maschine dem Benutzer nicht den Arm abreisst, wenn er versehentlich reingreift. Da hier auch der Gesetzgeber streng reagiert, werden bei diesen Maschinen Safety-Evaluierungen durchgeführt.

Ein solcher Risikobewertungsprozess ist irgendwann mal abgeschlossen. Ich habe dann ein abgenommenes System, für das auch jemand unterschreibt. Wenn ich danach irgendetwas an dem System ändere – und sei es, indem ich eine Antiviren-Software aufspiele –, bin ich aus der Haftung raus. Das System müsste neu abgenommen werden. Und das ist der Grund: Die Firma darf das System nicht ändern, weil sie damit vielleicht Safety-Regularien ändern würde.