News + Stories: Was ist für Sie Security?
Stefan Trabesinger: Die Rahmenbedingungen ändern sich ständig, entsprechend gibt es Sicherheitslücken und dementsprechende Angriffe. Deswegen ist Security kein Produkt, sondern ein Prozess. Hier ist der PDCA-Zyklus hilfreich: Plan, Do, Check, Act – wiederholt durchgeführt, kann ein kontinuierlicher Verbesserungsprozess entstehen.
Was ist die Gefahr, wenn Security nicht gewährleistet bzw. kontinuierlich verfolgt wird?
Trabesinger: Die Gefahr kann sehr vielseitig sein. Wenn jemand in mein System einbricht und zum Beispiel einen Trojaner installiert, können sämtliche Daten ausgelesen werden. Habe ich keine Überwachungssysteme installiert, fließt wertvolles Know-how unbemerkt ab - klassische Industriespionage. Ein weiteres Risiko ist die Sabotage, indem zum Beispiel Systeme und Daten verschlüsselt werden und der „Schlüssel“ nur gegen einen bestimmten Betrag, vorzugsweise in Bitcoin, geliefert wird. Das ist eine wirtschaftlich-finanzielle Gefahr. Wenn aber Systeme auf dem Shopfloor einer vernetzten Fabrik attackiert werden, kann es auch für den Menschen gefährlich werden: etwa wenn ein Roboter, der im Fernwartungsmodus ist, durch eine Schadsoftware unerwartet in Bewegung gesetzt wird. Arbeitssicherheit und Security rücken in Zeiten der zunehmenden Vernetzung stärker zusammen.
Aus welcher Richtung betrachten Sie Security in Ihrem Arbeitsbereich?
Trabesinger: Mein Fokus ist Security in der computergesteuerten, vernetzten Produktion. In der smartfactory@tugraz sind verschiedene Maschinen aus den Bereichen industrielle Fertigung und Montage zu einem ganzheitlichen, cyberphysikalischen Produktionssystem verbunden. Die Abläufe werden im Vorfeld mittels Simulationen geplant, und wenn die Arbeitsanweisung fertig ist, wird sie an die Maschinen geschickt und abgearbeitet. Unsere Maschinen sind ans Internet angeschlossen, um zum Beispiel ihren Status abrufen zu können. Praktisch relevant ist das für Unternehmen mit verteilten Standorten. Maschinen, die gerade aktiv sind, geben ein Statussignal nach außen über das Internet an einen Server, und dieser gibt den Status weiter an den Hauptstandort. Wenn solch ein Server kompromittiert ist, können die Statusinformationen verändert werden.
Die smartfactory@tugraz - Lernfabrik für agile und datensichere Fertigung
Ein weiterer Securityaspekt ist Social Engineering. An unseren Werkzeugmaschinen gibt es USB-Slots, die für gewisse Vorgänge nötig sind. Wenn jemand Böses im Sinne hat, könnte er über einen USB-Stick Schadcode auf die Maschinen spielen und riesigen Schaden anrichten, zum Beispiel eine Kollision mit der Werkzeugspindel verursachen. Dadurch habe ich ein paar hunderttausend Euro Schaden, Maschinenstillstand und eventuell kommt es sogar zu Personenschäden.
Wie verändert sich durch diese vernetzte Arbeitsweise die IT-Sicherheit? Was sind die entscheidenden Unterschiede zu klassischen Fabriken?
Trabesinger: Der große Unterschied ist, dass die Vernetzung sehr oft über das Internet läuft. Es gibt den Spruch: Das Internet ist böse, weil sich dort alles bewegt. Gegen diese Böshaftigkeiten aus dem Internet muss man sich absichern. Das ist relativ kompliziert, aber es gibt Hilfsmittel: Normen, Standards und Regelwerke. Die gibt es in vielen Variationen, von sehr rudimentärer Form bis hin zu hochkomplex. Diese können je nach Bedarf ausgewählt und angepasst werden. Herausfordernd ist der Spagat zwischen dem Wunsch, das Internet für seine Zwecke bestmöglich zu nutzen, sich aber gleichzeitig der Gefahren bewusst zu sein und dementsprechend Prozesse zu implementieren. Als Unternehmen muss ich ein Rahmenwerk auswählen, dass für die betrieblichen Anforderungen passend und auch finanziell umsetzbar ist.
Je mehr Hürden ein Unternehmen aufbaut, umso eher lassen Angreifer ab.
Als Beispiel eine sehr einfache Norm: die sogenannte VDS-Norm, die von einem deutschen Versicherungskonzern entwickelt worden ist. Für Klein- und Mittelunternehmen gibt sie auf 10 bis 15 Seiten sehr simple und klar nachvollziehbare Anweisungen, wie ich meinen Sicherheitsprozess gestalten kann. Indem ich zum Beispiel einen Sicherheitsbeauftragten bestimme, der gewisse Prozesse einzuhalten hat. Wenn ich das als Unternehmer mache, bin ich schon viel weiter als etliche andere. Hacker wollen es sich ja auch nicht zu kompliziert machen und versuchen dort reinzukommen, wo es am einfachsten geht. Je mehr Hürden ein Unternehmen aufbaut, umso eher lassen Angreifer ab.
Wo machen Unternehmen typischerweise Fehler, die dann von Angreifern genutzt werden können?
Trabesinger: Eine sehr häufige Fehlerquelle sind zu einfache Passwörter. Dazu kommt es, wenn es keine ausreichende Passwortrichtlinie gibt - wo zum Beispiel eine bestimmte Kombination von Zeichen Pflicht ist, ohne die ein Passwort nicht gesetzt werden kann. Ein sehr einfacher Prozess, er erfordert aber Management, sowohl auf organisatorischer, technischer als auch auf personeller Ebene. Zweiter Punkt: Fehlkonfiguration von Systemen. Software hat Lücken, und wenn ich dementsprechend gewisse Software-Systeme fehlkonfiguriere, kann das ein Einfallstor für Angreifer sein. Ein weiterer Punkt ist fehlende Netzwerksegmentierung. Ob es jetzt meine gesamte Buchhaltungsabteilung ist oder meine gesamte Produktionsabteilung: nicht alles in ein Netzwerk geben, sondern möglichst viele Einzelsegmente erstellen, um dem Angreifer das Leben möglichst schwer zu machen. Wenn er in einem Segment drinnen ist, sollte es eine Hürde geben, um in weitere Segmente zu gelangen.
Sind Sicherheit und Usability nicht im Grunde Gegensätze?
Trabesinger: Ja, in gewisser Weise ist es ein Widerspruch. Will ich als Unternehmen Null Risiko eingehen, dann habe ich irrsinnig hohe Maßnahmenkosten, durch eine sehr hohe Netzwerksegmentierung, viele Netzwerke, dementsprechend auch viel Verwaltung und Management, weil ich zwischen Netzwerken auch Regelungen brauche. Diese Regelungen müssen in der Firewall implementiert werden, die gewartet werden muss, dazu braucht es Personal - all das verursacht Kosten. Als Unternehmen bin ich aber angehalten, das im Sinne des Kosten-Risiko-Optimums bestmöglich umzusetzen. Daher gehe mit meinen Investitionen etwas zurück - ich segmentiere weniger, gebe vielleicht in Firewalls weniger Geld hinein, stelle weniger Personal zur Verfügung. Wenn ich diesen Weg immer weitergehe, entsteht der Worst Case mit höchstem Risiko bei geringsten Kosten. Das Ganze ist also eine Abwägung zwischen Investitionseinsatz und Risikobetrachtung. Das ist quasi die Krux, die wirklich jedes Unternehmen und jede Branche individuell lösen muss. Bei kritischer Infrastruktur gibt es dazu vom Gesetzgeber allerdings regulatorische Mindestvorgaben.
An welchen Sicherheitsaspekten forschen Sie in der smartfactory@tugraz?
Trabesinger: Wir verwenden Werkzeugmaschinen und haben einen Use Case durchgespielt, wo wir einen USB-Stick an das Human Machine Interface anstecken, während ein Werker mit der Werkzeugmaschine interagiert. Es ging um die Implementierung eines Intrusion Detection Systems, also eines vorgeschalteten Sicherheitssystems, das Veränderungen am System erkennt. Das System erstellt eine Meldung, dass sich ein anderes System angemeldet hat.
Kann der Handwerker in so einem Fall weitermachen oder muss er auf den Check warten?
Trabesinger: Das hängt dann davon ab, wie streng die Einstellungen des Intrusion Detection Systems sind und wie die Maßnahmen eines nachgeschalteten Intrusion Prevention Systems auch tatsächlich aussehen. Es gibt Unternehmen mit der Praxis, dass USB-Sticks, die an eine Maschine angesteckt werden, nach 15 Sekunden automatisch formatiert werden.
Es gibt Unternehmen, in denen USB-Sticks nach 15 Sekunden automatisch formatiert werden.
Ein weiteres Forschungsfeld in der smartfactory@tugraz ist die Fernwartung von Robotern. Wir haben verschiedenste am Markt befindliche Systeme getestet und dabei herausgefunden, welche Systeme eher unsicher sind und welche Maßnahmen in Form von Software ergriffen werden können, um die Fernwartung möglichst sicher zu machen. Zum Beispiel unter Verwendung von VPN, also virtuellen privaten Netzen, wo ich wirklich nur spezifisch auf diesen einen Roboter zugreife.
Und ein drittes Forschungsthema in der smartfactory@tugraz ist Edge Computing. Es geht um einen Industrie-PC, ein sogenanntes Edge Device, das direkt von der Steuerung Hochfrequenzdaten für spätere Datenanalysen verwendet, zum Beispiel für die Materialfehlerdetektion. Dieses Edge Device muss bei der initialen Inbetriebnahme, aber auch bei der Installation, Daten aus dem Internet abrufen. Dafür hat der Hersteller des Egde Device ein dementsprechendes Security-Konzept implementiert. Aber auch die Nutzer müssen gewisse Sicherheitsvorkehrungen treffen, und um diese ging es in unserer Forschung.
Was sollte eine kleine Firma mit einer kleinen Smart Factory beim Thema Sicherheit unbedingt beachten?
Trabesinger: Eine Sicherheitsrichtlinie erstellen und verantwortliche Personen definieren, die diese Sicherheitsrichtlinie einhalten. Wenn das intern nicht möglich ist: externe Hilfe von Spezialisten holen. Auch sollte man regelmäßig Attacken durchführen lassen, um den Status Quo der Systeme zu bestimmen. Es gibt mittlerweile sehr professionelle Anbieter am Markt, die auf Auftragsattacken spezialisiert sind. Ich bekomme dann einen detaillierten Bericht und kann ableiten, was zu tun ist. Wenn ich ein Unternehmensleiter wäre, ich würde als ersten Schritt so eine Firma beauftragen.
Mehr Forschungsnews finden Sie auf Planet research. Monatliche Updates aus der Welt der Wissenschaft an der TU Graz erhalten Sie über den Forschungsnewsletter TU Graz research monthly.
