Safety, das heißt der Schutz der Gesundheit von Mitarbeitern, ist im Umfeld der Fertigungs- und Prozesstechnik wohl etabliert. Dagegen stellt Security – der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – eine relativ neue Herausforderung in der Produktion dar. Während die Notwendigkeit von Safety-Maßnahmen unbestritten ist, herrscht im Bereich der Security noch Unsicherheit über den benötigten Schutzbedarf. Unerwarteter Stillstand der Fertigungsanlage (Beeinträchtigung der Verfügbarkeit) oder fehlerhafte Produktion (Beeinträchtigung der Integrität) führt schnell zu einem großen wirtschaftlichen Schaden. Gleiches gilt für den Abfluss produktionsrelevanter Daten an Mitbewerber (Beeinträchtigung der Vertraulichkeit). Aber wie steht es um die tatsächlichen Risiken?
Wachsende Bedrohungslage
Fakt ist: Die Bedrohungslage für Industrieanlagen wächst. Mehr als 42% der aus dem Internet erreichbaren europäischen Scada-Systeme weisen Schwachstellen auf. In Deutschland sind etwa 20% davon betroffen, so das Forschungsteam von \’Positive Technologies\‘ in einer aktuellen Security-Studie. Bis August 2012 wurden 98 Schwachstellen in Scada-Systemen öffentlich bekannt, betroffen sind namhafte Hersteller. Stuxnet und Duqu sind nur zwei schlagzeilenträchtige Beispiele für Attacken auf Scada-Systeme. Seit der Entdeckung von Stuxnet wurden \’Positive Technologies\‘ zufolge 20-mal mehr Schwachstellen in Industrie-Kontrollsystemen entdeckt als zuvor.
Angriffe einfach möglich
Ein weiteres Problem: Rund 96% der erfolgreichen Angriffe erforderten keine tiefergehenden technischen Kenntnisse, wie der Netzwerk-Spezialist Verizon festgestellt hat. Der Mangel an integrierten IT-Security-Konzepten in Industrieanlagen erleichtert gezielte Angriffe. Eines der typischen Einfallstore ist erfahrungsgemäß eine unzureichende Trennung von Systemen mit unterschiedlichem Schutzbedarf. So kann ein Angreifer beispielsweise ein schwach geschütztes Testsystem übernehmen und von dort aus eine Produktionszelle angreifen. Weitere Risiken: blindes Vertrauen in vorgelagerte Schutzsysteme, z.B. Firewalls, und die fehlende Absicherung von Wartungszugängen. Angreifer können verwundbare Systeme bei Dienstleistern ausnutzen und anschließend über deren Wartungszugang auf Produktionssysteme zugreifen – eine willkommene Zielscheibe für Hacker-Angriffe. Das geltende Paradigma, viele Bedrohungen durch Schutzmaßnahmen auf Endgeräten, also den Produktionssystemen selbst, zu beherrschen, ist in der Fertigung in der Regel technisch nicht möglich. Dennoch ist wirksame Informationssicherheit auch in der Produktion zu realisieren.
Ganzheitliche Konzepte erforderlich
Grundlage ist ein ganzheitliches Sicherheitskonzept, das sowohl die tatsächlichen Risiken als auch wirtschaftlich sinnvolle Gegenmaßnahmen beinhaltet. Effektive Sicherheit in der Produktion kann allerdings nur gemeinsam mit den Verantwortlichen entstehen. Deshalb entwickelt TÜV Rheinland IT-Security-Konzepte stets in enger Abstimmung mit den Produktionsleitern und Anlagenbetreibern. Die Informationssicherheitsspezialisten sprechen dieselbe Sprache wie die Produktionsverantwortlichen und kennen die Besonderheiten von Fertigungsnetzwerken – zwei maßgebliche Mehrwerte für effektive IT-Sicherheitslösungen in der Industrie. Denn von einer unveränderten Übertragung vorhandener Sicherheitsmaßnahmen aus der Office-Welt in die Fertigungs-IT ist abzuraten. Sicherheit in Produktionsanlagen bedarf globaler Ansätze, aber individueller Lösungen.
