Informationssicherheit für Maschinen

Unbestritten: die Vorteile der Digitalisierung sind mannigfaltig. Allerdings bringen sie auch neue Probleme und Risiken mit sich, deren Auswirkungen man sich besser stets bewusst ist. So haben es beispielsweise Hacker zunehmend auf kritische Infrastrukturen und Produktionsstätten abgesehen. Möglich werden diese Angriffe durch die zunehmende Digitalisierung und Vernetzung von Systemen und Maschinen. Hierdurch gibt es völlig neue „Einfallstore“, welche rege genutzt werden.

Ein Beispiel ist die Malware „Mirai“. Sie nutzt die Tatsache aus, dass immer mehr Alltagsgegenstände wie Router, CCTV-Überwachungssysteme, Digital Video Recorder, Fernseher usw. mit dem Internet verbunden werden (Stichwort „IoT“ – Internet der Dinge). Sie durchsucht das Internet ständig nach Geräten mit Sicherheitslücken; ist eine Lücke gefunden, wird Schadcode auf diese Geräte aufgespielt. Das ursprüngliche Bot-Netz „Mirai" umfasste 2016 weltweit ca. 500‘000 kompromittierte IoT-Geräte. Mittlerweile sind bereits über drei Millionen Geräte im Bot-Netz gefangen! Mit Hilfe dieser Malware wurde kurz vor der US-Präsidentschaftswahl 2016 versucht, hochfrequentierte Webdienste wie Twitter, Spotify und Amazon zum Erliegen zu bringen.

Es ist möglich, einerseits die Produktion einer Fabrik lahmzulegen und andererseits auch Maschinen für Angriffe auf andere Systeme oder für die Verbreitung von Malware zu verwenden.

Die Vernetzung von Maschinen schreitet immer weiter voran (Stichwort „Industrie 4.0“). Dabei wird weiterhin häufig folgendes Netzwerkdesign eingesetzt:

Bild 1

Diese Art der Umsetzung der Vernetzung weist einige Mängel auf.

Sodann verwenden viele Maschinensteuerungen Windows- oder Linux-Betriebssysteme. Laufen auf der gleichen Hardware zusätzlich noch Echtzeitsysteme, werden in der Regel bewusst keine Sicherheitsupdates durchgeführt, um die Funktionalität nicht zu beeinträchtigen. Auch sind solche Systeme nicht immer mit Anti-Viren-Programmen ausgerüstet, da sich diese negativ auf die Funktionalität auswirken können. Aus diesen und weiteren Gründen muss ein Netzwerk mit Maschinen speziell abgesichert sein.

Eine mögliche Lösung ist eine Netzwerkstruktur wie sie im folgenden Bild dargestellt ist: 

Bild 2

Diese Netzwerkstruktur bietet mit weiteren, durch die firmeneigene IT-Gruppe definierten Regeln, einen besseren Schutz der industriellen Infrastruktur. Zu diesen Regeln gehören:

  • Unterteilung der Produktionsnetzwerke (Factory Floor), damit bei einem Angriff nicht alles lahmgelegt wird.
  • Allfällige Updates sollten gezielt und manuell eingespielt werden. Automatische Updates könnten zum falschen Zeitpunkt stattfinden und zum Ausfall einer Maschine während der Produktion führen.
  • Für Industriesysteme sollte die IT-Gruppe spezielle Regeln für Updates und Zugriffe auf das Internet erstellen.

In der dargestellten Infrastruktur sollte die Firewall zum Produktionsnetzwerk zudem so eingestellt werden, dass nur „zulässige“ Datenpakete weitergeleitet werden. Ein Zugriff von Maschinen auf das Internet ist (zumeist) nicht notwendig, somit kann dieser unterbunden werden.

Natürlich ist das Internet bei Weitem nicht die einzige Möglichkeit, sich auf Maschinen Probleme einzuhandeln, da Angriffe nicht nur über elektronische Netzwerke erfolgen können. Über Memory-Sticks, Flash Cards etc. kann ebenfalls Schadsoftware eingeschleppt werden.

Eine umfassende Analyse der Informationssicherheit eines Unternehmens ist heute ein Gebot der Stunde und der erste Schritt für mehr Schutz vor Cyberangriffen. Zu diesem Thema bestehen auch verschiedene Normen (z.B. ISO/IEC 27001) sowie Vorgehensmodelle (z.B. ISIS12).

Eine stetige Nachrüstung einer Maschinensteuerung mit den neuesten Betriebssystemen ist in der Regel zu aufwendig oder technisch mit vernünftigem Aufwand nicht machbar. Es bietet sich daher an, solche Systeme in einem informationstechnisch geschützten Bereich einzusetzen.

Bei der Integration von NUM-Systemen in Ihre IT-Infrastruktur und der Findung geeigneter Vernetzungslösungen unterstützen wir Sie gerne.

NUM AG
Battenhusstrasse 16
CH - 9053 Teufen

Telefon: +41 71 335 04 11
Email: sales.ch@dont-want-spamnum.com