Bis zum großen Knall

Kleine und mittelständische Industriebetriebe haben von Hackern nichts zu befürchten? Ein großer Irrtum, warnen Experten. Die Gefahr, Opfer zu werden, wächst.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge

Ein Blick ins IT-Sicherheitslabor des Fraunhofer IOSB. Hier lernen Produktionsexperten, wie sie Hackerangriffe abwehren.

(Bild: Fraunhofer IOSB)

Von
  • Bernd Müller

Zwei Behälter, der eine halb gefüllt mit Plastikringen, der andere mit Ringen aus Metall. Unermüdlich sortiert die kleine Maschine mit einem Metalldetektor die Ringe in die richtige Box. Doch plötzlich scheint sich die Anlage zu verhaspeln: Metallringe landen in der Box für Plastikringe und umgekehrt. Ein beherzter Schlag auf den roten NotAus-Knopf soll die Sortierung stoppen, doch es passiert: nichts. „Stopp“, sagt Christian Haas. Der Informatiker leitet das IT-Lernlabor Cybersicherheit am Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB in Karlsruhe. Haas hat die Sortieranlage mit einer Schadsoftware so manipuliert, dass sie nicht mehr richtig sortiert und außerdem der Not-Schalter nicht funktioniert. Damit sollen seine Zuhörer lernen, wie leicht

Hacker Produktionsanlagen stören können. Würde so etwas in einer echten Fabrik passieren, könnte das Menschenleben gefährden oder zumindest die Fertigung lahmlegen. „Häufig ist nicht die Technik das Problem, sondern organisatorische Fragen wie unklare Zuständigkeiten oder ungeschultes Personal“, so Haas.

Die meisten Betriebe sind sich der Gefahr nicht bewusst oder spielen sie herunter, warnt Ernst Esslinger: „Cybersicherheit in der Industrie ist wie ein Damoklesschwert.“ Esslinger ist Direktor für Methoden und Werkzeuge bei Homag, einem Hersteller von Holzbearbeitungsmaschinen in Schopfloch. Wer heute online einen Kleiderschrank oder eine Küche konfiguriert, erzeugt automatisch die Daten für die Maschinen, die die Bretter sägen und die Löcher bohren. Homag-Maschinen sind voll vernetzt, weil die Möbelindustrie das heute verlangt. Bei der Sicherheit gebe es noch Luft nach oben.

Der Maschinenbau-Ingenieur war Koordinator im Forschungsprojekt IUNO, das Konzepte zur IT-Sicherheit für Industrie 4.0 untersucht hat. IUNO hat Sicherheitslösungen für vier Anwendungsfälle entwickelt, allerdings werde das Thema Security derzeit kaum nachgefragt, so Esslinger. Die Ausreden sind bekannt: Die Betriebe glauben, dass sie nicht interessant seien für Hacker. Oder dass die Installation einer Firewall ausreiche. Und Updates für Maschinen mache man später, denn gerade jetzt könne man sich keinen Stillstand leisten.

Und der kommt schneller als man denkt. Der Rückversicherer Munich RE schätzt die Schäden durch Cyberattacken 2018 weltweit auf 600 Milliarden Dollar. Bei den kleinsten Unternehmen sind solche Attacken überdurchschnittlich oft erfolgreich, sagt die Studie „Cyberrisiken im Mittelstand“ von 2018 von Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft. Und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im vergangenen Jahr bis zu 400.000 neue Schadprogramme – pro Tag. Ob Großkonzern oder Kleinbetrieb – früher oder später wird ein Splitter jeden erwischen – und schmerzliche Wunden reißen, wenn keine Schutzmaßnahmen getroffen wurden.

Umso erstaunlicher, wie wenig die Betriebe in Vorsichtsmaßnahmen investieren. Der fünfte Industry Cyber Exposure Report, den der IT-Sicherheitsdienstleister Rapid7 im Oktober 2019 vorgestellt hat, stellt deutschen Unternehmen in Sachen Verwundbarkeit und Resilienz ein schlechtes Zeugnis aus. 295 der 320 befragten Unternehmen haben zum Beispiel schwache oder gar keine Abwehrmaßnahmen gegen Phishing. Die Forsa-Studie für die Versicherungswirtschaft belegt: 73 Prozent der Unternehmen glauben, dass sie auch ohne weitere Maßnahmen ausreichend gegen Cyberrisiken geschützt seien.

Ein Problem in solchen Umfragen ist, dass sie sich meist auf die IT-Sicherheit beziehen, wobei die Informationstechnik im Büro gemeint ist, also Windows-PCs und Office-Software. Auch wenn ein Mitarbeiter mal auf einen infizierten Mailanhang klicke, habe das keine Auswirkungen auf die Prozesse in der Werkstatt, denken viele. Das ist aus mehreren Gründen falsch. Wenn eine Ransomware alle PCs blockiert und Angreifern zum Entsperren Lösegeld fordern, kann dies das Unternehmen tagelang lahmlegen – wie bei Pilz in Esslingen. Der Hersteller von sicheren Automatisierungslösungen wurde im Oktober 2019 Opfer eines solchen Angriffs und musste alle Rechner herunterfahren. Außerdem sind die Informationstechnologie im Büro und die Operationstechnologie in der Werkstatt – die Welt der SPS-Maschinensteuerungen – heute sehr wohl vernetzt, wie das Beispiel Homag deutlich macht. Betriebe müssen sich deshalb viel mehr um die Cybersicherheit ihres Maschinenparks kümmern.

Im Projekt IUNO haben die Partner eine Lösung zur sicheren Fernwartung von Industrieanlagen entwickelt. Im Bild der Demonstrator von Bosch.

(Bild: Robert Bosch GmbH)

Wie das geht, zeigt das Projekt I4sec, das vom Bundesministerium für Bildung und Forschung gefördert wird. Dort entwickeln Industriepartner Konzepte, um Sensordaten für die Fernwartung sicher zu erfassen und zu übertragen. Ein Partner im Projekt ist Buday, ein Hersteller von technischen Klebebändern. Wann wird das Schneidemesser stumpf, wie hoch war die Temperatur bei der Verarbeitung des Klebers? Solche Informationen sollen Buday helfen, die Effizienz und Qualität zu optimieren und neue Geschäftsmodelle wie die vorausschauende Wartung zu erschließen. Allerdings ohne sich Sicherheitsrisiken ins Haus zu holen.

Drei Regeln sollten sich Betriebe dabei zu Herzen nehmen. Erstens: So wenig Daten wie möglich übertragen. Aus dem Schwall an Informationen, die Maschinen heute erzeugen, sollten nur die übermittelt werden, die wirklich notwendig sind. Zweitens: Informationen so übermitteln, dass Lauscher daraus keine Informationen gewinnen können, etwa über Taktraten oder Qualitätsmerkmale. Drittens: Der Datenverkehr sollte eine Einbahnstraße sein. Buday etwa liest die Messwerte der Sensoren über das Netzwerk aus, nicht erlaubt ist dagegen, Befehle in die Maschinensteuerung zurückzuschreiben. Das schützt vor Manipulationen durch Hacker.

Ähnlich geht Kallfass in Nürtingen vor. Der Hersteller von Folienverpackungsmaschinen ertüchtigt seine Maschinen neuerdings für die vorausschauende Wartung. Vereinfacht dargestellt meldet die Maschine zum Beispiel eine „0“, wenn der Schweißstempel unten ist, und „1“, wenn er oben ist. „Was die vielen Nullen und Einsen in der gesamten Fabrik bedeuten, kann ein Angreifer nicht sehen“, sagt Michael Rempfer, technischer Direktor bei Kallfass. Erst die Software im Leitrechner weist den Signalen eine Bedeutung zu, etwa die Zahl der Schweißzyklen und damit die Verschmutzung und den Zeitpunkt für die Reinigung. Zudem ist der Datenverkehr eine Einbahnstraße – die Maschine sendet nur Informationen. Damit überzeugt Kallfass auch skeptische Kunden, die Betriebsdaten erfassen wollen, aber keinen Zugriff von außen auf ihr Netzwerk wünschen. „Das verhindert Stillstand und spart Kosten“, sagt Rempfer.

Eine Daten-Einbahnstraße zur Nachrüstung hat Siemens mit der „Daten-Diode“ entwickelt. Die Data Capture Unit ermöglicht das direkte Einspeisen von Daten aus kritischen und industriellen Infrastrukturen in die Cloud, etwa zum Zweck der Datenanalyse oder der vorausschauenden Wartung. Gleichzeitig wird das mit diesem

Übertragungsweg einhergehende Cybersicherheitsrisiko vollständig eingedämmt. Die integrierte Datendioden-Technologie von Siemens gewährleistet dabei nicht nur den Datenfluss in ausschließlich eine Richtung im reinen Lesemodus, sondern auch die physische Trennung von industriellen und IT-Netzwerken. Dieser Ansatz schützt kritische und industrielle Datenbestände vor Fern-Manipulationen durch Hacker, denn das Chipdesign selbst sorgt für die Sicherheit, nicht die Software.

Solche Innovationen sind nützlich, lösen aber nicht den Modernisierungsstau in den meisten Fabriken. „Viele Maschinen laufen noch mit Windows 95 oder XP und haben seit Jahren keine Sicherheitsupdates mehr bekommen“, sagt Ernst Esslinger von Homag. Der Grund: Produktionsleiter hätten panische Angst davor, dass ein Update fehlschlage und die ganze Fertigung für Stunden stillstehe. Daneben gebe es auch ein Kommunikationsproblem: „Die IT-Sicherheitsexperten sprechen eine Sprache, die die Produktionsexperten oft nicht verstehen.“

Derzeit sei die Nachfrage nach Lösungen für Cybersicherheit in der Produktion gering. Das werde sich ändern: „Irgendwann kommt der große Knall“, glaubt Ernst Esslinger. Das Problem sei erkannt, sagt der Homag-Manager: „Aus dem IUNO-Projekt haben wir Sicherheitslösungen in der Schublade liegen, die man relativ zügig zu marktreifen Produkten entwickeln könnte.“

Vielleicht ist der große Knall auch gar nicht nötig, denn auch so wächst der Druck auf die Betriebe. Große Unternehmen wie Bosch oder Siemens haben Richtlinien zur Cybersicherheit aufgestellt, die ihre Zulieferer erfüllen müssen. Siemens etwa hat seine Allgemeinen Geschäftsbedingungen angepasst und stellt alle seine Lieferanten darauf um. Doch viele kleine Zulieferer könnten überfordert sein, weil sie nicht die finanziellen Mittel und nicht das Know-how haben. „Wir lassen diese Betriebe nicht allein“, verspricht Kai Hermsen, der bei Siemens die Charter of Trust koordiniert, ein Zusammenschluss von IBM, Airbus, TÜV Süd und weiteren großen Unternehmen, um Cybersicherheit in internationalen Lieferketten zu verbessern. Ein gemeinsames Vorgehen soll helfen, individuelle Sicherheitslücken bei Lieferanten zu schließen und die Standards zu erfüllen. Hermsen: „Schon jetzt erfüllen mehrere tausend Lieferanten die neuen Standards und es werden täglich mehr.“

(bsc)