CAT: Vorurteile bedrohen Informationssicherheit in der Automatisierungstechnik. Mit dem Einsatz von PC-Technik und Ethernet-Kommunikation in der Automatisierungstechnik sind auch die Gefahren für die Informationssicherheit in diesen Anwendungen gestiegen. Bei näherer Betrachtung der Situation fällt auf, dass zwar alle Beteiligten die Gefahren erkennen, dass es aber bisher keine Lösungsansätze gab, die konstruktive Hilfestellungen boten. An dieser Stelle setzt die VDI/VDE-Richtlinie 2182 Blatt 1 „Informationssicherheit in der industriellen Automatisierung“ an, indem sie eine Vorgehensweise beschreibt, wie Hersteller von Automatisierungsgeräten, Maschinenbauer und Integratoren sowie Betreiber von Anlagen sichere und dabei wirtschaftliche Lösungen erreichen können.

Vorurteile vernebeln die Sicht – auch in der Diskussion um Informationssicherheit. Der Blick auf einige der besonders häufig anzutreffenden, typischen Denkweisen zeigt das sehr deutlich.

Vorurteil 1: „Kein Hacker interessiert sich für eine SPS“

Beim Gespräch mit Herstellern und Anwendern der Automatisierungstechnik wird die Bedeutung des Themas mit der Bemerkung heruntergespielt, dass sich sowieso kein Hacker gezielt damit auseinandersetze. Die Automatisierungstechnik sei viel zu speziell, so dass man damit nur wenig öffentliche Wirksamkeit erzielen könne. In der Realität erweist sich diese Aussage sogar als richtig, weil gezielte Angriffe zwar vorkommen, aber doch selten sind.

Es gibt allerdings andere Bedrohungen, die viel wahrscheinlicher sind und bei denen der potentielle Schaden nicht zu vernachlässigen ist. An erster Stelle ist hier das technische Versagen von Geräten zu nennen. Oft kommt es vor, dass ein Gerät ausfällt, ein Ersatzgerät zwar zur Verfügung steht, aber niemand in der Lage ist, das Ersatzgerät mit der erforderlichen, aktuellen Anwendungssoftware zum Leben zu erwecken, weil keine Disaster-Recovery-CD zur Verfügung steht. Hier können die Hersteller von Geräten einen Beitrag leisten, indem sie von Hause aus einen Recovery-Mechanismus anbieten, den die Anwender beim Laden von Firmware, Anwendungssoftware und Parametern einfach handhaben können.

Eine andere Gefahrenquelle stellen die Anwender dar, weil sie berechtigt sind, Programme und Daten zu verändern. Wie schnell kann es bei solchen Tätigkeiten zu Fehlkonfigurationen, Fehlzugriffen oder Fehlbedienungen kommen! Dies erfolgt in den allermeisten Fällen nicht mit böser Absicht, sondern durch Unaufmerksamkeit oder durch Unwissenheit. Diese Bedrohungen können durch eine verbesserte Systemtechnik der Geräte und entsprechende Bedienungsanweisungen für die Anwender erheblich reduziert werden.

Konkrete Erfahrungen in der Vergangenheit haben gezeigt, dass mittlerweile die Bedrohungen durch Schadsoftware nicht vernachlässigt werden darf. Viren, Würmer oder DoS-Attacken sind in der Lage die Echtzeitfähigkeiten der Automatisierungssysteme zu reduzieren oder ganz zum Erliegen zu bringen. Gegen solche Angriffe helfen softwaretechnisch gehärtete Geräte der Hersteller und der Einsatz von Schutzmechanismen in den Applikationen. Die Wahrscheinlichkeit, dass ein konkreter Schaden durch die hier beschriebenen Bedrohungen entsteht, ist viel größer als die Bedrohungen durch Hacker, Spione, Saboteure oder gar durch Cyberterroristen.

Wir haben es also mit ganz konkreten und täglich erfahrbaren Bedrohungen zu tun, vor denen wir die automatisierungstechnischen Anwendungen schützen müssen.

Vorurteil 2: „Wir sind mit Firewall und VPN-Verbindung bereits ausreichend gesichert“

Dieses Beispiel für ein Vorurteil zeigt sehr schön, dass man sich zwar Gedanken über die eine oder andere offensichtliche Bedrohung gemacht hat, das Thema aber nicht vollständig behandelt. Um zu wirklich sicheren Anwendungen zu kommen, muss der gesamte „Betrachtungsgegenstand“ und seine „Einsatzumgebung“ (s. VDI/VDE2182) analysiert werden. Hier drängt sich das Bild eines Hauses auf, bei dem zwar die Haustür und die Fenster gesichert wurden, bei dem aber vergessen wird, dass auch eine Kellertür eine Schwachstelle sein kann.

Auf die Automatisierungstechnik übertragen bedeutet dies, dass der Kommunikationszugang über ein Firmennetzwerk oder über eine Fernwartungsverbindung abgesichert wurde, dass aber vergessen wird, dass auch das Einlegen einer mit Schadsoftware verseuchten CD oder das Stecken eines verseuchten USB-Sticks die Anwendung zum Ausfall bringen kann. Die automatisierungstechnischen Anwendungen müssen also insgesamt und nicht nur punktuell gesichert werden.

Vorurteil 3: „Informationssicherheit ist Sache der Hersteller“

Genauso kann man als Hersteller behaupten, dass die Informationssicherheit Sache der Anwender sei. Die Beantwortung dieser Frage liegt in der sinnvollen Verteilung der Aufgaben auf alle Beteiligten. Natürlich muss sich der Betreiber einer Anlage Gedanken darüber machen, wie er für seine Anwendung die Informationssicherheit erreichen kann. Dies fällt ihm aber leichter, wenn er von seinen Maschinenbau- und Gerätelieferanten Dokumentationen erhält, in denen die Security-Eigenschaften des verwendeten Equipments beschrieben werden.

Im Gegenzug können die Hersteller von den Anwendern fordern, dass diese ihre Anforderungen an die Informationssicherheit spezifizieren und mitteilen.

Fazit

Die Informationssicherheit in der Automatisierungstechnik kann nur in der Zusammenarbeit von Herstellern, Maschinenbauern und Integratoren sowie den Betreibern sinnvoll und wirtschaftlich realisiert werden. Die VDI/VDE Richtlinie 2182 bildet hierfür die Grundlage.

Kontakt

Dipl.-Ing. Klaus Koch
CAT-Consulting für AutomatisierungsTechnik, Bürstadt
Tel.: 06206/7039760
klaus.koch@klkoch.de
www.klkoch.de