IIoT-Sicherheit schaffen „Produktion und IT müssen ein gemeinsames Verständnis entwickeln“

Marian Neubert ist Experte für Digital Integrity Solutions bei T-Systems Multimedia Solutions.

Bild: T-Systems Multimedia Solutions
05.05.2017

Warum sich im IIoT nicht die Nachlässigkeiten aus dem Konsumenten-IoT wiederholen dürfen, erklärt Marian Neubert, bei T-Systems Multimedia Solutions verantwortlich für Digital Integrity Solutions.

Herr Neubert, aus Ihrer Sicht sind die Sicherheitsrisiken im industriellen Internet of Things (IIoT) noch deutlich ausgeprägter als im IoT, das aufgrund seiner Vernetzung ohnehin sehr angreifbar ist. Woran machen Sie das fest?

Marian Neubert: Nun, in der Branche kursiert ja nicht völlig grundlos die etwas überspitzte Interpretation des Begriffs Industrie 4.0: ,Vierte industrielle Revolution – aber null Sicherheit‘. Die massive Vernetzung stellt nur das eine Gefahrenmoment dar, es gibt allerdings noch Herausforderungen auf ganz anderen Ebenen.

Welche sind das zum Beispiel?

Man muss nur einmal aus Endverbraucher-Perspektive auf IoT-Produkte schauen und die Erfahrungen, die man dort bereits machen konnte. In erster Linie wurden hier möglichst preiswert produzierte Geräte in hoher Stückzahl verbaut, die oft auf proprietären Technologien und meist einer oder mehreren Plattformen von Drittdienstleistern basieren. Die dabei verwenden Softwarekomponenten stammen teils aus Open-Source-Projekten, welche dann oft mit eigenem Code ergänzt werden. Wenn die Basisfunktionalität dieser Geräte einmal halbwegs steht, kommen sie auf den Markt und – wenn überhaupt – gibt es vom Hersteller noch ein paar Firmware-Updates für später gefundene Sicherheitslücken. Aber auch dann sind automatische Update-Mechanismen eher die Ausnahme. Der Endanwender muss also selbst aktiv werden. Schlimmstenfalls ist gar keine Update-Möglichkeit vorgesehen, was Angriffe zu einem leichten Spiel werden lässt. Das in Summe sind natürlich keinesfalls Rahmenbedingungen für IoT-Hardware im professionellen Industrieeinsatz. Aus diesen Erkenntnissen sollten Unternehmen unbedingt lernen.

Was braucht der Industrieanwender stattdessen?

In erster Linie Geräte mit einem Mindestmaß an Sicherheitsmerkmalen, die in der vernetzten IT-Branche seit Jahrzehnten üblich sind. Das ist aber nur die eine Seite der Medaille, denn auch die Lieferantenbeziehungen ändern sich im industriellen IoT. Stellen Sie sich vor, Sie bekommen allein mehrere hunderttausend Sensoren von einem einzigen Hersteller: Neben der Tatsache, dass bestimmte IoT-Geräte ohne Internetanbindung gegebenenfalls gar nicht ihre Arbeit verrichten können, hat man sich im schlimmsten Fall einen teuren Briefbeschwerer angeschafft, wenn ein Hersteller nicht mehr existiert oder den Dienst einstellt. Man muss immer im Blick haben, dass wir bei IoT von Massenware sprechen, sowohl in der Herstellung als auch in der Anwendung. Das darf aber nicht zur Folge haben, dass sicherheitsrelevante Aspekte ausgeblendet werden.

Ist ein Sicherheitsbewusstsein beim Anwender tatsächlich nur mangelhaft vorhanden?

Nicht unbedingt mangelhaft vorhanden, vielfach ist es auch eine Verständnisfrage. Sicherheit im industriellen Kontext betraf in der Vergangenheit primär die Betriebssicherheit – auch Safety genannt. Da ging es darum, dass die Unternehmen Maschinen aufgestellt haben, die anschließend möglichst ohne Ausfälle oder lange Wartungszyklen ihre Dienste verrichten sollten. Hinzu kommt – im Hinblick auf die Unversehrtheit der Mitarbeiter – die Herausforderung, sicherheitsgerichtete Systeme genau im Blick zu behalten und die Berufsgenossenschaften einzubeziehen – durch die steigende Vernetzung wird sich hier ein weiteres Betätigungsfeld ergeben. Der klassische Betriebsingenieur aus dem Bereich der Operational Technology (OT) definiert das Thema Sicherheit also anders, als wir das in der IT tun. Nun muss er plötzlich beide Ebenen im Blick haben. Bisher war das nicht zwingend nötig, wenn man die Fertigungsstrecke eines produzierenden Unternehmens als vom externen Netz isoliert betrachtet hat. Heute ist es indes dringlich, Aufklärungsarbeit zu leisten und die Digitalisierung der Fabrik unter Sicherheitsaspekten neu zu denken, wenn die Konvergenz von IT und OT gelingen soll.

Was schlagen Sie also vor?

Ein erster Schritt in die richtige Richtung wäre es, wenn sich etwa bei einer geplanten Digitalisierung der eigenen Produktionsstrecke sowohl die Maschinenhersteller als auch die eigenen Ingenieure mit den Kollegen der IT-Infrastruktur an einen Tisch setzen und ein gemeinsames Verständnis beider Welten entwickeln. Nur auf dieser Basis lassen sich weitere Schritte unter gleichzeitigem Halten oder Verbessern des Sicherheitsniveaus realisieren.

Und wenn es an Security-Kow-how innerhalb des Unternehmens mangelt, wie es bei vielen kleinen und mittleren Unternehmen der Fall ist? Gerade im komplexen Bereich IoT-Security?

… dann sollte ein verlässlicher Partner aus dem IT-Security-Umfeld, der idealerweise schon die Herausforderungen aus gemeisterten Industrie 4.0-Projekten kennt, Bestandteil dieses Prozesses sein. Keine Frage: Es ist wichtig, dass dieser Prozess von Anbeginn mit viel Kompetenz begleitet wird. Gerade wegen des Missverständnisses zwischen Betriebssicherheit (Safety) und IT-Sicherheit (Security) begegnen viele Industrieunternehmen den neuen, teils unüberschaubar komplex wirkenden Aufwänden mit Skepsis. Oberstes Ziel sollte daher ein schlanker und mit überschaubaren Ressourcen realisierbarer Ansatz sein. Dieser ist schneller umzusetzen und gleichzeitig werden ausufernde Kosten vermieden.

Wie übersetzt man einen solchen Ansatz in der Praxis?

Indem das Industrieunternehmen, gegebenenfalls mit einem Partner, bereits vor der Umsetzung solcher Projekte die damit einhergehenden Risiken identifiziert, deren Tragweite erkennt und diese allen Beteiligten transparent darlegt. Man muss also bei den Ingenieuren ein Bewusstsein dafür schaffen, dass eine neue Form der IIoT-Security zwingend notwendig ist. Auf dieser Basis müssen nicht nur technische Maßnahmen geplant und umgesetzt, sondern auch organisatorische Aspekte zur laufenden Qualitätssicherung bedacht werden. Nicht zuletzt spielt auch das Thema Informationssicherheit und Datenschutz eine immer größere Rolle – gerade bei vertraulichen Produktionsdaten oder der potenziellen Überwachungsmöglichkeiten von Mitarbeitern.

Wie sieht es auf Geräteebene aus? Wie vermeidet man dort die von Ihnen angesprochenen Missgriffe aus dem Endverbraucher-Umfeld?

Im professionellen Einsatz sollten langlebigere und standardisierte Geräte beziehungsweise Dienstleistungen mit individualisierbaren Service-Levels im Vordergrund stehen. Hier kann der Hersteller durchaus auch Betreiber der zugrundeliegenden Infrastruktur sein und somit seine bestehende Produktpalette aufwerten. Als Anwender sollte man nicht vergesse, dass man mit dem massenhaften Einsatz von Sensorik und Aktoren auch ein Fass hinsichtlich Datenschutz und Datensicherheit aufmacht.

Das heißt konkret?

Es müssen Fragen geklärt sein wie: Wem gehören die Millionen an Daten, die dann tagtäglich generiert werden? Oder was geht in diesem Gerät überhaupt konkret vor? So sollte von Anfang an Klarheit herrschen, welche Zuständigkeiten für welche Komponenten und Plattformen existieren und welche Inhalte über welche Kommunikationswege geschickt, gespeichert und verarbeitet werden. Nur so lässt sich eine sichere Architektur planen und betreiben. Bei Unternehmen, die IIoT-Produkte oder -Dienstleistungen nicht nur nutzen, sondern auch selbst vertreiben, kommt zudem die Haftungsfrage als Inverkehrbringer hinzu. Und erneut stellt sich die Frage, ob auch langfristig die Datenhoheit des Anwenders gesichert ist, denn ein Hersteller kann mithilfe von IoT-Geräten sehr detaillierte Nutzerprofile erstellen und zusammenführen. Falls ein Einbruch in die Datenbanken des Herstellers geschieht, fanden sich diese – zumeist sehr persönlichen Informationen – recht schnell öffentlich im Netz wieder. Ein weiterer möglicher Fall wäre, dass vernetzte Geräte eines Unternehmens auch plötzlich Teil eines Bot-Netzes werden und neben dem Imageschaden auch die interne und externe Kommunikation zum Erliegen bringen können. All diese Erfahrungen aus dem Konsumenten-Umfeld des IoT dürfen sich im Industrieumfeld nicht wiederholen.

Verwandte Artikel