Schon beim Planen von Produktionsanlagen muss man für IT-Sicherheit sorgen. Auf der Messe SPS IPC Drives präsentiert die TU Wien ihre IT-Security-Konzepte. (Bild: Pixabay)
„In der Produktionstechnik herrscht noch immer ein viel zu sorgloser Umgang mit Fragen der IT-Sicherheit“, sagt Edgar Weippl, IT-Security-Experte von der Information & Software Engineering Group an der TU Wien. „Viele Auftraggeber und Zulieferer sind einfach fest davon überzeugt, dass die IT-Angestellten, die ihre Software entwickeln, völlig ehrlich sind – aber darauf kann man sich leider niemals verlassen.“ Was passiert, wenn jemand schon bei der Entwicklung der Software für eine große Produktionsanlage ganz gezielt eine Schwachstelle einbaut? Was ist, wenn jemand einen Fehler entdeckt, ihn aber nicht meldet, sondern ihn später selbst ausnützt?
„Das sind keine Verschwörungstheorien, sondern Fragen, die man sich immer stellen muss, wenn viele Menschen bei einem großen Projekt zusammenarbeiten“, sagt Weippl. In der IT-Branche ist das schon seit vielen Jahren üblich – in diesem Bereich hat Weippl mit seinem Team auch schon viele Firmen erfolgreich beraten. Nun soll dieses Know-How auch auf den Produktionstechnik-Bereich übertragen werden.
Sicherheitsfragen müssen mehrere Bereiche abdecken
In der Industrie ist die Trennung zwischen IT-Komponenten und mechanischen Komponenten immer weniger klar möglich – man spricht von integrierten Systemen oder „Cyber-Physical-Systems“. Das bedeutet, dass man auch in Sicherheitsfragen diese beiden Bereiche nicht mehr voneinander trennen kann. Es genügt nicht, die Software alleine zu analysieren, man muss die gesamte Anlage betrachten. Wie sehen die Regelkreise aus? Welche Sensoren können in welchen Situationen welche Daten liefern? Welche Auswirkungen würde das haben?
„Es wäre beispielsweise denkbar, dass ein Hacker von außen in das System eindringt und irgendwelche physischen Parameter ändert, die dann zu weiteren Problemen führen“, meint Weippl. So könnte man etwa durch Hochfahren bestimmter Komponenten gezielt den Stromverbrauch auf eine Weise in die Höhe treiben, die zum Versagen des Systems führt. Man muss die Regelkreise also passend modellieren und sorgfältig untersuchen, um dann entsprechende Vorkehrungen zu treffen.
Umso wichtiger ist das bei Industrieanlagen, die auf eine lange Betriebszeit ausgelegt werden. Ein neues Mobiltelefon hat vielleicht eine Betriebsdauer von einigen Jahren, aber eine neugebaute Produktionsanlage soll fünfzig Jahre laufen – ohne dass sich Sicherheitslücken auftun. Daher müssen industrielle Prozesse klug geplant und abgesichert werden, man muss genau klären, wie sich spätere Änderungen durchführen lassen. Über den gesamten Lebenszyklus der Maschinen und Anlagen hinweg muss die Sicherheit der Informationsprozesse und Daten vor Manipulation und Diebstahl gewährleistet sein.
„Wir haben viel Erfahrung in diesem Bereich und wollen unsere Expertise aus der Forschung interessierten Firmen zur Verfügung stellen“, sagt Edgar Weippl. Auf der Industriemesse SPS IPC Drives wird er seine Konzepte erstmals breit einem Unternehmenspublikum vorstellen.
Die TU Wien auf der SPS IPC Drives 2017
In Halle 6 – Stand 230, auf dem Stand von logi.cals wird diese Messeneuheit von Dozent Edgar Weippl unter dem Motto „Sicherheit und Qualität für Industrie 4.0“ präsentiert. Unter diesem Titel wird auch Prof. Stefan Biffl, vom Institut für Softwaretechnik und Interaktive Systeme der TU Wien, gemeinsam mit seinem Industriepartner Software Quality Lab GmbH neuartige Werkzeuge für die Automatisierung von Software-Qualitätssicherung und für die transparente Nachvollziehung der Erfüllung von einschlägigen IT-Richtlinien vorstellen.
