Aktie auf facebook
Aktie auf twitter
Aktie auf linkedin
Aktie auf xing
Aktie auf email

IoT und Security – immer noch aktuell Teil 3

Industrial Manufacturing
Industrielle Fertigung / Industrial Manufacturing ist einer der Vorreiter bei der Umsetzung von digitalen Konzepten. Security wird hier oft als Einschränkung empfunden - zu recht? (Bild: stock.adobe.com)

ABAX hat schon vor einigen Jahren das Thema Security im IoT Umfeld besprochen. Durch die rasant voranschreitende Entwicklung rund um Digitalisierung ist es Zeit für ein Update.

Im dritten und letzten Teil unserer Serie befassen wir uns mit dem Spezialfall Smart Manufacturing.

Die beiden vorangegangenen Teile finden Sie hier und hier.

Spezialfall Smart Manufacturing – Never change a running system?

Im zweiten Teil haben wir allgemeine Themen rund um Security bei vernetzten Geräten besprochen. Im dritten Teil unserer Serie wenden wir uns einer der wichtigsten Branchen, die sich intensiv mit Industrie 4.0 und IoT befassen zu, dem Bereich Produktion.

Die bisher isolierten und mit eigenen Protokollen ausgestatteten OT-Netzwerke werden immer mehr in das unternehmensweite IT-Netzwerk integriert, ebenso wie andere Systeme der Supply Chain oder des Vertriebs wie ERP Systeme. Das hat natürlich viele Vorteile und ist auch einer der wesentlichen Punkte, die Industrie 4.0 ausmachen, wie Sichtbarkeit, Automatisierung, Feedback und Kontrolle in Echtzeit.

Die Lieferkette umfasst nicht nur Rohstoffe für die Herstellung, sondern auch Drittanbieter von Komponenten, ausgelagerte Mitarbeiter für nicht zum Kerngeschäft gehörende Geschäftstätigkeiten und Subunternehmer zur Erfüllung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes dieser Elemente der Lieferkette ist eine Angriffsfläche

Industrie 4.0 muss IT-Sicherheit noch lernen

ABAX und Trend Micro geben einen Überblick zu den wichtigsten Aspekten rund um Industrie 4.0 und IT Security

Die pauschale Aussage, dass Produktionsnetzwerke anfälliger für viele Arten von Security Attacken sind, ist sicher nicht übertrieben. Die speziellen Rahmenbedingungen der OT erleichtern potenziellen Angreifern das Überwinden vorhandener Sicherheitssysteme:

OT sind isoliert und damit automatisch geschützt

Die wohl häufigste Annahme ist, dass Fertigungsnetzwerke isoliert von anderen Bereichen (physikalisch und logisch) arbeiten und damit vor externen Bedrohungen geschützt sind. Die zunehmende Vernetzung hebelt dieses Argument allerdings zunehmend aus.

OT sind von normalen IT Routinen ausgenommen

Aus den unterschiedlichsten Gründern werden in der OT die in der IT üblichen Routinen bei Software-Updates- und Patching nicht so streng eingehalten. Passwörter bei oft durch Hersteller integrierte Features wie Firewalls bleiben oft jahrelang unverändert.

OT laufen auf veralteten Betriebssystemen

Nach einer Untersuchung von Trend Micro (Stand Dezember 2018) sind bei über 65 Prozent der Industrieanlagen noch Betriebssysteme auf dem Stand von Microsoft Windows 7 oder älter in Verwendung. Diese Betriebssysteme werden nicht mehr aktualisiert und stellen damit einen erheblichen Risikofaktor für Anlagendar.

OS in der OT
Betriebssysteme in der OT, Quelle: Trend Micro

Die an den weitesten verbreiteten Betriebssystemen in der Fertigungsindustrie. Basierend auf Daten von Trend Micro Smart Protection Network im Zeitraum von Juli bis Dezember 2018.

 

Niemand ist eine Insel

Leider weisen somit auch OT-Netzwerke Schwachstellen auf. Diese Tatsache ist natürlich auch Angreifern nicht entgangen, wie beispielsweise im aktuellen Global Threat Intelligence Report 2020 von NTT festgestellt wird: die Anzahl der Angriffe auf IoT Systemen nimmt stetig zu.

Zusätzliche Brisanz kann aus der Tatsache entstehen, dass auch Anlagen, welche die öffentliche Infrastruktur betreffend, davon betroffen sein können, Stichwort Smart City oder Fälle von gehackter kritischer Infrastruktur, bekannt vor allem sind hier die Fälle des gehackten Iranischen Atomkraftwerks  vor einigen Jahren oder vor kurzem des ähnlichen Vorfalls in Indien.

Die meisten Schwachstellen betreffen dabei Schnittstellen wie HMIs (Human-Machine-Interfaces), speziell wenn diese Anwendungen auch einen Web-Zugang haben. Damit sind auch herkömmliche Web-Exploits gefährlich und können als Angriffsweg ausgenutzt werden.

Und natürlich muss immer wieder erwähnt werden: die Gegenseite nutzt sämtlich erkannten Schwachstellen aus und agiert hoch professionell.

Oft als Problem gesehen: reibungslose Integration der Security Maßnahmen

Die Digitalisierung, speziell auch in der Fertigungsindustrie, zeigt sich beispielsweise bei der Automatisierung von Fertigungsprozessen oder der Skalierung von technischen Ressourcen. Themen wie „künstliche Intelligenz“ und „Machine Learning“ sind allgegenwertig. Gleichzeitig ist allerdings zu beobachten, dass die Strukturen in Unternehmen mit der technologischen Entwicklung oft nicht Schritt halten.

Ein oft zitiertes und vorgebrachtes Argument gegen einen gezielten Fokus auf Security Maßnahmen rund um IoT und Industrie 4.0 Lösungen ist, dass diese den reibungslosen Ablauf von Prozessen stören, komplexer für die Anwender machen oder diesen komplett unmöglich machen würden.

Obwohl diese Einwände verständlich sind, dürfen sie nicht als Vorwand eines Verzichtes oder zumindest geringen Fokus auf die relevanten Sicherheitsaspekte rund um vernetzte Systeme dienen. Speziell der Schutz von (geistigem) Unternehmenseigentum, die Abwehr von Gefahren für Arbeitnehmer und Kunden und die damit verbundenen Auswirkungen auf betroffene Unternehmen sollten schon allein die notwendigen Maßnahmen rechtfertigen, um diesen Aspekt bei der Einführung und dem Betrieb von modernen Systemen ausreichend zu berücksichtigen

Bauen Sie Vertrauen in verbundene Geräte auf

Trotz aller Vorbehalte sind Unternehmen gut beraten, Security ernst zu nehmen. Das heißt, dass Prinzipien, die bei klassischen IT Systemen seit langem Standard sind, übernommen werden müssen. Besonders durch den Umstand, dass viele OT Anlagen im Vergleich zu IT Systeme sehr lange Lebenszyklen aufweisen, gilt es, diese Hinweise bei Auf- oder Umrüstung sowie Erweiterungen zu beachten:

Weitere Informationen zu Security rund um IoT

“Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis,”

Fazit: IoT-Sicherheitsrisiken verstehen

Die Vorteile von Internet of Things sind unbestreitbar. Dennoch halten hochkarätige Angriffe in Verbindung mit der Unsicherheit über bewährte Sicherheitsmethoden und die damit verbundenen Kosten viele Unternehmen davon ab, die Technologie zu übernehmen. Außerdem sind Endbenutzer besorgt über die Folgen von IoT-Sicherheitsverletzungen. Vertrauen in die Sicherheit von Lösungen ist unerlässlich, um das volle Potenzial des Internet of Things auszuschöpfen. Die digitale Sicherheit muss von Grund auf und an allen Stellen im Ökosystem in Geräte integriert werden, um zu verhindern, dass Schwachstellen in einem Teil die Sicherheit des Ganzen gefährden.

Moderne IoT-Ökosysteme sind komplex. Maschinen und Objekte in praktisch jeder Branche können verbunden und konfiguriert werden, um Daten zu senden. Das digitale Sicherheitsrisiko ist bei jedem Schritt auf dem Weg zum Internet der Dinge vorhanden, und es gibt eine Reihe von Hackern, die die Sicherheitsanfälligkeit eines Systems ausnutzen würden. Der erste Schritt für jedes IoT-Unternehmen besteht in einer gründlichen Bewertung des Sicherheitsrisikos, bei der Schwachstellen in Geräten und Netzwerksystemen sowie in Benutzer- und Kunden- sowie allen involvierten Backend-Systemen untersucht werden. Das Risiko muss für den gesamten Lebenszyklus der Bereitstellung gemindert werden, insbesondere da es geografisch skaliert und erweitert wird.

ABAX steht zu Ihren Fragen rund um die Themen Industrie 4.0, IoT und selbstverständlich auch IoT Security natürlich sehr gerne zur Verfügung.

Mehr Beiträge