37. BremSec-Forum greift das Thema Cybersicherheit von Automatisierungsanlagen auf
2004 war das erste BremSec-Forum, welches vom Technologie-Zentrum Informatik und Informationstechnik (TZI) ursprünglich gegründet wurde. Seit 2007 ist das IFIT für die Ausrichtung zuständig und die DECOIT® hier ebenfalls ständig präsent. Veranstaltungen zu unterschiedlichen Themen finden von drei- bis viermal im Jahr statt. Die beiden Vorträge des 37. BremSec-Forums am 3. Februar 2016 beschäftigten sich dieses Mal schwerpunktmäßig mit dem Thema „Industrie 4.0: Cybersicherheit von Automatisierungsanlagen“. Dabei wurden Erfahrungen aus der Praxis bei bestehenden Prozessleit- und Automatisierungsnetzen präsentiert sowie zukünftige Anforderungen aufgezeigt.
Der erste Vortrag wurde von Jens-Michael Lambrecht gehalten. Herr Lambrecht ist langjähriger Ingenieur für IT-Sicherheit in der Prozessleittechnik bei der swb Erzeugung AG & Co. KG. Er stellte anfangs die vier Bremer Kraftwerkstandorte vor. Bei der swb Erzeugung und swb Entsorgung wurde eine Sicherheitslinie bereits 2009 für den Bereich der Prozessleittechnik entworfen, die dem aktuell verabschiedeten IT-Sicherheitsgesetzt einige Jahre zuvorkam. Dieses Gesetz legt Wert auf die Einhaltung aktueller Sicherheitsstandards und stellt eine Meldepflicht für KRITIS-Betreiber dar. Nach der Definition einer Sicherheitsleitlinie folgten eine Asset-Ermittlung, eine Risikoanalyse und die Konzeption einer Sicherheitsarchitektur, die auf anerkannten Standards basierten (z.B. ISO 27001). Als wichtigste Randbedingungen des Sicherheitsprojektes, die es zu beachten galt, ließen sich festhalten: kurze Revisionszeiten, Erfüllung der Anforderungen der Arbeitssicherheit von externen Dienstleistern, vollständige Einhaltung der Vorgaben und Spezifikationen der Leittechnik-Hersteller sowie zum Teil Einsatz relativ alter Systeme. Die definierte Sicherheitsarchitektur nahm darauf Rücksicht und ermöglicht nun einen autarken Betrieb, die Umsetzung von Anti-Virus, Patch-Management und File-Services sowie eine gemeinsame Lösung für Fernwartung und Filetransfer.
Essentiell ist bei der Umsetzung die Einführung eines Monitorings, welches nicht nur auf Verfügbarkeit und Performance achtet, sondern auch die IT-Sicherheit mit einbezieht. Durch die Integration eines Monitorings kann nun jeder Zugriff protokolliert werden. Dies ist insbesondere bei den Arbeiten externer Dienstleister wichtig. Abschließend wurde ein persönliches Fazit gezogen, indem aufgezeigt wurde, dass eine rechtzeitige Vorbereitung und Vorplanung von großer Bedeutung ist. Auch auf die konsequente Einhaltung der Vorgaben, frühzeitige Tests von Altsystemen und die rechtzeitige Betrachtung von Sonderfällen sollte geachtet werden. Der TCP/IP-Protokollstack ist dabei heute „Fluch und Segen“ zugleich, wie Lambrecht feststellte. Durch den frühen Start dieses Projektes ist man allerdings bereits heute gut und sicher aufgestellt.
Anschließend referierte Dieter Barelmann, Geschäftsführer der VIDEC Engineering GmbH, über aktuelle Projekterfahrungen zum Fokusthema aus dem KMU-Bereich. VIDEC bietet Software für Automatisierungstechnik an. Dabei wird Industrie 4.0 (Cloud, Web, OPC UA, Big Data, Service) aus Sicht der VIDEC bereits in naher Zukunft durch Industrie 5.0 (selbstlernende Maschinen) abgelöst werden. Auch die VIDEC stellte bezüglich der IT-Sicherheit fest, dass auch im Automatisierungsumfeld die Summe der Angreifer zunimmt. Dabei ist Automatisierungssicherheit heute nicht so gut aufgestellt wie die sogenannte Office-IT, weil Wert in der Vergangenheit hauptsächlich auf Verfügbarkeit und Integrität gelegt wurde. Kontinuierliches, automatisiertes Überwachen und Erkennen, um frühzeitig bei Sicherheitsvorfällen handeln zu können, ist oftmals fehl am Platz.
Wichtig bei einer Einführung von Industrie 4.0 ist es, dass es genügend Kommunikation zwischen Automatisierern und IT-Verantwortlichen gibt, da ein unterschiedliches Sachverständnis vorhanden ist. Das liegt daran, dass das Wissen in den Bereichen recht unterschiedlich ist. Als Bedrohung in den Unternehmen – speziell in KMUs – wird das fehlende Risikomanagement ausgemacht. Fehlende Systematik und Dokumentation kommen erschwerend hinzu. Die unerwünschte Kommunikation und der Einsatz von Geräten von Mitarbeitern oder Dienstleistern machen eine Handhabung auch nicht einfacher. Allerdings kann insgesamt eine Sensibilisierung für die IT-Sicherheit ausgemacht werden. Trotzdem waren die Einstellungen der meisten Firewall-Systeme nicht ausreichend. Das Verständnis für ein gemeinsames Sicherheitskonzept muss allerdings erst einmal erarbeitet werden. Durch Industrie 4.0 kommt eine Riesenwelle von Veränderungen auf uns zu (die Client-Server-Architektur wird zunehmend verschwinden, das Cloud-Thema wird stärker kommen, die Systemarchitektur verändert sich, Webservices nehmen zu). Diese können nur gemeinsam (z.B. in der Allianz für Cybersicherheit oder im IFIT-Verein) angegangen werden.
Das nächste BremSec-Forum findet voraussichtlich am 08.06.2017 mit dem Schwerpunkt "Profi-Hacking" statt.