Im Zeitalter globaler Vernetzung ist die Nutzung digitaler Ressourcen in der industriellen Produktion notwendig für die Umsetzung von Industrie 4.0. Doch die Öffnung vormals abgeschlossener Produktionsumgebungen durch das Internet birgt auch Gefahren für Mensch und Maschine, z.B. durch Cyberattacken. Mit diesem Gefährdungspotenzial setzen sich die Experten des IT-Sicherheitslabors am Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB in Karlsruhe auseinander. Wie sie für mehr Sicherheit sorgen wollen, erklärt Dipl.-Inform. Gerhard Sutschet im Interview.

Dies ist der erste von zwei Teilen eines Interviews über das IT-Sicherheitslabor am Fraunhofer IOSB in Karlsruhe. Der zweite Teil erschien am 21. Oktober 2016 hier auf Fraunhofer-InnoVisions.

Hallo Herr Sutschet, welche Schäden können z.B. durch Cyberangriffe in der heutigen industriellen Produktion entstehen und welche Rolle spielt das IT-Sicherheitslabor dabei?

Das Eindringen eines externen Angreifers in das interne Produktionsnetz eines Unternehmens ist eine Gefahr, welche in der Vergangenheit nicht besonders hoch war, da diese Netze immer stark abgeschirmt waren. Durch die neuen Möglichkeiten von Industrie 4.0 in der Produktion muss man auch erhöhte Aufmerksamkeit auf die IT-Sicherheit legen, da die Produktionsnetze immer weiter geöffnet werden – entweder entlang einer Supply Chain oder wenn innerhalb eines Unternehmens verschiedene Standorte miteinander vernetzt werden. Hat ein  Angreifer Lücken in diesen neuen Strukturen gefunden und ist im Netz, kann er bestehende Schwächen der industriellen Kommunikation ausnutzen, z.B. schlecht gesicherte SPS (Speicherprogram­mierbare Steuerung), nicht oder schwach gesicherte industrielle Produktionsprotokolle usw. und kann darüber die Arbeitsweise der Produktionssteuerung beeinflussen.

So ein Angriff beginnt mit einer üblichen Hackerattacke, mit dem Ausspionieren von Unternehmensdaten, die während der Produktion anfallen, u.a. welche Konfiguration von Maschinen und Anlagen das entsprechende Unternehmen hat, wie viel und zu welchen Zeiten produziert wird. Das kann aber bis zu einer Sabotage der verwendeten IT-Systeme führen, z.B. zu einer physischen Zerstörung von Maschinen und Anlagen. Das eigentlich Erschreckende an diesem Szenario ist, dass ein solch destruktiver Angriff sich übrigens auch in unserem IT-Sicherheitslabor mit relativ geringem Aufwand beispielhaft durchführen lässt. So konnten wir z.B. relativ schnell nachweisen, dass man einen Drehteller einer Produktionsmaschine durch einen Cyber-Angriff auch physisch zerstören kann. Diese Security-Lücken könnten zudem auch zu einer Einschränkung der Produktionssicherheit führen, d.h. im Sinne einer Bedrohung von Menschen und Umwelt. Ein berühmtes Beispiel ist der weltbekannte interne Angriff mit dem Stuxnet-Virus, welcher gezielt zur Spionage und Manipulation von Industrieanlagen eingesetzt wurde (z.B. im Iran). Ich bin auch der Meinung, dass man Angriffe, die mit solch enormem Aufwand betrieben werden, nicht komplett verhindern kann, aber zumindest sollte man die Schwelle der erkennbaren Angriffe möglichst hoch setzen.       

Wir in Karlsruhe beschäftigen uns v.a. mit Netzwerkstrukturen und Kommunikationsprotokollen in der industriellen Produktion und deren Zusammenspiel mit den Office-Netzen der entsprechenden Unternehmen, d.h. die industrielle Kommunikation der SPS bis zum MES-Umfeld (Manufacturing Execution System).

Mit welchen Innovationen arbeitet das IT-Sicherheitslabor? Was ist das Neue an Ihrer Gefahrenprüfung?

Im Sicherheitslabor haben wir den entscheidenden Vorteil, dass wir Tests durchführen können, ohne auf das „lebende“ Objekt zugreifen zu müssen. Wenn Sie z.B. das Produktionsnetz eines Unternehmens auf Schwachstellen untersuchen wollen und ggf. angreifen würden, würde das dem Produktionsleiter natürlich nicht sehr zusagen. Das Sicherheitslabor wurde dementsprechend so aufgebaut, dass es einerseits die Möglichkeit bietet, sowohl mit physischen Komponenten, d.h. realen SPSen, Firewalls, Switches und Netzen zu experimentieren. Deren Anzahl ist natürlich beschränkt. Andererseits haben wir aber die Möglichkeit, dieses Labor virtuell zu vergrößern, indem wir u.a. viele weitere „soft“-SPSen simulieren und wir über Software Defined Networks (SDN) größere Netzwerkstrukturen realer Unternehmen nachstellen können. Zu den bisherigen Komponenten gehört außerdem eine private Cloud.

Momentan arbeiten wir außerdem an Sicherheitsarchitekturen, die ein Eindringen der Angreifer von außen erschweren sollen. Hinzu kommen noch sogenannte Intrusion Detection Systeme (IDS), d.h. Erkennungs-, Signalisierungs- und Abwehrmechanismen, die automatisch wirksam werden, wenn der Angreifer es schon ins System geschafft hat.

In diesem Zusammenhang bieten Sie auch Anomalie-Erkennung bzw. ein »Condition Monitoring« an, ohne dass exaktes Vorwissen über die jeweiligen Produktionsprozesse vorliegt: Wie funktioniert das?

Zunächst wird in einer Lernphase das Normalverhalten eines Systems automatisch erlernt und in einem Modell hinterlegt. Dann kann das laufende Modell mit dem Online-Verhalten des realen Systems abgeglichen werden. So werden Anomalien erkannt und signalisiert – diese müssen nicht immer für einen Angriff stehen, sondern können auch Abweichungen vom Normalverhalten sein. Die Abläufe in der industriellen Kommunikation und in den eigenen Produktionsprozessen sind unglaublich komplex und flexibel geworden, u.a. durch den Einsatz neuer Softwareversionen oder Umkonfigurationen der Netzwerke. In der chemischen Industrie stellen sich beispielsweise Systemzustände so dynamisch ein, dass sie nicht mehr im Vorfeld festgelegt und in ein Modell gefasst werden können. Da hilft an vielen Stellen nur die Unterstützung durch maschinelle Lernverfahren.

Der zweite Teil dieses Interviews, beschäftigt sich z.B. mit dem Einsatz von OPC UA, dem Werdegang bei der Analyse der Produktionssicherheit und der Geschichte des Sicherheitslabors.  (mal)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Sechs + = 10
Bitte Zahl eintragen!
image description
Interviewpartner
Alle anzeigen
Gerhard Sutschet
  • Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB
Weitere Artikel
Alle anzeigen
Normal oder anomal, das ist hier die Frage
Die Suche im digitalen Heuhaufen
Produktion blind vernetzt
Veranstaltungen
Alle anzeigen
Stellenangebote
Alle anzeigen