Artikel Einbruchsicher?

Um 15 Uhr steht die Chemieproduktion im Werk 1 zum großen Teil still. Auf den Produktionsleitstand kann nicht mehr zugegriffen werden. Wie es dazu kommen konnte – ein kurzes Ablaufprotokoll:

Gegen 13 Uhr steigt der Netzwerkverkehr im produktionsinternen Wlan stark an. 45 Minuten später werden auf den zentralen Produktionsleitsystemen (PLS) und vereinzelt auch auf den Steuerrechnern Aktivitäten gemessen, die nicht nachvollziehbar sind. Um 14 Uhr fallen einzelne Steuerrechner aus. Mit Neustarts wird versucht, diese wieder in Betrieb zu nehmen. Weitere 30 Minuten später erhält die zentrale IT-Abteilung verstärkt Anfragen aus dem gesamten Unternehmen wegen ungewöhnlich langen Zugriffszeiten. Weitere Steuerrechner fallen aus. Kurz nach halb drei ist der Zugriff auf die zentralen PLS nicht mehr möglich. Die Produktionsleitung gibt Alarm. Gleichzeitig treffen in der IT-Abteilung massenhaft Meldungen ein, dass IT-Systeme nicht mehr reagieren. Kurz vor 15 Uhr entscheidet die Produktionsleitung in Abstimmung mit der Unternehmensführung auf Grund der unübersichtlichen Situation und dem vermehrten Ausfall von Systemen die Produktion komplett zu stoppen. Wenige Minuten danach fällt das System zur Emissionskontrolle aus.
Die Ergebnisse der Ursachenanalyse sowie ein kurzer Abriss zu den Fehlerquellen zeigt Verheerendes. Gemäß Analyse der Log-Files befanden sich gegen 13 Uhr zwei unternehmensfremde Systeme im internen Wlan. Dieses Wlan ist den Netzwerkadministratoren nicht bekannt, da es vor einigen Monaten – ohne weitere Absprachen – auf Grund kurzfristiger Anforderungen eingebaut wurde. Als besonders problematisch stellt sich heraus, dass es direkt mit dem lokalen Netzwerk in der Produktion verbunden ist.
Über den offenen ungesicherten Wlan-Zugang konnte von außen unerlaubt auf das interne Netzwerk zugegriffen werden. Dabei wurden unter anderem die Rechner mit Viren und anderer Schadsoftware verseucht. Erleichtert wurde dieser Angriff auf Grund der Tatsache, dass seit geraumer Zeit keine aktualisierten Sicherheits-Patches mehr auf das System eingespielt worden sind. Dies war die Ursache dafür, dass mit veralterten Viren, gegen die bereits Abwehrmechanismen vorhanden sind, ein erheblicher Schadensvorfall ausgelöst werden konnte.
Verschiedene Virenausbrüche auf den Produktionssystemen verursachten die massiven Ausfälle im Unternehmensnetzwerk. Dabei blockierte ein Virus den Zugriff von außen und störte die Verarbeitung. Ein weiterer Schädling generierte massiven Netzwerk-Verkehr durch eine so genannte DoS(Denial-of-Service)-Attacke und versuchte gleichzeitig in weitere Bereiche des Netzwerks einzudringen. Die Situation eskalierte kurz nach 15 Uhr so weit, dass das gesamte lokale Netzwerk inklusive dem Rechenzentrum betroffen war. Da keine Trennung oder Abschottung zwischen dem kaufmännischen Netzwerk inklusive Rechenzentrum sowie dem Produktions-Netzwerk vorhanden ist, war die IT im gesamten Unternehmen betroffen.

Das Szenario belegt prägnant, dass Bedrohungen wie Viren, Würmer oder Trojaner Einzug in die Produktion gehalten haben. Unter diesen Vorzeichen sollte bei dem Einsatz der Industrie-Standards den maßgeblichen Schwachstellen und Angriffsflächen Rechnung getragen werden. Denn insgesamt ist die Frage nach der Sicherheit und Verfügbarkeit in der Produktion verglichen mit der Bürowelt wesentlich brisanter. Selbst Angriffsversuche können das Laufzeitverhalten von Steuerungskomponenten erheblich beeinflussen. Auf Grund der hohen Anforderungen an das Zeitverhalten und die Verfügbarkeit der Systeme ist es somit möglich, die gesamte Produktionslinie zum Erliegen zu bringen.

Waren die ehemals geschlossenen Insellösungen in der Produktion per se geschützt, verlangt der Einsatz von Datenverarbeitungs- und Netzwerktechnologien wie Ethernet, Wlan, Bluetooth oder TCP/IP ein Umdenken. Dabei kann nicht auf die bewährten Schutzmechanismen aus der Büro-IT zurückgegriffen werden. Es ist nicht ohne weiteres möglich, die Systeme in der Produktion im Rahmen eines Patch-Managements mit aktuellen Sicherheits-Patches dem jeweiligen Sicherheitsstandard anzugleichen. Aufwand und Kosten hierfür sind derzeit unadäquat hoch. Dies liegt daran, dass unter anderem die Hersteller der Anlagen und Systeme die Gewährleistung verweigern – beziehungsweise müssten erst aufwändige Test- und Freigabeprozesse etabliert werden. Auch die bekannten Sicherheitsmechanismen wie Virenschutz, lokale Firewalls oder Intrusion Detection Systeme (IDS), sind auf den Anlagen nicht einsetzbar. Ein IDS ist ein System aus Hardware oder Software zur Erkennung von Angriffen auf ein Computersystem oder Computernetz.
Der Einsatz von drahtlosen Übertragungstechniken wie Wlan verlangt zusätzlich ein hohes Maß an Schutzmaßnahmen. Die Inbetriebnahme und Nutzung sollte niemals ohne umfangreiche Sicherheitsüberlegungen vollzogen werden. Standardverschlüsselung und Standardpasswörter reichen definitiv nicht aus, um einen Zugriff auf ein beliebiges System der Produktion – beispielsweise den Leitstandsrechner – über dieses Funknetzwerk zu verhindern.
Auch hinsichtlich der organisatorischen Abläufe muss eine Neu-Orientierung vollzogen werden. Hierbei sind die Rollen und Verantwortlichkeiten zwischen IT-Abteilung und Produktion bezogen auf die IT-Systeme in der Produktion klar zu regeln. Dabei ist es wichtig, alle existenten IT-Systeme in der Produktion zu erfassen und Schwachstellen zu erkennen.

Ein Betriebsleiter zog seine Konsequenzen unmittelbar nach einem ähnlichen Vorfall und übergab den Kollegen in der IT-Abteilung eine Wunschliste in punkto Zusammenarbeit:

• Die IT-Abteilung muss die Prozesse kennen, um Folgen eines Ausfalls und die Maßnahmen richtig abschätzen zu können. Es darf nicht sein, dass IT-ler sagen: „Kenn' ich nicht.“
• Pro-aktive Überwachung aller produktionsnahen IT-Systeme inklusive einer schnellen Fehlererkennung und umgehender Benachrichtigung.
• IT-Informationen, die die Produktion benötigt, müssen verständlich und jederzeit abrufbar sein.
• Austausch zwischen Produktion und IT-Abteilung muss etabliert werden.
• Eine Vertiefung der Business Impact Betrachtung „was passiert, wenn...“ ist erforderlich. Dabei ist es notwendig, die Abhängigkeiten und Integrationspunkte allen klar aufzuzeigen.

Generell müssen an der Erstellung eines unternehmensweiten Sicherheitskonzepts die Verantwortlichen aus IT und Produktion gemeinsam arbeiten. Lösungen zur Absicherung erfordern es, dass die technische Umsetzung speziell auf die jeweilige Umgebung im Unternehmen abgestimmt ist. So werden für die einzelnen Bereiche klare Regelungen des Netzwerkverkehrs getroffen; mit entsprechender Segmentierung und Abschottung. Essenziell dabei ist, vor allem die Schnittstellen zwischen Produktions- und Büroautomation sowie die Verantwortlichkeiten exakt zu beschreiben. Die Planung der Netzwerk-Architektur sollte außerdem unter anderem den Schutz des Produktionsnetzes durch Firewall- und IDS, ein Berechtigungs- und Rollenkonzept sowie Maßnahmen zur Absicherung und Speicherung der Daten enthalten. Auch die organisatorischen Maßnahmen müssen im Rahmen des Sicherheitskonzepts berücksichtigt werden. Zum Beispiel, dass bei der Einführung von neuen Netzwerkbereichen auf Basis von Wlan vor der Inbetriebnahme ein Sicherheits-Check durchgeführt werden muss. Auf jeden Fall sollte ein regelmäßiger Austausch zwischen IT und Produktion, bei dem alle neuen Vorhaben abgeglichen werden, obligatorisch sein.