Moderne Smart-Devices wie Smartphones und Tablets haben sich im privaten und zunehmend im Business-Umfeld fest etabliert. Dank ihrer komfortablen Bedienung und Vielseitigkeit gibt es immer wieder neue Anwendungsfelder für diese Geräte. Auch im Automatisierungs- bzw. Produktionsumfeld gibt es zahlreiche Einsatzszenarien bei denen Smart-Devices und deren Apps sinnvoll unterstützen können. Mit der geeigneten Support-App sind die passenden Geräteinformationen wie Anleitungen oder technische Daten überall im Zugriff. Aber auch die Zusammenstellung passender Automatisierungsgeräte ist zunehmend über entsprechende Konfigurator-Apps möglich. Bei der Vorortdiagnose können über Smartphone-Apps beispielsweise wesentlich detailliertere Betriebs- oder Fehlerinformationen angezeigt werden, als dies am Gerät selbst möglich wäre. Smartphone und Apps bieten darüber hinaus auch die Möglichkeit, im Rahmen der Inbetriebnahme Maschinenparameter optimal einzustellen. Auch der Remote-Zugriff gehört zu üblichen Anwendungsszenarien. So können beispielsweise aktuelle Betriebsdaten der Maschinen oder Anlagen abgerufen werden – und das direkt per Smart-Device.
Industrial Security allgemein
Geht es um den konkreten Einsatz dieser Technologien in der Produktion, gibt es darüber oft unterschiedliche Ansichten. Während die Nutzer auf entsprechende Verbesserungen nicht verzichten wollen, sehen Security-Beauftrage in den meisten der Anwendungsszenarien zunächst nur ein höheres Bedrohungspotential. Dies ist insbesondere dann der Fall, wenn mit einem potentiell unsicheren Smart-Device direkt auf eine Maschine bzw. Anlage zugegriffen wird. Verfügt diese nicht über ausreichende Security-Maßnahmen, können Bedrohungen in unterschiedlichen Formen auftreten. Dazu zählt unter anderem der Verlust vertraulicher Unternehmensdaten oder die versehentliche Störung bzw. gezielte Sabotage des Produktionsablaufs. Um Produktionsanlagen gegen Security-Bedrohungen zu schützen, kommt typischerweise das sogenannte \’Defense-in-Depth\‘-Konzept zum Einsatz. Der Schutz erfolgt dabei durch mehrere voneinander unabhängige, aber aufeinander abgestimmte Schutzmechanismen. Diese sollten sowohl physikalischen Schutz, Netzwerkzugriffsschutz als auch Mechanismen für die Systemintegrität beinhalten. Daneben ist ein Security-Management-Prozess erforderlich, um die passenden Security-Maßnahmen für die jeweilige Maschine bzw. Anlage zu ermitteln und dauerhaft aufrechtzuerhalten. Ausgehend von einer Risikoanalyse werden die organisatorischen und technischen Maßnahmen definiert und umgesetzt, um das ermittelte Risiko auf ein akzeptables Niveau zu reduzieren. Zum Abschluss sollte ein Test die Wirksamkeit der Maßnahmen sicherstellen. Bei Veränderungen der Bedrohungslage erfolgt eine Wiederholung des Vorgangs. Sollen Smart-Devices und Apps in der Produktion eingesetzt werden, so müssen auch deren Risiken und passende Security-Maßnahmen berücksichtigt werden.
Smart-Devices sichern
Hinsichtlich der Maßnahmen ist prinzipiell zwischen dem Schutz der Smart-Devices und Apps, der Kommunikation sowie der Automatisierungslösung selbst zu unterscheiden. Smart-Devices beinhalten oft vertrauliche Informationen wie Zugangsdaten zu bestimmten Diensten. Mit Blick auf den Produktionsbereich handelt es sich dann um Zugangsdaten zu Steuerungen, Bediensystemen oder Ähnlichem. Zum Schutz gegen missbräuchliche Verwendung dieser Daten sollte ein Zugriffsschutz wie eine PIN-Eingabe obligatorisch sein. Damit diese Daten auch bei Verlust des Gerätes geschützt bleiben, ist darüber hinaus deren verschlüsselte Speicherung empfehlenswert. Dies kann beispielsweise in der jeweiligen App erfolgen oder gegebenenfalls bereits durch das Betriebssystem unterstützt werden. Ein weiterer Aspekt ist die Auswahl der Apps. Dabei sollte stets darauf geachtet werden, dass diese aus vertrauenswürdiger Quelle stammen. Das bezieht sich sowohl auf den Hersteller der Software als auch die Bezugsquellen. Mit dem Einsatz von speziellen Security-Apps kann der Schutz gegen schädliche Software gegebenenfalls nochmals verbessert werden. Bei größerer Anzahl an Smart-Devices im Unternehmen wird der Aufwand, diese einzeln zu verwalten irgendwann zu groß. In diesem Fall bietet sich der Einsatz von sogenannten Mobile-Device-Management-Systemen an. Damit lassen sich von zentraler Stelle Richtlinien für die Smart-Devices vorgeben und diese auch überwachen. Weiterhin gibt es dabei beispielsweise die Möglichkeit, bei verlorengegangenen oder gestohlenen Smart-Devices die darauf enthaltenen Daten aus der Ferne zu löschen. In letzter Zeit geht es auch immer wieder darum private Smart-Devices auch für berufliche Belange einzusetzen – Stichwort: \’Bring-your-own-device\‘ (BYOD). Neben der Integration der privaten Geräte in das betriebliche Mobile-Device-Management-System sind dafür jedoch zunächst organisatorische Regelungen zum Umgang zu treffen. Darüber hinaus ist auf dem privaten Gerät eine Trennung zwischen beruflichen und privaten Daten erforderlich – beispielsweise über einen verschlüsselten Container mit einer separaten Arbeitsumgebung.
Gesicherte Kommunikation
Die Kommunikation zwischen Smart-Devices und Automatisierungssystemen innerhalb des Unternehmens basiert typischerweise auf WLAN. Um dieses gegen unberechtigte Zugriffe und Abhören zu schützen, ist deren Absicherung zwingend erforderlich. Dies erfolgt sinnvollerweise über die integrierten WLAN-Security-Mechanismen. Das heißt mit WPA2-Verschlüsselung und einem sicheren Schlüssel bzw. individuellen Zertifikaten ist ein guter Schutz gegeben. Darüber hinaus gibt es aber noch die Kommunikation, die die Apps mit den Automatisierungskomponenten selbst führen. Auch diese sollte gegen Manipulation und Abhören gesichert sein, da spätestens auf dem Netzwerkkabel der WLAN-Schutz nicht mehr wirkt. Ein solcher Schutz muss durch die Apps selbst, beispielsweise in Form einer gesicherten HTTPS-Kommunikation, bereitgestellt werden. Im Fall eines Fernzugriffs über das Internet auf die Produktionsanlage ist die Absicherung der Kommunikation über einen verschlüsselten VPN-Tunnel absolut erforderlich. Letztlich müssen hier dieselben Maßstäbe gelten, wie bei einem PC, der sich mit dem Unternehmensnetz verbindet. Mit Blick auf den Schutz der Automatisierungslösung selbst ist es wichtig, dass die Schutzmechanismen der Automatisierungskomponenten auch eingesetzt werden. Dazu zählen beispielsweise Zugriffsschutzmechanismen, die definieren, wer welche Operationen durchführen darf. Das bedeutet jedoch auch, dass eingesetzte Apps die Schutzmechanismen unterstützen müssen. Ein Umgehen oder Abschalten von Security-Mechanismen, um eine bestimmte App zu Nutzen, muss im Rahmen des Security-Management-Prozesses gut überlegt sein. Zusätzlich sollte die Kommunikation im Sinne des Zellenschutzkonzeptes durch Firewalls kontrolliert werden, sodass nur erlaubte Zugriffe bei der Maschine ankommen.