Schutz für offene Systeme

Industrie 4.0 – Vernetzte Sensoren, Maschinen und Anlagen erhöhen die Komplexität, bilden aber auch gleichzeitig neue Angriffsvektoren für Cyber-Kriminelle. Aber wie geht IT- und OT-Sicherheit in offenen Systemen?

23. Juli 2019
Schutz für offene Systeme
(Bild: fotografa / Berlin)

Herr Redlich, Secunet hat im April auf einer Messe in Singapur die IT-Lösung Secunet Edge vorgestellt. Nach Unternehmensangaben ist es eine »sichere Industrie 4.0 Lösung«. Wie steht es um das Verhältnis von Industrie 4.0 und IT-Sicherheit? Für Laien klingt das nach der Quadratur des Kreises.

Torsten Redlich: In Deutschland bieten wir Secunet Edge seit Anfang 2019 an. Wir haben die Lösung aus dem Portfolio unseres Mutterkonzerns Giesecke+Devrient übernommen. Damit gehen wir eine Frage an, die tatsächlich zunächst wie die Quadratur des Kreises wirkt: Wie lassen sich Maschinen und betriebskritische Systeme im Kontext Industrie 4.0 vernetzen, flexibel an interne wie externe IT-Dienste anbinden und dabei gleichzeitig absichern und sicherheitstechnisch überwachen?

Im Fernsehen sind immer wieder mal Aufnahmen der modernen Produktionslinien der Autohersteller zu sehen. Keine Anlage scheint älter als fünf Jahre zu sein. Das täuscht. Erfahrungsgemäß sind langlebige Investitionsgüter wie Werkzeugmaschinen 20 Jahre und länger im Einsatz.

In diesem Zusammenhang gibt es eine große Herausforderung. Der Altbestand an Maschinen kann gut und gern 20 bis 30 Jahre alt sein. Die seinerzeit entwickelte Maschinensteuerung ist nicht auf die heutige IT-Vernetzung ausgerichtet. Die Vernetzung wird heute aber gewünscht. Sie geht einher mit unsicheren Kommunikationsprotokollen und generell unzureichend geschützten Systemen. Da kann es schnell zu unerwünschten Hintertüren kommen.

Das heißt, die Maschinensteuerung muss turnusmäßig modernisiert werden?

Eine Nachrüstung der Maschinensteuerung ist nicht so einfach. Heute ist es gang und gäbe, beispielsweise in der Business IT, die IT-Systeme per Software-Updates regelmäßig zu aktualisieren. Im industriellen Bereich geht das nicht ohne Weiteres. Regelmäßige Updates und Patches würden regelmäßige Neuzulassungen von Anlagen und Maschinen erforderlich machen. De facto ist das für Unternehmen nicht praktikabel.

Laut einer Produktbeschreibung sichert Secunet-Edge-Maschinen am Rande des Netzwerks ab und isoliert die Steuerungstechnik der Maschinen in Netzwerken oder im Internet. Was heißt das genau?

Wir erzeugen mit Secunet Edge eine Schutzhülle um das zu vernetzende Maschinenkonstrukt. Damit muss die Maschine nicht mehr selbst Schnittstellen anbieten. IT-Dienste und Kommunikationspartner terminieren an der Secunet Edge Appliance, und diese kommuniziert exklusiv mit der Maschine. Secunet Edge agiert als Gatekeeper, als Türwächter.

Es gibt drei Funktionsmerkmale. Nummer eins nennen wir Protect. Damit ist das beschriebene Prinzip der Mikrosegmentierung und Isolation zur sicheren Vernetzung der Maschinen gemeint. Nummer zwei heißt Connect: Eine sichere Ausführungsumgebung für Applikationen kann flexibel zur Umsetzung von Fernwartung, Datenvorverarbeitung (Edge Computing) oder die Anbindung von internen wie externen IT-Diensten, insbesondere IoT-Plattformen, genutzt werden. Nummer drei nennen wir Detect: Integrierte Security-Monitoring-Anwendungen überwachen die Informationsflüsse in Echtzeit und erkennen Anomalien.

Alle Maschinenhersteller richten heute standardmäßig direkte Datenleitungen zu ihren Bestandsanlagen in der ganzen Welt ein, um permanent Zustandsdaten zu übertragen oder Ähnliches.

Richtig. Die Hersteller erhalten dadurch unter Umständen weitgehende Zugangserlaubnisse in die Netzwerke der Maschinenbetreiber; nötig wäre das nicht für den Zugriff auf einzelne Bestandsmaschinen. Secunet Edge schafft Abhilfe und ermöglicht die Abbildung der Herstellerservices nah an der Maschine, ohne permanenten und weitreichenden Zugang in Betreibernetzwerke zu benötigen.

Eine Methode in der Softwareentwicklung, um Sicherheitslücken zu vermeiden, ist Security by Design.

In diesem Bereich ist vieles in Gang gekommen. Alle großen Maschinenhersteller sind an dem Thema dran. Wir glauben: In 20 Jahren wird die IT in Maschinen des Baujahrs 2019 jedoch genauso veraltet sein wie heute die IT in Maschinen aus der Zeit um 2000 und älter. Daher macht Security by Design die Maschinen nur begrenzt zukunftsfähig. Es braucht vielmehr die besagte Schutzhülle, die man weiterentwickeln und verändern kann. Secunet Edge ist entsprechend konzipiert und ermöglicht damit beispielsweise die sichere Integration neu entwickelter Applikationen in der Zukunft.

Das heißt, Secunet Edge ist nicht Teil der Zulassung?

Nein, nicht zwangsläufig. Das bedeutet, wir haben derzeit zwei unterschiedliche Einsatzfelder. Erstens die Nachrüstung von Altsystemen. Zweitens ist Secunet Edge auch für neue Maschinen interessant, denn so werden sie mit einem variablen Sicherheitselement fit und flexibel für die Zukunft.

Wie reagieren die Maschinenhersteller darauf?

Wir führen gute Gespräche. Hohe Sicherheit kann komplex sein, das wissen die Unternehmen. Es ist aber nicht ihr Kerngeschäft als Maschinenhersteller. Viele Unternehmen haben in der Vergangenheit eigene Schutzsysteme, ähnlich Secunet Edge, entwickelt und liefern diese zur Abbildung ihrer Remote Services mit aus. Dieser Ansatz macht es für Betreiber und Anbieter von neuen Datendiensten schwer, denn die Schutzsysteme sind nur für bestimmte herstellerspezifische Zwecke entwickelt und dadurch limitiert. Wir als IT-Sicherheitsunternehmen bieten aus einer neutralen Stellung heraus eine Trusted Plattform an, die für Hersteller, Systemintegratoren und Betreiber gleichermaßen Vorteile bringt.

Das ist so ähnlich wie beim Smart Meter Gateway.

Im Prinzip ja. Es braucht das standardisierte Schutzkonzept für Maschinen bei gleichzeitiger Ausweitung der digitalen Geschäftsmodelle. Künstliche Intelligenz und Maschine Learning haben viel Potenzial, sodass künftig mit neuen Diensten und Anbietern zu rechnen ist. Essenziell dafür ist der Zugang zu Maschinendaten. Wie erhält man die Daten und wie werden sie verwertet? Welches Trägersystem und welche Sicherheitsmechanismen sind dafür mit einzuplanen? Diese Fragen stellen sich die Entwickler innovativer Services.

Das sind meistens Spezialisten für Datenanalysen, keine IT-Sicherheitsexperten.

Richtig. Die wollen sich nicht um IT-Sicherheit kümmern, weil es nicht ihr Kerngeschäft ist. Ist der Aufwand unverhältnismäßig hoch, stirbt die Geschäftsidee. Die Firmen kämen vom Weg ab. Hier setzen wir an. Unsere Lösung hat als Trusted Platform nicht nur die benötigten und teils geforderten Schutzmechanismen, sondern es gibt auch eine Enabler-Funktion: Bestimmte Datendienste lassen sich so überhaupt erst auf die Beine stellen respektive an die Maschine bringen. hd

VITA

Torsten Redlich

Stellvertretender Leiter der Division Kritische Infrastrukturen der Secunet Security Networks AG.

Seit 2007, mit einer zwischenzeitlichen Tätigkeit für die KPMG AG, für Secunet tätig.

Seine Erfahrung und Themenschwerpunkte liegen in den Bereichen Sicherheitsmanagement in kritischen Infrastrukturen, Entwicklung von IT-Sicherheitsarchitekturen und Industrial Security im Zeitalter der Industrie 4.0 und des IoT.

Erschienen in Ausgabe: 04/2019
Seite: 42 bis 43