Best Practice IoT Security im industriellen Umfeld
Einerseits eröffnen vernetzte Maschinen und Geräte neue Angriffsflächen für das OT-Netzwerk der Produktion in industriellen Unternehmen. Andererseits ist der sichere Betrieb und das Monitoring weltweit verteilter, vernetzter Maschinen im Internet of Things (IoT) eine Chance der Digitalisierung, um Wartung und Service zu verbessern und neue Geschäftsmodelle zu ermöglichen. Doch wie schaffen es Industrieunternehmen, Kommunikation und Zugriffe über (welt-)weite Distanzen sicher zu gestalten?
Die ZD.B Themenplattform Cybersecurity der Bayern Innovativ GmbH hat zusammen mit Anwendenden und Experten eine sechsteilige Online-Event-Reihe aufgesetzt, um in der Praxis erprobte Best Practice Lösungen und Know-how zur IT-Sicherheit in industriellen IoT-Umgebungen zu teilen. Von Mai bis Juli wurde und werden in sechs kompakten Morgen-Events konkrete Best Practice Beispiele zu sicheren Remote Services, Anomalieerkennung, Absicherung von IoT-Geräten, der Rolle von Governance und Architektur bei der Produktentwicklung und einer effizienten sowie erfolgreichen Mitarbeiterqualifikation bearbeitet.
Teil 1: Paneldiskussion: IIoT Security – Herausforderungen und Antworten
"Herausfordernd ist die lange Lebensdauer industrieller Anlagen von 20 Jahren und mehr, die nicht einfach updatefähig sind und damit Angreifenden leichte Einfallstore bieten" - so Dr. Thomas Nowey (Chief Information Security Officer, Syskron GmbH / Krones AG) und Panelist am 04. Mai 2021 bei unserer Paneldiskussion "IIoT Security – Herausforderungen und Antworten".
"Die Gesamtsicherheit von industriellen IT-Komponenten steht auf einem elektronischen Fundament und resiliente, vertrauenswürdige Elektronik für zukünftige Hardware ist von hoher Bedeutung" - so Dr. Johann Heyszl (Abteilungsleiter / Stellv. Institutsleiter des Fraunhofer AISEC) und ebenfalls Panelist am 04. Mai 2021 bei unserer Paneldiskussion "IIoT Security – Herausforderungen und Antworten".
Der Schutz von Produktionsanlagen beginnt mit der Sicherheit der IT.
Solide Security ist die Voraussetzung für stabilen Betrieb und beugt unliebsamen Überraschungen vor.
Die Update-Fähigkeit wird bei Consumergeräten durch deren Verfügbarkeit am Internet begrenzt, d. h. Connectivity ist nicht immer vorauszusetzen. Bei Neuinvestitionen ist Zukunftsfähigkeit zum Beispiel bei Kryptographie-Verfahren zu verlangen, damit diese nicht in wenigen Jahren leicht zu entschlüsseln sind. Unternehmen wird eine intensive Beschäftigung mit dem Thema IT-Security empfohlen, bevor Dienstleister beauftragt werden.
In der Entwicklung neuer Maschinen und Fertigungslinien ist IT-Security bereits ab dem Minimum Viable Product mitzudenken. Security by Design ist essenziell denn bei Maschinen birgt jede Security Verletzung auch die Gefahr von Personenschäden.
Solides Grundverständnis und aktualisiertes Security Know-how
Ohne ein solides Grundverständnis und ein immer wieder aktualisiertes Security Know-how geht es auch bei Entwicklungsingenieuren nicht, betonten die Speaker übereinstimmend. Web-based-Training kann hier viel abdecken. Außerdem ist es zentral wichtig, verfügbare Standardkomponenten und Methoden etwa aus dem Open Source Bereich zu verwenden, um den Mehraufwand zu senken und die Qualität zu erhöhen. Security und Usability müssen noch viel mehr zusammengebracht werden. Die Paneldiskussion brachte Ergebnisse hervor wie die Wichtigkeit des Austauschs in Netzwerken, den Nutzen eines Leitfadens für IIoT-Security, die Unverzichtbarkeit von Schulungsanstrengungen und die Einrichtung eines Lernlabors Cybersicherheit.
Teil 2: Remote Service und Fernwartung – aber sicher!
Selbst wenn IT-Systeme mit Firewalls geschützt sind, sollten alle Mitarbeitenden die unbedingte Notwendigkeit für Awareness in der Cybersicherheit verstanden haben. Dies betonte Tim Maier, Informationssicherheitsbeauftragter und verantwortlich für die Netzinfrastruktur des Maschinenbauherstellers Groz-Beckert und verwiese auf prägende Erfahrungen. Für zugekaufte Maschinen soll sichergestellt werden, dass der Hersteller der Maschine erst nach vorheriger Absprache Remote auf die Maschine zugreifen darf. Zudem wurden Einkaufsrichtlinien für Remote-Zugriffe erstellt und Lieferfirmen darauf verpflichtet.
Steffen Zimmermann, Leiter der VDMA Arbeitsgruppe Competence Center Industrial Security zitierte eine Umfrage des VDMA (Verband Deutscher Maschinen- und Anlagenbau e. V.). Demnach halten Maschinenbauer das Risiko für ein ungewolltes Eindringen dritter Personen über Remotezugänge für eher unwahrscheinlich. Dabei sind die größten Einfallstore für Ransomware-Angriffe nicht schadhafte E-Mails, sondern gerade schlecht gesicherte Remotezugänge auf Maschinen und Anlagen, wie der Grafik zu entnehmen ist.
Unzureichender Zugriffsschutz bedeutet, dass lediglich Benutzernamen und Passwort erforderlich sind. Diese werden durch Brute Force-Angriffe geknackt und im Erfolgsfall im Darknet teuer verkauft. Sicherheit funktioniere nur in der Zusammenarbeit zwischen Hersteller und Betreiber war ein wichtiges „Learning“.
Teil 3: Cyberangriffe, Ausfälle, Innentäter – Anomalieerkennung in Industrie & kritischen Infrastrukturen
Cyberkriminelle sind betriebswirtschaftlich agierende Organisationen, welche gezielt Lösegeld von Unternehmen erpressen wollen. Die Täter wissen, dass der Produktionsausfall einer einzigen Anlage Schäden in Millionenhöhe erzeugen kann. Stefan Gallenberger von Syskron, der über viele Jahre Erfahrung in Security Operations bei einem Hersteller weltweit im Einsatz befindlicher Produktionsanlagen verfügt, betont, dass es nicht den einen Lösungsansatz gibt, welcher bereits 95 Prozent aller Sicherheitsprobleme einer Firma lösen könne. Ein funktionierendes Cybersicherheitskonzept sei viel mehr ein Zusammenspiel unterschiedlicher Akteure, sowohl im menschlichen als auch im technischen Bereich.
Grundzüge des NIST Frameworks
Wichtig ist es, einem systematischen Ansatz zufolgen. Herr Gallenberger verweist hier auf das NIST-Konzept, welches ganzheitlich ansetzt und Security zur täglichen Aufgabe der Betriebsüberwachung definiert. Eine Aufteilung des Netzwerks in einzelne Segmente, die jeweils mit eigenen Firewalls geschützt sind, erhöht den Schutz. Für die Anomalieerkennung ist insbesondere die Trennung von Office IT und Production OT kritisch.
Als letzten Punkt gab Gallenberger zu verstehen, dass viele Angriffe auf Systeme und Firewalls erstmal keinen Schaden bedeuten. Erst wenn Regeln auf Firewall geändert werden kann es zu großen Schäden an Anlagen kommen. Gallenberger gab zudem zu verstehen, dass dieser Zyklus mehrere Tage oder Wochen dauern könne und man daher alle Zeit der Welt und gute Chancen habe diesen Angriff in einer frühen Phase abzuwehren. Damit bekräftigte er nochmals die Notwendigkeit einer Anomalieerkennung.
Wissen Sie eigentlich was bei Ihnen passiert?“ Mit dieser an das Publikum gerichteten Fragen startete Klaus Mochalski seinen Vortrag. Nach Mochalskis Erfahrung erleben Firmen häufig eine Überraschung, wenn sie nach einem zweiwöchigen Audit eines Analyseprogramms die Ergebnisse sehen. Über 60 % der Untersuchten Unternehmen benutzen demnach unnötige Dienste und Geräte, welche aus sicherheitstechnischer Sicht abgeschaltet werden sollten. Zudem verwendeten über 50 % der Firmen unsichere Authentifizierungsmethoden mit lediglich Benutzername und Passwort.
Teil 4: Secure Apps for High Voltage – damit das Licht nicht ausgeht!
Kann IIoT bereits heute im Bereich der kritischen Infrastruktur erfolgreich und sicher eingesetzt werden?
Inbetriebnahme, Wartung und Störungsbehebung ohne einfache Zugriffsmöglichkeit auf beispielsweise einen Lastschalter im Stromnetz ist oft teuer und gefährlich wie Dr. Manuel Sojer aufzeigte. Er ist Executive Director Corporate Development der Maschinenfabrik Reinhausen (MR), die als Hidden Champion und Innovationsführer mit ihren Lösungen wesentlich zur Stabilität der deutschen Stromnetze beiträgt.
Im Projekt zusammen mit Build38 wurde eine Industrial-IoT Steuerung auf der Basis von Smart-Apps entwickelt, die Sicherheitsanforderungen von KRITIS-Komponenten gerecht wird. Dr. Christian Schläger ist Co-Founder und CEO des Software Security Unternehmens Build38, das sich auf Mobile Apps und deren Sicherheit spezialisiert hat.
Er zeigte auf, wie diese App mit besonderer Sicherheitstechnologie auf allen Android- und Apple iOS Smartphones genutzt werden kann und einen sicheren, nachvollziehbaren und komfortablen Zugriff auf Komponenten der kritischen Infrastruktur ermöglicht.
Aufgaben wie die Inbetriebnahme, Wartung, Reparatur, Nutzungsänderung und Datenanalyse direkt in der Kommunikation zwischen App und Gerät sind damit möglich. Serviceorientierte, digitale Geschäftsmodelle können damit abgesichert werden.
Teil 5: Security by Governance & Architecture – fördert IEC 62443 die sichere Produktentwicklung?
IT-Security beginnt bei vernetzten Geräten und Maschinen bereits bei der Entwicklung und Wahl der IT-Architektur von Geräten und Gesamtsystem. Dies gilt für Industrie und Consumer gleichermaßen. Die internationale Normenreihe IEC 62443 unterstützt diesen Prozess mit dem Ziel, im Zusammenspiel von Anlagenbetreibern und Zulieferern den sicheren Betrieb zu garantieren.
Frau Dr. Helene Sigloch arbeitet bei der BSH Hausgeräte GmbH als Product Security Expertin daran, Haushaltsgeräte und das HomeConnect-System IT-sicher zu entwickeln und zu betreiben. Im Vortrag stellte verwies sie auf die Herausforderung, zusammen mit Partnern, Zulieferern von Subsystemen und Entwicklern sichere IoT-Produkte zu entwickeln. Neben Kostengründen spielen auch der Qualitätsanspruch, Zukunftsfähigkeit aber auch Standards und Gesetze eine wesentliche Rolle. Sigloch machte klar, dass sichere Produktentwicklung den gesamten Lebenszyklus des Produktes umfasst. Von der sicheren Planung, über die Entwicklung, bis hin zum End of Life.
Herr Daniel Angermeier ist stellvertretender Leiter der Abteilung Product Protection & Industrial Security am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Fraunhofer AISEC). Er ging während seiner Präsentation detailliert auf die IEC 62443 ein. So ist die Norm Teil einer übergeordneten Normenreihe. Die wesentlichen Konzepte sind hierbei die risikoorientierte Sicherheitstechnik, Security Lifecycle Aspekte, sowie die Erläuterung allgemeiner Grundlagen, was zu tun ist. Zum Schluss seines Vortrags benannte Angermeier die wesentlichen Mehrwert-Aspekte der IEC 62443: Neben Sicherheitssystematiken spielen auch die Vereinfachung von Wertschöpfungsketten, geeignete Sicherheits-Gegenmaßnahmen und zukünftige Regulierungen eine Rolle.
Teil 6: "Mitarbeitende effizient & erfolgreich für eine sichere Fabrik qualifizieren“
Wenn 90 % der Cybersecurity Schadensfälle von Menschen verursacht sind, lohnt es in Ihre Skills zu investieren. Jeder Mitarbeitende kann dabei Gefahr und Lösung zugleich sein. Daher ist es notwendig alle im Produktionsumfeld effizient und zielgerichtet zu sensibilisieren und zu qualifizieren.
Das umfasst auch die Ausbildung von Cybersecurity-Fachkräften. Frau Professor Dr. Helia Hollmann ist Leiterin des Masterstudiengangs Industrielle Sicherheit und stellvertretende Leiterin des Instituts für innovative Sicherheit HSA_innos an der Hoch-schule Augsburg (HSA). Der Masterstudiengang industrielle Sicherheit ist ein Zertifikatsstudiengang ohne Zulassungsvoraussetzungen. Der Studiengang reflektiert drei unterschiedliche Sichtweisen auf das Thema IT-Sicherheit: Die Elektroingenieure mit Fokus auf die Bit-Ebene, die Informatiker mit Sicht auf die Netzebene und das Management mit Schwerpunkt Personalführung und IT-Recht. Frau Prof. Hollmann: „Der Studiengang versucht diese drei Aspekte unter einen Hut zu bringen. […] und die Teilnehmer an dem Masterstudiengang besonders kommunikationsfähig auszubilden. Dies deshalb weil „Security oft daran scheitert, dass jeder nur seinen Teil sieht und mit den anderen gar nicht reden kann.“ (Hollmann). Abschließend stellte Frau Hollmann das Labor Industrielle Sicherheit vor, in dem viele aktuelle Sicherheitsthemen realitätsnah abgebildet werden können ohne, dass die Gefahr besteht einen Schaden zu generieren.
Effektivität und Effizienz bei Schulungsmaßnahmen insbesondere bei Cybersecurity im Blick zu behalten ist von zentraler Bedeutung für Jan Veira, Geschäftsführer & Gründer von Uni-versity4Industrie im zweiten Impulsvortrag. Die Realität funktioniert nach wie vor nach der Devise „Never change a running system“ - alte Systeme & schlechte Passwörter sind nach vor Standard und damit das Hauptproblem der IT-Sicherheit in Fabriken. „Wie kann man erreichen, Mitarbeitende mitzunehmen und sie effizient und erfolgreich für eine sichere Fabrik zu qualifizieren?“. Wichtig ist es die Lerninhalte auf die verschiedenen Zielgruppen maßzuschneiden und zu fokussieren, damit jeder das lernt, was er wirklich braucht und über die Anwendung auch vertiefen kann. In Kooperation mit dem VDMA, Fraunhofer Instituten und anderen Partnern wurde das Konzept Learn – Explore – Discuss – Act mit den Elementen Online Lerninhalte – online Labs – Gruppenarbeit und Diskussion und der Definition der nächsten Schritte entwickelt. Dieses kann als Lern Management System (LMS) als cloudbasierter Service oder als unternehmenseigene Lösung bereitgestellt werden. Es steuert den Lernablauf, stellt alle Materialien bereit und prüft die Lernfortschritte.
Um die Lücke im Bereich Mitarbeiterqualifikation zu schließen sind also neben gezielten Schulungsmaßnahmen in den Unternehmen nicht nur die bedarfsorientierte Weiterentwicklung von Studiengängen für IT-Security-Spezialisten sondern auch berufsbegleitende Trainings und Tests für alle Mitarbeiter bis hin zu Weiterbildungsangeboten in IT-Security für Führungskräfte aus Industriebranchen wichtig.
Die Themenplattform wird dieses Thema weiter im Auge behalten.
Die Präsentationen einiger Referenten können Sie hier herunterladen:
>> Nachbericht IoT Security Best Practice für die Industrie – Teil 2
>> Nachbericht IoT Security Best Practice für die Industrie – Teil 3
>> Nachbericht IoT Security Best Practice für die Industrie – Teil 4
>> Nachbericht IoT Security Best Practice für die Industrie – Teil 5
>> Nachbericht IoT Security Best Practice für die Industrie – Teil 6