Sichergehen auf dem Weg zur Industrie 4.0

Daten sind das neue Gold für die Wirtschaft. In der Industrie werden Produktionsbereiche standortübergreifend vernetzt, riesige Datenmengen erzeugt, ausgetauscht und in der Cloud gesammelt. Aus ihnen lassen sich mit Industrial Analytics wichtige Informationen für den Geschäftserfolg gewinnen: Wann droht der nächste Ausfall einer Produktionsmaschine, wann ist der günstigste Zeitpunkt für ein Wartungsfenster, wo sind noch Fertigungskapazitäten verfügbar? Über die Prozessoptimierung hinaus ermöglicht die intelligente Auswertung der gesammelten Daten die Entwicklung neuer Dienstleistungen. Maschinenhersteller können beispielsweise ihre Kunden mit zusätzlichen Service-Leistungen unterstützen, die gezielt auf Basis der Ergebnisse der Datenanalysen angeboten werden. Aus diesem Ansatz können sich neue, attraktive Geschäftsmodelle entwickeln.

Mit der zunehmenden Digitalisierung steigen allerdings auch die Anforderungen an die IT-Sicherheit in der Industrie: Die Datenkommunikation in vollvernetzten Produktionsbereichen, vor allem via Internet zu externen Clouds, muss zuverlässig abgesichert werden. Um Daten von Maschinen zu erfassen, zu verarbeiten und über sichere Verbindungen an Clouds weiterzuleiten, haben Schubert System Elektronik und der deutsche IT-Sicherheitsspezialist Genua das Cloud Edge Gateway GS.Gate entwickelt. Die Lösung lässt sich herstellerunabhängig an Maschinen anbinden und vereint Edge Gateway und Firewall auf einer kompakten Plattform. Da das GS.Gate auf dem Security-by-Design-Prinzip basiert, garantiert es auch ohne ständige Updates und Patches für die Analyse-Anwendungen ein hohes Sicherheitsniveau an der sensiblen Schnittstelle Maschine-LAN beziehungsweise Internet.

Das GS.Gate bietet auf kompakter Industrial Hardware zwei getrennte Bereiche: In einem können Maschinenhersteller oder -betreiber mittels Docker individuelle Anwendungen installieren. Diese Anwendungen rufen über gängige Schnittstellen LAN, IO-Link, Gbit-Ethernet oder Industrial Ethernet Zustands- und Leistungsdaten von der Maschine ab und führen die gewünschten Analysen durch. So werden bereits hier aus der gesamten Datenmenge die Informationen herausgefiltert, die für umfassende Industrial Analytics benötigt werden. Wichtig für Maschinenbetreiber ist zudem, dass er an dieser Stelle entscheiden kann, welche Daten in die Cloud des Herstellers übertragen werden dürfen und welche eben nicht. Durch diese Steuerung behält der Betreiber stets die Hoheit über seine Daten.

Im zweiten Bereich des Gateways befinden sich eine Firewall sowie die Remote-Access-Komponente für Fernwartungszugriffe. Über die Firewall werden die gewonnenen Informationen verschlüsselt via Internet zur Cloud weitergeleitet. Dabei schützt die Firewall das Industrial Gateway und die damit vernetzte Maschine vor Cyber-Attacken aus dem Internet. Über die Remote Access-Komponente können berechtigte Personen nach erfolgreicher Authentisierung über verschlüsselte Verbindungen Wartungsarbeiten am Gateway sowie an der angebundenen Maschine vornehmen.

Das GS.Gate ist nach dem Security by Design-Prinzip konzipiert – Sicherheitsaspekte bestimmen somit den grundlegenden Aufbau des Systems. Die Anwendungen zur Datenverarbeitung, die mit der Maschine sprechen, sind strikt getrennt von den Sicherheitssystemen, die die Kommunikation und Schnittstelle Richtung externes Netz schützen. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen, es gibt keine Überschneidungen. Diese Sicherheitsarchitektur ermöglicht ein Microkernel-Betriebssystem, das als unterste Ebene auf dem Gateway läuft und strikt getrennte Bereiche erzeugt. Der Vorteil: Nach außen, Richtung Netzwerk, sind nur die speziell gehärteten Sicherheitssysteme sichtbar. Diese werden durch regelmäßige Updates auf dem neuesten Stand gehalten und sind somit gegen alle aktuellen Bedrohungen gewappnet. Hinter diesem starken Schutzschirm sind die strikt separierten Datenverarbeitungsanwendungen von außen nicht erreichbar, sie können daher ohne ständige Eingriffe durch Updates und Patches betrieben werden. So lassen sich Änderungen oder gar Störungen bei den abgestimmten Abläufen vermeiden.

Das GS.Gate ermöglicht Maschinenherstellern und -betreibern einen großen Schritt bei der Digitalisierung: flexible Analysemöglichkeiten direkt an ihren Maschinen, kombiniert mit starker Sicherheit bei der Vernetzung und vor allem Anbindung an externe Clouds. So können Unternehmen die Vorteile der Vernetzung zur Industrie 4.0 sicher nutzen. Aru

Herr Ochs, was sind Ihrer Erfahrung nach die häufigsten Angriffe auf Cloud-Dienste?

An erster Stelle stehen hier Distributed-Denial-of-Service-Attacken (DDoS), die darauf abzielen, Cloud-Dienste durch massenhafte Anfragen zum Ausfall zu bringen. Bereits 24,8 Prozent der Unternehmen, die Cloud-Dienste nutzen, haben laut einer gemeinsamen Studie von IDG Research Services und Genua solche Attacken erlebt. Aber auch Brute Force und Phishing-Attacken zum Abgreifen von Passwörtern sehen wir häufig.

Und welches davon sind die für die deutschen Hersteller von Maschinen- und Anlagen gefährlichsten Angriffe?

Das hängt davon ab, für was und wie die Hersteller die Cloud nutzen. Sollten hier beispielsweise Kundendaten unverschlüsselt abgelegt sein und ein Angreifer erlangt darauf Zugriff, kann dies gravierende Folgen für das Unternehmen haben. Ein anderer Worst Case: Ein Angreifer nutzt die ungenügend geschützte Cloud eines Unternehmens als Sprungbrett, um in dessen sensibles Produktionsnetz einzudringen und den Betrieb lahmzulegen. Das wird richtig teuer und – dies ist zumeist noch schlimmer – kann Kundenbeziehungen und das Unternehmensimage langfristig beschädigen.

Welches sind die am meisten unterschätzten Risiken?

Bei einigen Firmen hören wir immer noch den Satz: „Wer soll uns denn angreifen, hier gibt es doch keine interessanten Daten.“ Damit wird das Risiko ganz klar unterschätzt. Erstens gibt es bei jedem Unternehmen Kundendaten, die für die Konkurrenz interessant sind. Zweitens werden die meisten Firmen gar nicht gezielt angegriffen, sondern sind Zufallsopfer oder Beifang: Die Erpresser-Malware Wannacry befiel wahllos alle Rechner, die eine bestimmte Schwachstelle aufwiesen, verschlüsselte die Daten und forderte Bitcoins. Die Malware NotPetya schoss wohl unbeabsichtigt über ihr eigentliches Ziel hinaus und legte weltweit zahlreiche Rechner lahm. Beide Malware-Wellen verursachten immense Schäden bei Unternehmen und Organisationen, die nicht gezielt anvisiert wurden. Das heißt: Jedes Unternehmen sollte sich um einen guten Schutz für seine IT kümmern, um großen oder sogar existenzbedrohenden Schaden abzuwehren.

Inwiefern haben sich die Angriffe auf die Cloud im Lauf der Zeit verändert?

Die Cloud-Anbieter und die Angreifer sind in einem ständigen Wettlauf. Die Anbieter haben erheblich in die Cloud Security investiert, die Angreifer wiederum haben ihr Know-how ausgebaut und ihre Methoden verfeinert. Heute sehen wir deshalb deutlich mehr spezifische Angriffe gegen gezielt ausgesuchte Schwachstellen.

Worauf sollten Unternehmen aus dem Maschinen und Anlagenbau bei der Wahl der Cloud vor allem achten?

Die Auswahlkriterien sind jeweils aus dem spezifischen Anwendungsfall abzuleiten. Sind besondere rechtliche Vorgaben zu beachten, wie zum Beispiel bei der Verarbeitung von Kunden- oder Logdaten die DSGVO-Konformität, ist dies bei der Anbieterwahl natürlich ein entscheidendes Kriterium. Auch das Security Level ist an der Anwendung auszurichten. So kommen für unternehmenskritische Prozesse nur Cloud-Anbieter mit umfassenden Security- und Redundanz-Konzepten in Frage, um eine hochzuverlässige Business Continuity zu erreichen.

Und worauf sollten die Unternehmen im Hinblick auf die technische Cloud-Sicherheit achten?

Bei der Cloud Security ist die Gesamtsicht wichtig: Von den einzelnen Geräten über die Rechenzentren und Schnittstellen bis hin zu den Übertragungswegen – überall muss die Sicherheit betrachtet und ein Gesamtkonzept geschnürt werden. Denn dem Angreifer reicht eine Schwachstelle in einer Komponente. Der Cloud-Betreiber sollte transparent offen legen, was er bei der Security zu bieten hat. Und er sollte seine zentralen Sicherheitsaussagen mit Zertifizierungen von unabhängigen Experten belegen.

Wie beurteilen Sie es in puncto Sicherheit, wenn Unternehmen auf ausländische Cloud-Anbieter setzen?

Die großen Cloud-Betreiber bieten heute ein sehr hohes Sicherheitsniveau. Dieses dürfte das Schutzniveau durchschnittlicher Unternehmens-Rechenzentren deutlich übertreffen. Es stellt sich aber die Frage des Vertrauens: Was macht der Cloud-Anbieter mit meinen Daten, nutzt er sie für seine Zwecke? Schließlich basieren die Geschäftsmodelle der erfolgreichen Tech-Konzerne auf der Nutzung der Kundendaten. Einige schreiben auch in ihren Geschäftsbedingungen, dass sie mit den gespeicherten Daten arbeiten. Unternehmen sollten beim Gang in die Cloud festlegen, wo ihre roten Linien sind, und dann einen passenden und vertrauenswürdigen Anbieter auswählen.

Was sollten Unternehmen tun, um den sicheren Umgang mit der Cloud zu fördern?

Wichtig sind klare Regelungen zur Cloud-Nutzung: Welche Daten gehören in die Cloud und welche eben nicht? Welche Daten müssen wie verschlüsselt werden? Und natürlich sollten die Mitarbeiter sensibilisiert werden, was es bedeutet, wenn die Daten in der Wolke liegen und nicht auf dem eigenen Rechner. Gut informierte Mitarbeiter werden die Regelungen befolgen und Fehler vermeiden.

Die Fragen stellte Angela Unger, Redakteurin