Cybersicherheit für die Automatisierung

„Das Risiko wächst“

Die Cybersecurity erhält aktuell wieder einmal verstärkt Aufmerksamkeit in der Branche. Dabei ist das Thema prinzipiell für die Industrie nichts Neues. Neu sind allerdings Begriffe wie UNBÖFI oder PSIRT. Was es mit diesen auf sich hat und welche weiteren Aspekte der Sicherheit für Automatisierung und Maschinenbau unbedingt zu berücksichtigen sind, erklärt Christopher Tebbe, Security Technology Manager bei Wago, im Gespräch mit dem SPS-MAGAZIN.

Herr Tebbe, zurzeit liest und hört man immer wieder von Cyberattacken auf Industriefirmen. Wie hoch ist das Risiko eines Angriffs auf Anlagen in der diskreten Fertigung denn tatsächlich?

Christopher Tebbe: Seitdem ich mich mit dem Thema beschäftige, das sind jetzt rund zehn Jahre, geht die Zahl solcher Vorfälle kontinuierlich nach oben. Entsprechend steigt eben auch das Risiko für Anlagenbetreiber in der Industrie. Sie können sich nicht mehr darauf berufen, dass sie von Cyberkriminellen außen vor gelassen werden. Natürlich muss man unterscheiden zwischen gezielten Angriffen und breit gestreuten Malware-Attacken, wie Verschlüsselungs-Trojanern. Wie groß der Schaden ist, den letztere anrichten können – obwohl gar nicht primär auf die Industrie ausgerichtet – hat der Fall WannaCry 2017 anschaulich gemacht. Gezielte Angriffe, wie der auf die Colonial Pipeline in den USA vor kurzem, sind im Vergleich noch relativ selten. In diesem Fall waren nicht nur die direkten Auswirkungen auf Industrie und Infrastruktur gravierend. Parallel sieht sich der Betreiber möglicherweise massiven Schadenersatzklagen gegenüber und muss belegen, dass er in Sachen Security nicht geschlafen hat.

Droht ein solches Szenario auch den hiesigen mittelständischen Industrieanbietern?

Das ist nicht auszuschließen. Deshalb sollten sie mit solchen Entwicklungen Schritt halten. Gezielte Angriffe mit großem Aufwand sind – wie gesagt – eine Ausnahme. Doch den braucht es für den Zugriff auf Produktionsnetze in vielen Fällen auch gar nicht. Folglich kommen Manipulations- oder Erpressungsversuche bei Fertigungsunternehmen durchaus häufiger vor.

Kommen wir nochmal auf klassische Malware- bzw. Ransomware-Attacken zurück. Welche Einfallstore gibt es dafür auf Industrieseite?

Das größte Risiko bildet nach wie vor der Mensch. Entsprechend wichtig ist es, die eigenen Mitarbeiter gegen Malware-Verbreitung, Cyberangriffe und Social Engineering zu wappnen. Denn genauso wie der größte Risikoträger können die Mitarbeiter auch den besten Schutzwall gegen Cyberattacken bilden. Unabhängig davon werden immer mehr Maschinen und Anlagen direkt online angebunden. In vielen Fällen jedoch ohne oder nur mit veralteten Security-Mechanismen. Dann haben Trojaner und Co. auch auf direktem Weg leichtes Spiel.

Ist typische Malware denn überhaupt lauffähig auf Automatisierungs- und Steuerungskomponenten?

Das lässt sich nicht pauschal beantworten. Wenn es um klassische SPS-Systeme geht, ist die Wahrscheinlichkeit nicht sonderlich hoch. Bei IPC-Lösungen mit Embedded-Windows-Betriebssystem sieht es hingegen schon wieder anders aus. Letztlich kommt es deshalb darauf an, wie man als Anwender die Automatisierung absichert. Dabei kann man schon mit einfachen Maßnahmen die Sicherheit deutlich erhöhen.

Findet das Thema Cybersicherheit ausreichend Aufmerksamkeit im Mittelstand?

Ja, nicht zuletzt durch die aktuellen Diskussion ist das Thema auch bei den Mittelständlern angekommen. Und so gibt es auch dort immer öfter Mitarbeitende, deren zentrale Aufgabe es ist, sich mit der Cybersicherheit zu beschäftigen. Zudem steigt der Druck durch entsprechende Anforderungen auf Kundenseite oder auch gesetzliche bzw. normative Vorgaben.

An welchen Normen sollte sich der Anwender orientieren?

Eine gute Hilfestellung bietet die IEC62443 weil sie die Industrie fokussiert und mittlerweile weit verbreitet ist – nicht nur in Deutschland, sondern ebenso in der EU bzw. sogar global. Auch die VDS10020 speziell für KMU ist hier zu nennen. Hilfreiche Tipps gibt zudem die Richtlinie NIST SP 800-82 aus den USA. Diese Normen beschreiben wirksame Instrumente wie Netzwerksegmentierung, Angriffsoberflächenverkleinerung sowie Zugangsverwaltung und Passwortschutz.

Das sind aber strategische Maßnahmen und keine konkreten technischen Lösungen.

Ja, solche übergreifende Punkte bilden die Grundlage der Sicherheit, weil sie sich auf die Unternehmen ganzheitlich auswirken – nicht nur auf die Automatisierungs- und Steuerungstechnik. Wenn es um ergänzende Aktionen geht, sollte man Schritt für Schritt vorgehen – beginnend mit den Security-Maßnahmen, die sich am einfachsten umsetzen lassen. Ein einmal erreichtes Sicherheitslevel muss der Anwender dann immer beibehalten. Denn letztlich lässt sich das Thema Cybersecurity leider nie final abschließen.

Wie stark muss man sich dem Thema Cybersecurity als Industrieanbieter wirklich widmen?

Je nachdem in welchem Bereich man tätig ist, gibt es verschiedene Sicherheitslevel, die man erreichen sollte. Normalerweise muss man nicht zwingend jede Maßnahme umsetzen, nur weil es sie gibt. Sonst wird es im Zweifel unnötig teuer oder sogar unbezahlbar. Hier ist ein gewisses Augenmaß nötig, das sich der Anwender aneignen muss. Deswegen tritt Wago, wenn es um die richtigen Maßnahmen geht, direkt und auf Augenhöhe in Interaktion mit dem Kunden.

Wago hat mit seinem PSIRT ein dediziertes Angebot im Sicherheitsbereich. Was genau verbirgt sich dahinter?

Das Product Security Incident Response Team, kurz PSIRT, setzt sich bei uns interdisziplinär aus Security, Entwicklung, Systemspezialisten und Support zusammen. Wie der Name verrät, geht es prinzipiell um Produkte, die Wago in diesem Bereich anbietet. Sollten Schwachstellen bekannt werden, dann bildet das PSIRT das Fundament unserer Strategie, um schnell reagieren und betroffene Kunden unterstützen zu können. Das läuft standardisiert nach einem genau definierten Prozess ab: von der Meldung einer Schwachstelle über die Prüfung bis hin zur Beseitigung. Für Wago hat es oberste Priorität, transparent mit auftretenden Schwachstellen umzugehen und diese möglichst schnell und effizient zu beseitigen, bzw. Sicherheits-Updates bereit zu stellen. Man muss hier nochmal betonen, dass die Veröffentlichung von Schwachstellen etwas Gutes ist. Denn wie aus dem Office-Umfeld bekannt: Es gibt keine hundertprozentig sicheren Lösungen. Und nichts ist fataler, als das Wissen um potenzielle Einfallstore nicht mit dem Anwender zu teilen.

Wago setzt ja bei seinen Controllern auf Linux und hat damit eine große und aktive Online-Community im Rücken. Hilft das auch mit Blick auf die Cybersicherheit?

Auf jeden Fall! Und zwar aus mehreren Gründen: Allein Linux als Basis unserer Controller wird in dieser Nutzergemeinschaft fortlaufend auf Herz und Nieren geprüft. Theoretisch haben auch unsere Kunden genauen Einblick und können Wago-Lösungen eigenständig auf Schwachstellen prüfen. Zudem müssen Sicherheitsexperten und Forscher, die sich auf Exploits spezialisiert haben, keine proprietären Hürden überwinden.

Wieweit unterstützen Sie Kunden in Sachen Cybersicherheit?

Schon unser Sicherheitshandbuch für Wago-Kunden listet viele wichtige Punkte auf und kann Probleme von vorneweg vermeiden. Zudem veranstaltet Wago Kundenevents, die den Stellenwert der Security proaktiv unterstreichen. Natürlich haben wir auch das Knowhow im Haus und die passenden Spezialisten, um tiefer gehende Aspekte zu klären. Solche Service- und Beratungsleistungen wollen wir künftig verstärkt anbieten und das Angebot ausbauen. Aber auch jetzt schon hat Wago bei Sicherheitsfragen immer ein offenes Ohr.

Gibt es eine generelle Herangehensweise, die Sie Ihren Kunden empfehlen?

Am wichtigsten ist es, das Thema Security überhaupt anzugehen und nicht auf die lange Bank zu schieben. Low hanging Fruits gibt es eigentlich immer. Welche das sind, kann von Anwender zu Anwender aber ganz unterschiedlich sein. Wenn er sie nicht auf Anhieb identifizieren kann, stehen wir gerne beratend zu Seite.

Und welche Wago-Produkte und -Lösungen kommen dabei zum Einsatz?

Gemäß des Security-by-Design-Ansatzes ist die Sicherheit schon in der Wago-Entwicklung ein essenzieller Aspekt. So sind in vielen Steuerungen bereits VPN-Clients, Firewalls oder moderne Verschlüsselungsverfahren integriert. Auch unsere gehärtete Firmware zeigt, wie ernst wir das Thema nehmen. Schließlich hat Wago schon viel Erfahrung gesammelt und ist analog zu den Anforderungen der Anwender gewachsen. Nicht nur in der diskreten Fertigung, sondern auch in anderen Geschäftsbereichen wie Prozesstechnik, Infrastruktur und Energie.

Inwieweit müssen sich denn Anwender in der Industrie mit dem IT-Sicherheitsgesetz 2.0 auseinander setzen?

Auseinandersetzen müssen sich damit immer mehr Industriebereiche, denn es sind einige Verschärfungen und Ergänzungen hinzugekommen. Aus organisatorischer und technologischer Sicht wird ab Mai 2023 eine Angriffserkennung verbindlich vorgeschrieben. Auch hier werden wir unsere Kunden nicht alleine lassen und ein passendes Angebot formulieren. Und neben Kritis-Betreibern betrifft das IT-Sicherheitsgesetz jetzt auch Unternehmen im besonderen öffentlichen Interesse, kurz UNBÖFI.

Wer ist denn konkret mit UNBÖFI gemeint?

Darunter fallen z.B. die Bereiche Rüstung und Chemie oder Unternehmen mit besonders hoher Wertschöpfung. Auch Zulieferer für deren kritische Prozesse – wie es etwa Wago ist – werden mit eingeschlossen. Wie? Das ist Stand heute noch nicht genau definiert und wird in einer Rechtsverordnung weiter spezifiziert. Nach ersten Informationen soll diese im Laufe des nächsten Jahres entstehen. Weitere Fragezeichen gibt es beim Begriff der kritischen Komponente, der im neuen IT-Sicherheitsgesetz auftaucht. Bisher ist das Thema nur für die Mobilfunkinfrastruktur über das Telekommunikationsgesetz geregelt. Inwieweit darunter zukünftig auch Steuerungstechnik oder Maschinenbau fallen, ist noch zu klären. Im Zweifel – soviel zeichnet sich jedenfalls schon ab – wird sich das IT-Sicherheitsgesetz also künftig noch auf einige weitere Unternehmen auswirken.

Wo geht es bei der industriellen Cybersicherheit weiter? Können Sie einen Ausblick geben?

In den nächsten Jahren werden die Angriffe wohl noch großteils über die IT-Ebene kommen. Aber sowohl Hardware- als auch Software-seitig werden in der Produktion ja immer mehr IT-Komponenten und -Mechanismen eingesetzt. Gleichzeitig nimmt auch die Zahl der industriellen IoT-Schnittstellen zu. Wie gesagt, wächst das Risiko von Cyberattacken im Shopfloor. Das ist wohl die Schattenseite der IT/OT-Konvergenz und die Herausforderung von Industrie 4.0.

WAGO Kontakttechnik GmbH & Co. KG

Das könnte Sie auch Interessieren

Bild: P.E. Schall GmbH & Co. KG
Bild: P.E. Schall GmbH & Co. KG
Doppeltes Jubiläum

Doppeltes Jubiläum

Sindelfingen, Sinsheim, Stuttgart – die Motek hat in ihren 40 Jahren Messegeschichte schon einige Stationen durchlaufen. Die Geschäftsführerin des Messeveranstalters P.E. Schall, Bettina Schall, berichtet im Interview mit dem SPS-MAGAZIN über den Charakter der Messe, Erfolge und Herausforderungen für einen Messeveranstalter in der Automatisierungsbranche und aktuelle Technologietrends. Außerdem gibt es neben 40 Jahren Motek noch ein weiteres Jubiläum zu feiern: 60 Jahre Schall-Messen.

Bild: TeDo Verlag GmbH
Bild: TeDo Verlag GmbH
„Alle sind am Start“

„Alle sind am Start“

Im Rahmen einer Pressekonferenz hat der Veranstalter Mesago Details zur SPS-Messe 2022 bekannt gegeben, die vom 8. bis 10. November stattfindet. Nach zwei Jahren, in denen die Fachmesse pandemiebedingt ausfiel, sollen dieses Jahr in Nürnberg wieder die neuesten Produkte und Lösungen für die industrielle Automation zu sehen sein.

Bild: TeDo Verlag GmbH
Bild: TeDo Verlag GmbH
Welcome to 
Open Webinar World

Welcome to Open Webinar World

Mit Open Webinar World hat der TeDo Verlag jetzt eine neue Plattform für seine TechTalks gelauncht. Webinar-Teilnehmer profitieren von zahlreichen Vorteilen und können das breite Themenangebot zukünftig noch komfortabler nutzen. Anmeldung und die Teilnahme an den Automation TechTalks bleiben natürlich weiterhin kostenlos.

Bild: Pepperl+Fuchs SE
Bild: Pepperl+Fuchs SE
Schlüsselfertige Vision-Lösungen

Schlüsselfertige Vision-Lösungen

Pepperl+Fuchs bietet neben einem umfangreichen Vision-Produktportfolio nun auch Lösungsunterstützung für seine Kunden. Der 2022 neu gegründete Geschäftsbereich Factory Solutions konzentriert sich auf genau diese schlüsselfertigen Lösungen. Das Leistungsangebot beinhaltet die IIoT-gerechte Digitalisierung von Anlagen und
Prozessen (Neoception), die Projektierung und Realisierung von kompletten Bildverarbeitungs- und Robot-Vision-Lösungen (VMT Bildverarbeitungssysteme), sowie Gesamtautomatisierungslösungen (Polyplan).

Bild: MVV
Bild: MVV
Oberschwingungen im Griff

Oberschwingungen im Griff

Als Reaktion auf den fortschreitenden Klimawandel sind die Versorgungsunternehmen in Deutschland dazu angehalten, auf CO2-neutrale Energien umzustellen. Für die in Bau befindliche Fernwärme-Besicherungsanlage Rheinufer Neckarau liefert Bilfinger die Elektro- und Leittechnik zur Einspeisung der gewonnenen Wärme. Schrankumrichter der Baureihe ACS880-37 von ABB tragen dazu bei, dass das Stromnetz nicht mit Netzoberschwingungen belastet wird.

Bild: ©Bet_Noire/istockphoto.com
Bild: ©Bet_Noire/istockphoto.com
Störungsfreier 
Materialfluss

Störungsfreier Materialfluss

Puffer- und Staustrecken sorgen in stationären Materialflussanlagen für ausreichend Flexibilität und Effizienz. Mit Zero Pressure Accumulation über AS-Interface und einer intuitiv bedienbaren Software von Bihl+Wiedemann lässt sich die Einrichtung solcher Strecken vereinfachen. Und zwar unabhängig von den verwendeten Antrieben, ohne komplizierte SPS-Programmierung und beliebig skalierbar – von der einfachen geraden Förderstrecke über Systeme mit mehreren Ein- und Ausschleusepunkten bis hin zu autarken Lösungen mit Safety.