IT-Sicherheit in Produktionsanlagen

«Sie würden sich wundern, was alles möglich ist!»

Hier steht irgendwo Produktionsleiter Emil und fragt sich, wie sicher eigentlich seine Fertigungsanlagen vor Cyberattacken sind? Bild: iStock.com
Markus Back / Chefredaktor Smart Tech /

‚Industrie 4.0‘ und das ‚Internet der Dinge‘ versprechen neue Geschäftsmodelle. Wie sind diese jedoch vor dem Hintergrund der jüngsten Cyber-Attacken zu bewerten, die selbst die Produktionsanlagen grosser Hersteller beeinträchtigten. Vor diesem Hintergrund sprach Smart Tech mit Produktmanager Stéphane Rey von Wago Contact.

Direkt zum Whitepaper "IT-Sicherheit in Produktionsanlagen"

Emil Fluri ist spät dran. Ein Auffahrunfall auf der A3 in Höhe Schweizerhalle lässt den Endvierziger an diesem klaren Sommermorgen trotz Ferienzeit noch schleppender vorankommen als sonst. Statt die Ressourceneinsatzpläne für den erst gestern von der Geschäftsleitung fixierten Grossauftrag durchzugehen, quält er sich Stop-and-go Millimeter für Millimeter zwei verbeulten Karossen entgegen. Während seine Augen am Horizont nach dem Stauende suchen, tastet sein rechter Zeigefinger nach dem Einschalter des Radios. Es ist kurz vor 7 Uhr und wenn er schon nicht arbeiten kann, will er zumindest wissen, was so alles in der Welt passiert? Seine Frau zieht ihn zwar gerne damit auf, dass ihn ohnehin nur seine Arbeit als Produktionsleiter interessiere, aber dem ich nicht so. Nur weil er es als Maschinenbau-Ingenieur gewohnt ist, strukturiert zu denken, heisst das noch lange nicht, dass ihm das Geschehen um ihn herum vollkommen gleichgültig ist. Aber was weiss seine Frau schon!

 

Cyber-Attacken auf Fertigungsanlagen zielen auf das Know-how von Unternehmen

 

Die Nachrichten beginnen mit einer Meldung aus Venezuela, wo der Oberste Gerichtshof von einem Hubschrauber aus beschossen wurde. Von Südamerika aus springt der Nachrichtensprecher nach Frankreich, wo die Gewerkschaften massiven Widerstand gegen die Arbeitsmarktreform angekündigt haben. Das Wort «Cyber-Attacke» ist noch nicht recht aus den Boxen verklungen, hat Emil Fluri deren Lautstärke hochgedreht. Diese erfolgte auf Firmen und Behörden mehrerer Länder und zieht immer weitere Kreise. Unter den Betroffenen ist angeblich auch der Kosmetikhersteller Beiersdorf. Die ukrainische Polizei hat inzwischen zwei Angriffsmethoden identifiziert, allerdings ist immer noch unklar, wer hinter dem Angriff steckt. Zehn Minuten später stellt der 48-Jährige sein Fahrzeug nachdenklich auf dem Parkplatz des Lohnfertigers im Kanton Baselland ab.

Die globale Cyber-Attacke ist das Thema beim Mittagstisch, zumal mit Mondelez ein namhafter Hersteller ganz in der Nähe von dieser betroffen ist. Ein im deutschen Lörrach wohnender Kollege hörte, dass die Schokoladenproduktion im Milka-Werk nach einem Totalausfall der IT steht. Der Gedanke an einen Produktionsausfall in seinem Unternehmen lässt Emil Fluri eiskalte Schauer über den Rücken laufen. Wenn Hackerangriffe selbst die Fertigung grosser Unternehmen wie Beiersdorf oder Mondelez massiv beeinträchtigen können, wie ist es dann um die IT-Sicherheit in einem KMU mit knapp 150 Mitarbeitern wie bei ihm bestellt? Ein Stillstand wäre für ihn und seinen Arbeitgeber das totale Fiasko! Die obsoleten Schichtpläne oder die hinfällige Kapazitätsplanung wären dabei nur ein Übel, wie sähe es aber mit dem erst gestern fixierten Grossauftrag aus? Der Chef konnte diesen schliesslich nur an Land ziehen, weil sie mit ihrer vernetzten Produktion viel flexibler fertigen können und so den Auftrag im Vergleich zum Wettbewerb sehr kurzfristig einschieben konnten.

Am Nachmittag trifft sich Emil Fluri spontan mit dem IT-Chef des Unternehmens. Es entbrennt mit ihm eine Diskussion darüber, wer den für die IT-Sicherheit der Produktion verantwortlich ist? Sein Gegenüber ist der Ansicht, dass die Verantwortung für diese beim Produktionsleiter liege, weil dieser schliesslich dafür zu sorgen habe, dass seine Mitarbeiter nicht unbefugt USB-Sticks in die PC an den Maschinen einstecken oder einen Virus durch fahrlässiges Surfen einfangen. Dass sieht Emil Fluri natürlich anders. Er vertritt die Meinung, dass die IT-Abteilung entsprechende Vorkehrungen zu treffen habe, um eine reibungslose Fertigung zu garantieren. Einig ist er sich mit dem IT-Chef indes in einem anderen Punkt: Es braucht zwingend das Gespräch mit einem Aussenstehenden, um die vernetzte Produktion nochmals kritisch untersuchen zu lassen. Bei deren Aufbau sah man sich schlichtweg nicht als ein mögliches Opfer einer Cyber-Attacke.

Auf dem Heimweg will bei Emil Fluri keine rechte Freude aufkommen. Zwar fliesst der Verkehr und zu Hause warten bereits ein kühles Bier und ein XXL-Steak, das er später auf den Grill legen wird, doch im Radio diskutieren gerade Experten über die Motive der globalen Cyber-Attacke. Und die könnten äusserst vielseitig sein. An manchen Tagen empfindet der 48-Jährige seinen Job und die damit einhergehende Verantwortung einfach nur als Last. Gibt es überhaupt jemanden, der seine Sorgen ernst nimmt?

 

Die globale Cyber-Attacke «Petya/NotPetya» Ende Juni diesen Jahres betraf selbst grosse Unternehmen, die teils Wochen mit deren Folgen kämpften. So fielen bei der weltgrössten Reederei Maersk gleich in mehreren Häfen die Container-Terminals aus, zudem liessen sich Aufträge nicht auf dem sonst üblichen Wege eingeben. Noch Anfang September funktionierte der Internetauftritt nur eingeschränkt. Grössere Probleme verursachte der Angriff auch bei Baiersdorf in Hamburg. Neben der Telefonanlage fielen beim Nivea-Konzern Teile der Produktion aus, so dass dieser auf seine Lagerbestände zurückgreifen musste, um den Einzelhandel versorgen zu können. Bei Lebensmittel-Riesen Mondelez in Lörrach nahe der Schweizer Grenze kam es ebenfalls zu grösseren Problemen. In der Medienmitteilung hiess es, dass man fieberhaft daran arbeite, den aktuellen weltweiten IT-Ausfall zu beheben und es nicht absehbar sei, wann die Systeme wieder verfügbar seien.

Zum Whitepaper "IT-Sicherheit in Produktionsanlagen"

Herr Rey, Sie haben die Geschichte des Produktionsleiters Emil Fluri gelesen. Er fragt sich, wie sicher die Produktion eines KMU mit knapp 150 Mitarbeitenden vor Cyber-Attacken sein kann, wenn es selbst grosse Hersteller wie Mondelez oder Baiersdorf treffen kann. Kann man sich vor diesen überhaupt wirksamen schützen?

Bei diesem Thema spielen so viele Faktoren mit hinein, dass es vermutlich niemals einen 100-prozentigen Schutz geben wird. Gerade deshalb ist es umso wichtiger, ein Bewusstsein für mögliche Risiken zu entwickeln. Denn nur wer weiss, wo seine Produktionsanlage angreifbar ist, kann sich entsprechend schützen. Meine Erfahrung ist, dass dieses Gespür wegen des fehlenden Verständnisses für die eingesetzte Technologie in vielen produzierenden Unternehmen jedoch gar nicht vorhanden ist.

Wenn das Verständnis für die eingesetzte Technologie fehlt, wie sollte dann dieses Bewusstsein geweckt oder gefördert werden?

Man muss nicht zwingend ein Sicherheitsingenieur sein, um sich zu fragen, was es für das eigene Unternehmen bedeutet, wenn beispielsweise Prozesse manipuliert oder Daten gestohlen werden? Im ersten Fall ist es womöglich eine kostspielige Rückrufaktion, im zweiten ein Verlust von Know-how oder Reputation.

Warum reicht es nicht, seine Produktion mit einer guten Firewall zu schützen?

Für eine sichere Produktionsanlage braucht es mehr als IT-Security. Die Sicherheit beginnt mit der regelmässigen Schulung der Mitarbeiter und umfasst des Weiteren so einfache Mechanismen wie beispielsweise die Zutrittskontrollen zu den Gebäuden.

Zutrittskontrollen! Das hört sich so an, als könne man heute noch so einfach in Unternehmen hineinmarschieren und auf deren Computer zugreifen?

Sie würden sich wundern, was alles möglich ist! Es gibt in der Schweiz noch immer KMU, in die man ungestört hineinlaufen oder mit dem Lieferwagen aufs Areal fahren kann und so bereits Zugang zu Accesspoints hat. Deshalb braucht es für sensible Zonen schon auf Türebene eine Zutrittskontrolle, zudem muss verhindert werden, dass so ohne weiteres ein USB-Stick in einen offenen Slot eingesteckt werden kann.

Was ist die Motivation, die hinter einer Cyberattacke auf eine Produktionsanlage steht? Da gibt es doch im Vergleich zu einer Bank überhaupt nichts zu holen?

Bei einem Angriff auf ein Produktionsunternehmen geht es in aller Regel nicht darum, Konten auszuspionieren oder heimlich irgendwelche Firmengelder zu transferieren. Viel interessanter ist das Know-how des Unternehmens, beispielsweise seine Rezepturen. Ein anderes Thema ist Erpressung. Der Angreifer blockiert sämtliche Rechner und gibt diese erst nach der Überweisung eines Lösegelds wieder frei.

Ein Versprechen von Industrie 4.0 und IoT sind effizientere Prozesse. Inwieweit geht diese Effizienz durch den Mehraufwand bei der IT-Sicherheit verloren?

Die IT-Sicherheit ist kein grosser Mehraufwand, sofern sie entwicklungsbegleitend stattfindet. Wer jedoch seine Maschine oder Anlage entwickelt und diese dann zum Schluss noch sicher machen möchte, hat verloren.

Wieso?

Die nachträgliche Integration von Sicherheitsmassnahmen kann das komplette Maschinen- oder Anlagenkonzept verändern, weil sich die Prozesse nicht mehr so wie gedacht fahren lassen. Im schlimmsten Falle muss mit der Entwicklung komplett neu begonnen werden. Dies lässt sich jedoch mit security by design vermeiden.

Prof. Dr. Karl-Heinz Niemann von der Hochschule Hannover beschreibt in einem Whitepaper Handlungsfelder in Bezug auf die IT-Sicherheit in der Produktion. Als eine Schwachstelle beschreibt er hierbei den Menschen. Welche typischen Fehler sind auf diesen zurückzuführen?

Denken Sie an folgende Situation: Ein Unternehmen sperrt in der Produktion den Internetzugang. Was macht nun ein Mitarbeiter, der seine auf Facebook gestellten Urlaubsfotos seinen Kollegen zeigten möchte? Ganz einfach. Er zieht seine Bilder zu Hause auf einen USB-Stick und spielt sie über das Bedienpult an der Maschine ein, um sie über den Monitor zu zeigen. War dieser USB-Stick infiziert, kann das bereits zu Problemen führen. Denkbar ist aber auch, dass Hacker über ein USB-Kabel, an dem ein Smartphone geladen wird, Zugriff auf eine Maschine erhalten. Doch solche leichtsinnigen Fehler lassen sich mit regelmässigen Schulungen vermeiden.

Mittlerweile ist es üblich, zu Servicezwecken oder zur Kontrolle von extern auf Maschinen zuzugreifen. Was ist hierbei zu beachten?

Zunächst stellt sich die Frage, wem man diesen Zugriff gewähren sollte? Dann macht es Sinn, zu prüfen, ob dieser Zugang nur auf eine bestimmte Maschine oder aber alle Maschinen gestattet sein sollte. Ausserdem sollte man Zeitfenster definieren, in denen ein externer Zugriff gestattet ist. Wir bei Wago bieten beispielsweise Lösungen an, mit denen sich ein zeitlich befristeter Zugang auf Maschinen einrichten lässt. Ist diese Zeit verstrichen, wird die Verbindung automatisch beendet.

Welche erste Massnahme empfehlen Sie KMU, die sich dem Thema ‚IT-Sicherheit in Produktionsanlagen‘ annehmen wollen und welche weiteren Massnahmen sollten unbedingt folgen?

Wie schon eingangs gesagt, dass Wichtigste ist zunächst einmal die Wahrnehmung des Risikos oder der Gefahr. Dann gibt es sehr gute Whitepaper, die diese Risiken beschreiben und Empfehlungen geben, die auch umgesetzt werden sollten. Zudem sollte jede Entwicklung von Beginn an Sicherheitsaspekte berücksichtigen und integrieren.

Zum Whitepaper "IT-Sicherheit in Produktionsanlagen"

In zehn Schritten zur IT-Sicherheit in Produktionsanlagen