ABAX hat schon vor einigen Jahren das Thema Security im IoT Umfeld besprochen. Durch die rasant voranschreitende Entwicklung rund um Digitalisierung ist es Zeit für ein Update.
Im dritten und letzten Teil unserer Serie befassen wir uns mit dem Spezialfall Smart Manufacturing.
Spezialfall Smart Manufacturing – Never change a running system?
Im zweiten Teil haben wir allgemeine Themen rund um Security bei vernetzten Geräten besprochen. Im dritten Teil unserer Serie wenden wir uns einer der wichtigsten Branchen, die sich intensiv mit Industrie 4.0 und IoT befassen zu, dem Bereich Produktion.
Die bisher isolierten und mit eigenen Protokollen ausgestatteten OT-Netzwerke werden immer mehr in das unternehmensweite IT-Netzwerk integriert, ebenso wie andere Systeme der Supply Chain oder des Vertriebs wie ERP Systeme. Das hat natürlich viele Vorteile und ist auch einer der wesentlichen Punkte, die Industrie 4.0 ausmachen, wie Sichtbarkeit, Automatisierung, Feedback und Kontrolle in Echtzeit.
Die Lieferkette umfasst nicht nur Rohstoffe für die Herstellung, sondern auch Drittanbieter von Komponenten, ausgelagerte Mitarbeiter für nicht zum Kerngeschäft gehörende Geschäftstätigkeiten und Subunternehmer zur Erfüllung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes dieser Elemente der Lieferkette ist eine Angriffsfläche
Industrie 4.0 muss IT-Sicherheit noch lernen
Die pauschale Aussage, dass Produktionsnetzwerke anfälliger für viele Arten von Security Attacken sind, ist sicher nicht übertrieben. Die speziellen Rahmenbedingungen der OT erleichtern potenziellen Angreifern das Überwinden vorhandener Sicherheitssysteme:
OT sind isoliert und damit automatisch geschützt
Die wohl häufigste Annahme ist, dass Fertigungsnetzwerke isoliert von anderen Bereichen (physikalisch und logisch) arbeiten und damit vor externen Bedrohungen geschützt sind. Die zunehmende Vernetzung hebelt dieses Argument allerdings zunehmend aus.
OT sind von normalen IT Routinen ausgenommen
Aus den unterschiedlichsten Gründern werden in der OT die in der IT üblichen Routinen bei Software-Updates- und Patching nicht so streng eingehalten. Passwörter bei oft durch Hersteller integrierte Features wie Firewalls bleiben oft jahrelang unverändert.
OT laufen auf veralteten Betriebssystemen
Nach einer Untersuchung von Trend Micro (Stand Dezember 2018) sind bei über 65 Prozent der Industrieanlagen noch Betriebssysteme auf dem Stand von Microsoft Windows 7 oder älter in Verwendung. Diese Betriebssysteme werden nicht mehr aktualisiert und stellen damit einen erheblichen Risikofaktor für Anlagendar.
Die an den weitesten verbreiteten Betriebssystemen in der Fertigungsindustrie. Basierend auf Daten von Trend Micro Smart Protection Network im Zeitraum von Juli bis Dezember 2018.
Niemand ist eine Insel
Leider weisen somit auch OT-Netzwerke Schwachstellen auf. Diese Tatsache ist natürlich auch Angreifern nicht entgangen, wie beispielsweise im aktuellen Global Threat Intelligence Report 2020 von NTT festgestellt wird: die Anzahl der Angriffe auf IoT Systemen nimmt stetig zu.
Zusätzliche Brisanz kann aus der Tatsache entstehen, dass auch Anlagen, welche die öffentliche Infrastruktur betreffend, davon betroffen sein können, Stichwort Smart City oder Fälle von gehackter kritischer Infrastruktur, bekannt vor allem sind hier die Fälle des gehackten Iranischen Atomkraftwerks vor einigen Jahren oder vor kurzem des ähnlichen Vorfalls in Indien.
Die meisten Schwachstellen betreffen dabei Schnittstellen wie HMIs (Human-Machine-Interfaces), speziell wenn diese Anwendungen auch einen Web-Zugang haben. Damit sind auch herkömmliche Web-Exploits gefährlich und können als Angriffsweg ausgenutzt werden.
Und natürlich muss immer wieder erwähnt werden: die Gegenseite nutzt sämtlich erkannten Schwachstellen aus und agiert hoch professionell.
Oft als Problem gesehen: reibungslose Integration der Security Maßnahmen
Die Digitalisierung, speziell auch in der Fertigungsindustrie, zeigt sich beispielsweise bei der Automatisierung von Fertigungsprozessen oder der Skalierung von technischen Ressourcen. Themen wie „künstliche Intelligenz“ und „Machine Learning“ sind allgegenwertig. Gleichzeitig ist allerdings zu beobachten, dass die Strukturen in Unternehmen mit der technologischen Entwicklung oft nicht Schritt halten.
Ein oft zitiertes und vorgebrachtes Argument gegen einen gezielten Fokus auf Security Maßnahmen rund um IoT und Industrie 4.0 Lösungen ist, dass diese den reibungslosen Ablauf von Prozessen stören, komplexer für die Anwender machen oder diesen komplett unmöglich machen würden.
Obwohl diese Einwände verständlich sind, dürfen sie nicht als Vorwand eines Verzichtes oder zumindest geringen Fokus auf die relevanten Sicherheitsaspekte rund um vernetzte Systeme dienen. Speziell der Schutz von (geistigem) Unternehmenseigentum, die Abwehr von Gefahren für Arbeitnehmer und Kunden und die damit verbundenen Auswirkungen auf betroffene Unternehmen sollten schon allein die notwendigen Maßnahmen rechtfertigen, um diesen Aspekt bei der Einführung und dem Betrieb von modernen Systemen ausreichend zu berücksichtigen
Bauen Sie Vertrauen in verbundene Geräte auf
Trotz aller Vorbehalte sind Unternehmen gut beraten, Security ernst zu nehmen. Das heißt, dass Prinzipien, die bei klassischen IT Systemen seit langem Standard sind, übernommen werden müssen. Besonders durch den Umstand, dass viele OT Anlagen im Vergleich zu IT Systeme sehr lange Lebenszyklen aufweisen, gilt es, diese Hinweise bei Auf- oder Umrüstung sowie Erweiterungen zu beachten:
- Beschränkungen der Rechte auf Domain- oder Netzwerklevel sind ein geeigneter erster Schritt.
- Dazu gehört auch, Zugangsberechtigungen generell einzuschränken.
- Weiters müssen alle Zugriffe auf vertrauliche oder geschützte Informationen protokolliert werden.
- Generell sollten nur solche Personen Zugriff auf Datei- und Ressourcen bekommen, die Dateien lesen, ändern oder erstellen müssen.
- Das regelmäßige Entfernen oder Deaktivieren von unnötigen Diensten kann potenzielle Sicherheitsprobleme verhindern.
- Ebenso ist eine Passwort- Policy sinnvoll, um veraltete, unsichere oder verloren gegangene Zugriffsrechte zu verhindern.
- Bereist angesprochen wurden die Vermeidung von veralteten Betriebssystemen sowie regelmäßige Update-Routinen der Systeme, um Schwachstellen zu vermindern.
Weitere Informationen zu Security rund um IoT
Fazit: IoT-Sicherheitsrisiken verstehen
Die Vorteile von Internet of Things sind unbestreitbar. Dennoch halten hochkarätige Angriffe in Verbindung mit der Unsicherheit über bewährte Sicherheitsmethoden und die damit verbundenen Kosten viele Unternehmen davon ab, die Technologie zu übernehmen. Außerdem sind Endbenutzer besorgt über die Folgen von IoT-Sicherheitsverletzungen. Vertrauen in die Sicherheit von Lösungen ist unerlässlich, um das volle Potenzial des Internet of Things auszuschöpfen. Die digitale Sicherheit muss von Grund auf und an allen Stellen im Ökosystem in Geräte integriert werden, um zu verhindern, dass Schwachstellen in einem Teil die Sicherheit des Ganzen gefährden.
Moderne IoT-Ökosysteme sind komplex. Maschinen und Objekte in praktisch jeder Branche können verbunden und konfiguriert werden, um Daten zu senden. Das digitale Sicherheitsrisiko ist bei jedem Schritt auf dem Weg zum Internet der Dinge vorhanden, und es gibt eine Reihe von Hackern, die die Sicherheitsanfälligkeit eines Systems ausnutzen würden. Der erste Schritt für jedes IoT-Unternehmen besteht in einer gründlichen Bewertung des Sicherheitsrisikos, bei der Schwachstellen in Geräten und Netzwerksystemen sowie in Benutzer- und Kunden- sowie allen involvierten Backend-Systemen untersucht werden. Das Risiko muss für den gesamten Lebenszyklus der Bereitstellung gemindert werden, insbesondere da es geografisch skaliert und erweitert wird.
ABAX steht zu Ihren Fragen rund um die Themen Industrie 4.0, IoT und selbstverständlich auch IoT Security natürlich sehr gerne zur Verfügung.
