Best Practice IoT Security im industriellen Umfeld

Am Donnerstagmorgen, 20.05.2021 startete Teil 2 der Reihe Best Practice IoT Security im industriellen Umfeld. 24 Teilnehmerinnen und Teilnehmer folgten der Einladung, darunter sechs Firmenvertreter, die selbst Remote Services für Kunden anbieten sowie vier Anbieter von Remote Service Technologien. 

In zwei kurzen Impulsreferaten präsentierten die Referenten Tim Maier, Informationssicherheitsbeauftragter und verantwortlich für die Netzinfrastruktur bei Grotz-Beckert KG sowie Steffen Zimmermann, Leiter der VDMA Arbeitsgruppe Competence Center Industrial Security praxiserprobte, sichere Lösungen für Remote gesteuerte Maschinen. 

Der Schein der Sicherheit trügt

Der Schein der Sicherheit trügt erklärte Tim Maier während seiner Präsentation. Selbst wenn IT-Systeme mit Firewalls geschützt sind, sollten alle Mitarbeitenden die unbedingte Notwendigkeit für Awareness in der Cybersicherheit verstanden haben. In Hinblick auf zugekaufte Maschinen vertritt Herr Maier die Haltung „Mein Haus, meine Regeln“. So soll sichergestellt werden, dass der Hersteller der Maschine erst nach vorheriger Absprache Remote auf die Maschine zugreifen darf. Zudem wurden Einkaufsrichtlinien für Remote-zugriffe erstellt, die Lieferanten binden. 

Sicherheit funktioniere nur in der Zusammenarbeit zwischen Hersteller und Betreiber

Herr Zimmermann berichtet zu Beginn von einer Umfrage des VDMA, bei der Maschinenbauer angaben, dass sie das Risiko für ein ungewolltes Eindringen Dritter über Remotezugänge für eher unwahrscheinlich hielten. Dabei seien laut Zimmermann die größten Einfallstore für Ransomware-Angriffe nicht schadhafte E-Mails, sondern Remote Desktop oder andere Remotezugänge. Wesentlich hierfür nennt Zimmermann den schlechten Zugriffsschutz mit lediglich Benutzernamen und Passwort. Diese könnten teilweise durch einfache Brute Force-Angriffe geknackt werden. Zum Ende seines Vortrags stellte Steffen Zimmermann immer wieder klar, dass sowohl Hersteller als auch Betreiber sich nicht zurücklehnen dürfen und den sicheren Betrieb den jeweils anderen überlassen -  Sicherheit funktioniere nur in der Zusammenarbeit zwischen Hersteller und Betreiber. 

Die Folien von Herrn Tim Maier können auf Anfrage bei uns gerne zugeschickt werden. 

Nachbericht IoT Security Best Practice für die Industrie – Teil 2
Am Dienstagmorgen, 01.06.2021 fand der dritte Teil der Reihe Best Practice IoT Security im industriellen Umfeld statt. Von den 19 Teilnehmerinnen und Teilnehmern gaben neun an, bereits Projekte zur Anomalieerkennung zu betreiben. Zudem gaben alle Befragten an, dass ihre Probleme damit zumindest teilweise gelöst werden konnten.

Wie bereits vor zwei Wochen wurden auch diesmal zwei kurze Impulsreferate gehalten. Bei den beiden Referenten handelt es sich um Stefan Gallenberger, Cybersecurity Consultant bei der Syskron GmbH und Klaus Mochalski, den Gründer und Geschäftsführer der Rhebo GmbH. Beide beschäftigen sich seit über 20 Jahren mit Themen der sicheren Datenkommunikation und Anomalieerkennung.

Funktionierendes Cybersicherheitskonzept besteht aus menschlichem und technischen Bereich

Bereits zu Beginn seines Referates stellte Gallenberger kurz die Relevanz von Cybersecurity da, indem er erklärte, dass Cyberkriminelle betriebswirtschaftlich agierende Organisationen sind, welche gezielt Lösegeld von Unternehmen erpressen wollen. Denn die Täter wissen, dass der Produktionsausfall einer einzigen Anlage Schäden in Millionenhöhe erzeugen kann. Zudem stellte Gallenberger klar, dass es nicht den einen Lösungsansatz gäbe, welcher bereits 95 % aller Sicherheitsprobleme einer Firma lösen könne. Ein funktionierendes Cybersicherheitskonzept sei viel mehr ein Zusammenspiel unterschiedlicher Akteure, sowohl im menschlichen- als auch im technischen Bereich. 

Über 50 % der Firmen verwendeten unsichere Authentifizierungsmethoden

„Wissen Sie eigentlich was bei Ihnen passiert?“ Mit dieser an das Publikum gerichteten Fragen startete Klaus Mochalski in seinen Vortrag. Nach Mochalskis Erfahrung erleben Firmen häufig eine Überraschung, wenn sie nach einem zweiwöchigen Audit eines Anomalieerkennungsprogramms die ausgewerteten Daten sehen. Über 60 % der Untersuchten Unternehmen benutzen demnach unnötige Dienste und Geräte, welche aus sicherheits-technischer Sicht abgeschaltet werden sollten. Zudem verwendeten über 50 % der Firmen unsichere Authentifizierungsmethoden mit lediglich Benutzername und Passwort. Als letzten Punkt gab Gallenberger zu verstehen, dass viele Angriffe auf Systeme und Firewalls erstmal keinen Schaden bedeuten. Erst wenn Regeln auf Firewall geändert werden kann es zu großen Schäden an Anlagen kommen. Gallenberger gab zudem zu verstehen, dass dieser Zyklus mehrere Tage oder Wochen dauern könne und man daher alle Zeit der Welt und gute Chancen habe diesen Angriff in einer frühen Phase abzuwehren. Damit bekräftigte er nochmals die Notwendigkeit einer Anomalieerkennung. 

Zum vierten Mal startete am Mittwoch, dem 16.06.2021 das Onlineseminar aus der Reihe Best Practice IoT Security im industriellen Umfeld. 27 Teilnehmerinnen und Teilnehmer aus Industrie und Wirtschaft folgten der Einladung zu dieser Veranstaltung.

In der Partnerschaft der Maschinenfabrik Reinhausen und Build38 entsteht eine Industrial-IoT Steuerung auf der Basis von Smart-Apps, die unter Android- und Apple iOS Smartphones genutzt werden können. Warum ist das erforderlich?

Durch die Energiewende hin zu erneuerbaren Energien wird die Stromwelt auf den Kopf gestellt, so Manuel Sojer von der Maschinenfabrik Rheinhausen. Klassische, unidirektionale Stromnetze von den Kraftwerken zu den Verbrauchern in verschiedenen Spannungsebenen waren mit wenigen Knotenpunkten gut zu schützen. Heute speisen zunehmend auch Haushalte Strom in die Verteilnetze ein. Dadurch braucht es Lastregler auch in lokalen Verteilnetzen. Diese Geräte sind kleiner aufgebaut, oft im Freien, in beachtlicher Stückzahl verteilt montiert und daher aufwändiger zu schützen als Umspannwerke. Eine sichere Benutzerschnittstelle, um Systeme zu parametrieren, zu monitoren und zu warten ist erforderlich. Das naheliegende Kommunikationsgerät hierfür ist das Smartphone - aber bietet es ausreichend Sicherheit?

Die zentrale Herausforderung im IIoT Bereich ist die zuverlässige Verbindung

An dieser Stelle stellt Christian Schläger klar, dass die zentrale Herausforderung im IIoT Bereich die zuverlässige Verbindung und die Arbeit mit vertrauenswürdigen Identitäten ist. Bei der Nutzung von Apps für Industrieanlagen besonders in der kritischen Infrastruktur prallen Welten aufeinander. Essenziell sei es, dass die Maschine in der Lage ist zu erkennen, ob der App-Nutzer wirklich eine Zugriffsberechtigung hat und Befehle erteilen darf. Was einfach klingt ist umso anspruchsvoller in der Umsetzung. Um das sicherzustellen, braucht es eine sichere App-Umgebung für die mobilen Betriebssysteme. Build38 bringt hier als Spinoff von Giesecke und Devrient substanzielles Know-how aus anderen Mobile Security Anwendungen mit ein.

Der Ansatz der beiden Unternehmen belegt die Machbarkeit und zeigt, dass viele weitere Anwendungsbereiche in anderen Infrastrukturen oder der Maschinenvernetzung für Inbetriebnahme, Service und Zustandsüberwachung und die Umsetzung digitaler Geschäftsmodelle damit erschlossen werden können.

Der fünfte Teil unserer Veranstaltungsreihe findet am Mittwoch, dem 29.06.2021 statt. Alle weiteren Infos zu Programm und Referenten, sowie die Möglichkeit zur Anmeldung finden Sie hier

Am Dienstag, den 29.06.2021 fand der bereits vorletzte Teil der Seminarreihe Best Practice IoT Security im industriellen Umfeld statt. 24 Teilnehmer:innen aus Industrie und Wirtschaft wohnten der Veranstaltung bei. 

Thema der fünften Reihe war die sichere Produktentwicklung durch Governance & Architecture – hilft IEC 62443? IT-Security beginnt bei vernetzten Geräten und Maschinen bereits bei der Entwicklung und Wahl der IT-Architektur von Geräten und Gesamtsystem. Dies gilt für Industrie und Consumer gleichermaßen. Andererseits hat die internationale Normenreihe IEC 62443 zum Ziel, im Zusammenspiel von Anlagenbetreibern und Zulieferern den sicheren Betrieb zu garantieren.

Frau Dr. Helene Sigloch, Product Security Expertin der BSH Hausgeräte GmbH und Herr Daniel Angermeier, stellvertretender Leiter der Abteilung Product Protection & Industrial Security am Fraunhofer AISEC gaben in zwei Referat ihr Wissen an das Publikum weiter. 

Sichere Produktentwicklung umfasst den gesamten Lebenszyklus des Produktes

Sigloch stelle zu Beginn ihres Vortrags die Notwendigkeit einzelner Anbieter und Entwickler vor sichere Produkte zu entwickeln. Neben Kostengründen spielen auch der Qualiätsanspruch, Zukunftsfähigkeit aber auch Standards und Gesetze eine wesentliche Rolle. Sigloch machte klar, dass sichere Produktentwicklung den gesamten Lebenszyklus des Produktes umfasst. Von der sicheren Planung, über die Entwicklung, bis hin zum End of Life. 

IEC 62443: Risikoorientierte Sicherheitstechnik, Security Lifecycle Aspekte

Angermeier ging während seiner Präsentation explizierter auf die IEC 62443 ein. So handelt es sich bei der Norm nicht um ein Einzeldokument, sondern eine Norm in Reihe, welche in verschiedene Reihe gegliedert ist. Die wesentlichen Konzepte sind hierbei die Risikoorientierte Sicherheitstechnik, Security Lifecycle Aspekte, sowie die Erläuterung allgemeiner Grundlagen, was zu tun ist und wie es zu tun ist. Zum Schluss seines Vortrags nannte Angermeier die Gründe, aus welchen die IEC 62443 sinnvoll ist. Neben allgemeinen Sicherheitsaspekten spielen hierbei auch die Vereinfachung von Wertschöpfungsketten, geeignete Sicherheits-Gegenmaßnahmen und zukünftige Regulierungen eine Rolle.  

"Mitarbeitende effizient & erfolgreich für eine sichere Fabrik qualifizieren“ am 13. Juli 2021, 8:30-9:30 Uhr

Wenn 90% der Cybersecurity Schadensfälle von Menschen verursacht sind, lohnt es in Ihre Skills zu investieren. Jeder Mitarbeitende kann dabei Gefahr und Lösung zugleich sein. Da-her ist es notwendig alle im Produktionsumfeld effizient und zielgerichtet zu sensibilisieren und zu qualifizieren. Der 6. Teil unserer Online-Seminarreihe Best Practice IoT Security im industriellen Umfeld fand am Dienstag, den 13.07 zum Thema „Mitarbeiter effizient & erfolgreich für eine sichere Fabrik qualifizieren“ statt. 11 Teilnehmende aus Industrie und Wirtschaft nahmen an der Veranstaltung teil. 

Frau Professor Dr. Helia Hollmann ist Leiterin des Masterstudiengangs Industrielle Sicherheit und stellvertretende Leiterin des Instituts für innovative Sicherheit HSA_innos an der Hoch-schule Augsburg (HSA). Sie organisiert sich in sieben Fakultäten, an denen aktuell 6500 Studierende in ca. 20 Bachelor und weiteren 20 Masterstudiengängen studieren. Das Institut für innovative Sicherheit HSA_innos wurde 2017 gegründet und verfolgt neben Forschung und Lehre auch den Zweck des Know-How Transfer im IT-Security-Umfeld. Anhand eines Videos wurde der Masterstudiengang industrielle Sicherheit vorgestellt. Es handelt sich dabei um einen Zertifikatsstudiengang, für den es keine Zulassungsvoraussetzungen gibt. Der Studiengang reflektiert drei unterschiedliche Sichtweisen auf das Thema IT-Sicherheit: Die Elektroingenieure mit Fokus auf die Bit-Ebene, die Informatiker mit Sicht auf die Netzebene und das Management mit Schwerpunkt Personalführung und IT-Recht. Frau Prof. Hollmann: „Der Studiengang versucht diese drei Aspekte unter einen Hut zu bringen. […] und die Teilnehmer an dem Masterstudiengang in eine Kommunikationsfähigkeit zu versetzen. Weil daran hapert es ja, dass jeder nur seinen Teil sieht und mit den anderen gar nicht reden kann.“ Abschließend stellte Frau Hollmann das Labor Industrielle Sicherheit vor, in dem viele aktuelle Sicherheitsthemen realitätsnah abgebildet werden können ohne, dass die Gefahr besteht einen Schaden zu generieren.

Effektivität und Effizienz bei Schulungsmaßnahmen insbesondere bei Cybersecurity im Blick zu behalten ist von zentraler Bedeutung, so Jan Veira, Geschäftsführer & Gründer von Uni-versity4Industrie im zweiten Impulsvortrag. Die Realität funktioniert nach wie vor nach der Devise „Never change a running system“ -  alte Systeme & schlechte Passwörter sind nach vor Standard und damit das Hauptproblem der IT-Sicherheit in Fabriken. „Wie kann man erreichen, Mitarbeiter mitzunehmen, effizient und erfolgreich für eine sichere Fabrik zu qualifizieren?“. Wichtig ist es die Lerninhalte anhand der verschiedenen Zielgruppen zu konfigurieren und zu fokussieren, damit jeder das lernt, was er wirklich braucht und über die Anwendung auch vertiefen kann. In Kooperation mit dem VDMA, Fraunhofer Instituten und anderen Partnern wurde das Konzept Learn – Explore – Discuss – act mit den Elementen Online Lerninhalte – online Labs – Gruppenarbeit und Diskussion – Definition der nächsten Schritte   entwickelt.

In der Diskussion wurde Herr Veira gefragt, wie das Lernsystem bei den Unternehmen ein-gebettet wird. Er erklärte, dass sowohl die Möglichkeit bestehet ein unabhängig laufendes System (inkl. Nutzerverwaltung) zu buchen als auch direkt an das LMS – System mit API Schnittstelle anzudocken. Eine weitere Frage lautete welcher Ansatz vielversprechender sei: IT-Spezialisten im Verständnis für die Produktion und Industrie zu schulen oder Produktionsspezialisten in IT-Security? Frau Hollmann beantworte die Frage mit „Beides - nur so entsteht ein ganzheitliches Verständnis der Situation.“ Um die Lücke im Bereiche Mitarbeiterqualifikation zu schließen sind also neben gezielten Schulungsmaßnahmen in den Unternehmen nicht nur die bedarfsorientierte Weiterentwicklung von Studiengängen für IT-Security-Spezialisten sondern auch berufsbegleitende Weiterbildungsangebote in IT-Security für Führungskräfte aus anderen Industriebranchen wichtig.

Die Themenplattform wird dieses Thema weiter im Auge behalten.