Der Sensor ist derzeit das gefährlichste Einfallstor für Hacker-Angriffe. (Bild: AISEC)
Welche Gefahr geht überhaupt von Cyberangriffen auf Sensorik im IoT aus? Kann Sensorik zur Schwachstelle in Produktionsumgebungen werden? Schon bei den Recherchen wird deutlich, wie schwierig es ist, diesen Fragen auf den Grund zu gehen – für Maschinenbauer und Hersteller von IoT-Devices zur sicheren Datenübertragung ist Sensor-Security offenbar kaum ein Thema.
„Der Sensor ist aus unserer Sicht derzeit das gefährlichste Einfallstor. Bisher liegt das Hauptaugenmerk auf der Logik in Leitstand, Schaltschrank oder SPS. Für den Schutz der Steuerung wird schon viel in Sicherheitsmaßnahmen investiert, beispielsweise in Zugangsschutz und Berechtigungen. Sensoren und Aktoren werden hingegen stiefmütterlich behandelt, obwohl sie genauso vernetzt sind“, warnt Matthias Springer, Fachleiter Funktionale Sicherheit und Security bei TÜV Nord Cert. Das liege auch daran, dass Sensoren oft eher günstigere Komponenten sind als der Logikblock. Es gelte dann das Prinzip, je günstiger die Bausteine, desto weniger Security-Maßnahmen sind wirtschaftlich – auch wenn das sicherheitstechnisch natürlich so nicht funktioniert.
Bleiben Sie informiert
Diese Themen interessieren Sie? Mit unserem Newsletter sind Sie immer auf dem Laufenden. Gleich anmelden!
Vom Sensor aus ins Unternehmensnetz
„In einer Fabrik, in der die einzelnen Bereiche vernetzt sind, ist es für Angreifer auch möglich, von einem ungeschützten Sensor aus in andere Bereiche einzudringen, das Messverhalten des Sensors oder die Messdaten aktiv zu verändern“, erklärt der Security-Experte, der sich intensiv mit der Schnittstelle von IT-Sicherheit und industrieller Produktion befasst. In der Sicherheitstechnik wird in Sensor, Logik, Aktor gedacht. Die OT-Struktur folgt meist dem Schema, dass ein Sensor als erstes Glied in der Kette Messdaten aufnimmt, die dann über Control Units, Steuereinheiten, SPS oder eine Leitstelle weitergeleitet und verarbeitet werden. Wenn die Steuerung der Maschine oder Anlage über Sensormesswerte erfolgt, zum Beispiel beim Öffnen oder Schließen eines Ventils oder der Geschwindigkeitsregelung eines Motors oder einer Turbine, können verfälschte Sensordaten sogar mit Blick auf Personenschäden durchaus sicherheitsrelevant werden.
„Welche Auswirkungen es hat, wenn Messwerte unbemerkt bei der Erfassung oder Übertragung verändert werden, hängt natürlich sehr von der Anwendung und den Zielen des Angreifers ab. Auch sehr kleine Änderungen können gefährlich sein. Sie werden naturgemäß weniger leicht bemerkt als große Störungen oder Ausfälle, können aber zum Beispiel die Qualität der erzeugten Produkte oder erbrachten Dienste senken und auf diese Weise Schäden anrichten“, erklärt Dr. Haya Shulman, Professorin für Informatik an der Goethe-Universität Frankfurt und Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT.
Verlockend einfach: Drahtlose Sensorik
„Die Bedrohungslage ist real und es gibt noch viel Nachholbedarf“, bestätigt Dr. Matthias Hiller, Abteilungsleiter Hardware Security am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC. Zu dieser Einschätzung ist auch die Politik gekommen. Zu mehr Sicherheit soll künftig der Cyber Resilience Act der EU beitragen, bei dem Security in Produkten und in Produktionsprozessen verankert sein muss.
Zugleich ist die Sensorikintegration über drahtlose Schnittstellen ein attraktives Konzept. „Auf der Nutzerseite bringt die Vernetzung erhebliche Vorteile, um Prozesse besser steuern, schneller eingreifen zu können und mehr Informationen zu bekommen“, nennt Dr. Volker Peters die Chancen der Sensorikvernetzung. Wichtig sei jedoch zu bedenken, dass ein System für eine bestimmte Bedrohungslage entwickelt wurde, erklärt der Abteilungsleiter für Integrierte Sensorsysteme am Fraunhofer-Institut für Integrierte Schaltungen IIS. Früher dachte man dabei noch an den Pförtner, der am Tor aufpasst. „Durch die Vernetzung werden zusätzliche Verbindungen in ein altes Modell hinzugefügt, auch Querverbindungen von vormals getrennten Bereichen. Jede neue Schnittstelle ist eine potenzielle Schwachstelle für Angriffe innerhalb bisher geschützter Umgebungen“, so Peters. Altanlagen sind auch nach Erfahrung von Springer eine große Schwachstelle. Schon seit einem Jahrzehnt werden sie von Betreibern vernetzt, die OT-Sicherheit stand dabei nicht immer im Vordergrund.
Was ist der Cyber Resilience Act der EU?
Der Cyber Resilience Act der EU ist ein Gesetzesentwurf, der die Widerstandsfähigkeit europäischer Systeme und Dienste gegen Cyberangriffe verbessern soll. Der Gesetzesentwurf verpflichtet bestimmte Unternehmen und Organisationen, ihre Cybersicherheit auf ein angemessenes Niveau zu bringen und sicherzustellen, dass sie in der Lage sind, angemessen auf Cyberangriffe zu reagieren.
Der Entwurf sieht vor, dass Unternehmen und Organisationen ihre Systeme und Dienste regelmäßig überwachen und testen, um Schwachstellen zu identifizieren und zu beheben. Außerdem müssen sie eine Risikobewertung durchführen und einen Notfallplan erstellen, um im Falle eines Cyber-Angriffs schnell und effektiv reagieren zu können. Unternehmen und Organisationen, die die Anforderungen des Gesetzes nicht erfüllen, müssen mit Bußgeldern rechnen.
Abteilungsleiter Hardware
Security Fraunhofer AISEC. (Bild: AISEC)
„Angreifer schicken falsche Daten oder Updates an ein Device, loggen sich als Admin ein oder versuchen drahtlos zuzugreifen.“
Unternehmen müssen sich auf zwei Bedrohungsszenarien einstellen
In der Praxis gilt es, sich auf mindestens zwei konkrete Bedrohungsszenarien einzustellen. Im ersten Szenario wird der Sensor in Ruhe gelassen, der Angreifer benutzt ihn nur als Eingangstür und geht weiter ins System hinein. Der Sensor liegt auf der untersten Kommunikations- oder Feldbusebene, von dort aus geht es über den Schaltschrank hin zum Leitstand und auf den Windows-Rechner des Operators. Von hier ist der Weg frei in andere Unternehmenssysteme und hinein ins gesamte Netzwerk. Zudem lässt sich von hier aus die Anlage lahmlegen oder die Festplatte mit Ransomware verschlüsseln. In Szenario zwei werden Sensordaten oder das Messverhalten verändert. Eine solche Manipulation könnte zu großen Problemen führen, wenn zum Beispiel eine zu niedrige Temperatur oder eine abweichende Drehzahl „vorgegaukelt“ wird. Im schlechtesten Fall kann so beispielsweise ein Kessel in die Luft fliegen.
Zu jeder Risikobetrachtung gehöre auch die Frage, wie viele Geräte mit einem Angriff gleichzeitig erreicht werden könnten. Die gute Nachricht: Auch bei drahtloser Datenübertragung bieten kryptografische Algorithmen und Protokolle eine verlässliche Möglichkeit der Absicherung. Dazu gehört auch das Wissen, wann, von woher und von wem Daten kommen, um sicher zu sein, dass alles korrekt läuft. Außerdem können Verbindungen durch Distributed Denial of Service Attacken (DDoS) gestört werden. „Es gilt, das richtiges Protokoll auszuwählen und alle Eventualitäten abzufangen, wie etwa ungültige Datenkombinationen, die ungewollte Zustände erzeugen“, konstatiert Hiller. Zudem solle das System durch Prüfprozesse, möglichst auch von externen Teams, getestet werden.
Fachleiter Funktionale Sicherheit TÜV Nord Cert (Bild: TÜV Nord)
„Unternehmen, die auf Retrofit gesetzt haben, sollten die Security im Sensor- und Aktorbereich dringend nachschärfen.“
Augen auf beim Retrofit
Maschinen- und Anlagenbauer sollten also Vorbereitungen treffen, wenn sie ihre Produkte mit Sensorik ausstatten oder per Retrofit ergänzen. „Die wichtigste Vorsichtsmaßnahme ist, sich über die Tragweite so einer Entscheidung im Klaren zu sein. Jedes Unternehmen, das sein Portfolio um IT-Komponenten anreichert, egal welche, wird dadurch selbst zum IT-Unternehmen. Das klingt trivial, aber es bedeutet, dass so ein Unternehmen auf einmal ganz neue Kompetenzen und Prozesse braucht“, stellt Shulman fest. Werde Software selbst entwickelt, müsse sie ausreichend sicher sein, was geschulte Entwickler und Prozesse voraussetze. Für die kontinuierlichen Updates von Software und Firmware sei eine entsprechende Infrastruktur bis zum Kunden nötig. Zudem sollten Notfallprozesse definiert und eingeübt werden. „Das Gesamtsystem muss kompetent abgesichert sein, von der Auswahl der intelligenten Sensoren über die verschlüsselte Datenübertragung bis hin zu den unterstützten Schnittstellen, Protokollen, damit verbundenen Rechtekonzepten und so weiter“, sagt Haya Shulman. Das Lehrgeld, das die Autohersteller zu Beginn hätten zahlen müssen, zum Beispiel durch gehackte Fahrzeuge, sollten sich die Maschinen- und Anlagenbauer besser ersparen.
Abteilungsleiter für Integrierte Sensorsysteme am Fraunhofer IIS (Bild: Fraunhofer IIS)
„Die Bedrohungslage muss beim Hinzufügen von Sensorik neu analysiert, Chancen und Risiken abgewogen
werden.“
Klassische Security-Maßnahmen nicht verschlafen
„In vielen Projekten wird vor allem darauf geschaut, dass die Sensorik günstig ist. TÜV-Empfehlung ist jedoch, dass diese trotzdem sicher sein muss und mindestens grundlegende Security-Maßnahmen implementiert werden sollten“, sagt Springer. Es gebe viele „quick wins“ bei den Basismaßnahmen. Dazu gehört zum einen, unnötige Ports im Sensor abzustellen und alle unnötigen Schnittstellen auszuschalten, die nicht benötigt werden. „Sensoren bringen oft Schnittstellen zum kabelgebundenen Ethernet, WLAN, oder Bluetooth-und USB-Standards mit. Jede einzelne Schnittstelle kann ein Einfallstor sein, über die sich jemand, der zum Beispiel vor dem Sensor steht, einloggen kann“, so Springer. Auch ein Angriff aus der Ferne ist natürlich denkbar. Zudem müsse der Sensorzugang mit Passwort geschützt sein. Auf diese Weise könnten – wie bei einer verriegelten statt offenen Haustür – bereits normale Einbrüche abgewehrt werden. Zu 80 Prozent mehr Sicherheit sei mit wenigen Maßnahmen möglich, bei den restlichen 20 Prozent werde es etwas aufwendiger.
Auch auf die regelmäßige visuelle Kontrolle kommt es an: Ist die Verplombung aktiv oder hat jemand das Gerät oder eine Schnittstelle manipuliert? Vor allem müssen die Menschen in der Produktion gut geschult werden und wissen, welche Angriffe möglich sind: über Ports, unzureichende Passwörter, Passwörter, die nicht regelmäßig geändert werden oder mangelnde Security-Patches. „Wenn das Passwort ‚1234‘ lautet oder das Default-Passwort nicht geändert wird, was in der Praxis immer noch sehr häufig der Fall ist, dann hat alles andere keinen Sinn. Das Security-Dreieck aus technischen, organisatorischen und Qualifikationsmaßahmen für Mitarbeitende muss immer stimmen“, erläutert Matthias Springer.
Cybersecurity in 180 Sekunden erklärt
Maschinenbauer sollten bei der Übergabe bei Security nachlegen
Es gibt eine weitere Sicherheitslücke, die sich im Zusammenspiel zwischen Maschinenherstellern und ihren Kunden auftut. Zwar sind die Produkte in der Regel „secure“, der Maschinenbauer kennt jedoch oft nicht die Gesamtanlage, den Kontext. „Der Maschinenbauer kennt nicht die gesamte Anlage, sondern hat nur Annahmen getroffen, wie es in wirklichen Welt aussieht. Hier fehlt ein Stück Information, und Maschinenbetreiber müssen Anpassungen vornehmen. Das ist eine kritische Übergabestelle, an der die meisten Fehler passieren“, sagt Springer.
Wer haftet, wenn über einen Sensor ins System eingebrochen und letztlich die Leitstelle gehackt wird? Das rechtliche Thema der Haftung sei in diesem Umfeld besonders schwierig, meint Matthias Springer. Wenn Sensoren manipuliert werden, und das nicht sicherheitstechnisch im Gesamtsystem abgefangen wird, dann könnten die Folgen massiv sein, bis hin zu Personen- und Umweltschaden sowie finanziellem Schaden. Auch bei automatisierten Prozessen oder autonomen Systemen, beispielsweise in der Werkslogistik, droht Ärger. Wird zum Beispiel ein ganzer Prozess dadurch außer Kraft gesetzt, kann das erhebliche wirtschaftliche Folgen haben.
Abteilungsleiterin am
Fraunhofer SIT (Bild: Fraunhofer SIT)
„Jede Komponente kann angegriffen und zur Schwachstelle für das ganze System werden. Das gilt auch für Sensorik und Aktorik.“
Digitale Zwillinge eignen sich auch für Security-Simulationen
Bei der Risikoabwägung und schon in der Designphase gelte es, die Aspekte Security und Safety zusammen zu denken, da sie oft noch – auch normativ – getrennt betrachtet werden, raten die Experten. Nur so könne Sicherheit wirksam „by Design“ im System verankert und effizient umgesetzt werden. Gerade im Kontext autonomer Systeme wie Cobots oder selbstfahrenden Logistiksystemen wächst die Komplexität im Zusammenspiel vieler Geräte, die von unterschiedlichen Herstellern kommen und jeweils selbständig Entscheidungen treffen. Hier sei es besonders wichtig, die Security- und Safety-Implikationen zu verstehen.
Abhilfe könnte hier aus Security-Sicht perspektivisch eine Kombination aus Sensordaten mit dem Konzept des Digitalen Zwillings schaffen, meint Peters. Damit könne ein sehr genaues digitales Modell einer Anlage neues Wissen bringen. Denn oft stünden die Daten aus unterschiedlichsten Quellen mit jeweiligen Restriktionen sonst nicht für die Sicherheitsbetrachtung zur Verfügung. „Digital Twins sind sehr spannend für die Security, weil sich simulieren lässt, ob ein Modell gegen bestimmte Angriffe sicher ist. Um zu testen, wie tief ein Angreifer ins System kommen kann, will man keine Echtdaten nutzen. So kann auch simuliert werden, welche Sicherheitsmechanismen noch Nutzen bringen könnten“, erklärt auch Hiller.
Zwar seien Maschinen- und Anlagenbauer in ihrer Chancen- und Risikoeinschätzung oft noch zu Recht konservativ. Die Fraunhofer-Experten sind sich jedoch sicher: Schon weil die Anforderungen an Nachhaltigkeit und das CO₂-Reporting steigen, werden auch im Maschinenbau zunehmend mit Sensorik vernetzte Produkte und Lösungen auf den Markt kommen – trotz der Security-Herausforderungen.
