Arndt Reuning Peter Welchering, welche Folgen kann denn ein Hacker-Angriff auf eine digitale Fabrik haben?
Peter Welchering Die Roboter können verrückt spielen und das Fließband zerschlagen. Pumpen können Leitungen zum Platzen bringen und die Fabrik mit Öl oder Wasser fluten. Oder etwas harmloser: Die Steuerplatinen, sozusagen die Mini-Gehirne der Maschinen, Roboter,Pumpen werden einfach abgeschaltet, und die Produktion steht still.
Reuning Wo liegen denn bisher die Schwachpunkte, die Hacker für einen Angriff auf die digitale Fabrik ausnutzen?
Welchering Da gibt es viele Angriffsmethoden, aber die lassen sich alle im Prinzip auf zwei Punkte zurückführen, nämlich die verbauten Kommunikationskanäle und die verbauten Steuerungsplatinen bzw. Industriesteuerungen. Bei den Kommunikationskanälen hat man in Sachen Sicherheit in der Vergangenheit sehr stark, sogar etwas einseitig auf Verschlüsselung gesetzt. Viel zu oft wurde übrigens überhaupt nicht verschlüsselt.
Jetzt kommt ein Berechtigungsmanagement mit Zertifizierungen und genauer Kontrolle, wer welche Befehle geben darf, wer welche Daten wohin schicken oder auch empfangen darf.
Vor 40 Jahren war Digitalisierung noch nicht absehbar
Reuning Die andere Schwachstelle sind die Industriesteuerungen. Wieso konnten die in der Vergangenheit so erfolgreich angegriffen werden?
Welchering Das ist sozusagen ein Konstruktionsmangel. Industriesteuerungen sind sehr langlebig. Sie werden über 20, 30, 40 Jahre eingesetzt. Und vor 30 bis 40 Jahren hat niemand daran gedacht, dass eine Industriesteuerung mit Robotern, Smartphones oder Werkzeugmaschinen vernetzt sein würde. Deshalb wurden diese Industriesteuerungen zwar davor geschützt, dass in der Fabrikhalle jemand unbefugt auf sie zugreifen kann. Aber Sicherheitsmodule in Sachen Vernetzung waren damals unbekannt. Nach den ersten großen Hacks auf Industriesteuerungen vor 15 Jahren sind diese Vernetzungsmodule dann nachgerüstet worden in Sachen Sicherheit. Das ist im Wesentlichen auch über die Absicherung des Zugriffs passiert. Und das war nicht sehr erfolgreich. Das Zugriffskonzept in Sachen Sicherheit für Industriesteuerungen ändert man jetzt und schaut sich stattdessen die Muster in der Datenübertragung von und zu den Industriesteuerungen an. Wir haben es hier also mit klassischer Mustererkennung zu tun.
Reuning Wie wird da nach Mustern gesucht?
Welchering Wie bei allen digitalen Angriffen laufen auch Angriffe auf Industriesteuerungen nach bestimmten Mustern ab. Eine Monitoring-Software kontrolliert den Datenaustausch, also welche Daten werden in welcher Abfolge wann an welche Empfänger geschickt. In welcher Abfolge kommen Daten für Steuerungsbefehle, in welcher Abfolge kommen sogenannte Parameterdaten, die zum Beispiel festlegen, wie stark der Druck bei einer Pumpe erhöhte werden darf. Die Sicherheitskontrolle findet somit nicht mehr auf den Industriesteuerungen statt, sondern im Datenkanal. Das setzt einen einheitlichen Kommunikationsstandard voraus. Der heißt OPC-UA und ist heute hier in München vorgestellt worden. Dieser Standard ist also endlich verabschiedet worden.
Monitoring-Software bemerkt Auffälligkeiten
Reuning Wie wird solch ein Muster dann konkret erkannt?
Welchering Da geht zum Beispiel der Befehl an eine Steuerungsplatine oder Industriesteuerung: Schick mir deinen Wartungsdatensatz. Aus solchen Daten können viele Eigenschaften einer Industriesteuerung erkannt werden. Danach werden Daten verschickt, die den zulässigen der Druck einer Hydraulikpumpe z.B. um Faktor 30 erhöhen. In der Folge kommen dann Steuerungsdaten für bestimmte Ventilstellungen. Das ist solche ein Angriffsmuster. Das erkennt die Monitoring-Software und schlägt Alarm. Eine Analyse-Software kontrolliert dann, woher die Daten kamen, welches Auftragskonzept dahintersteckte und kann so einen vorsätzlichen Angriff oder einen fahrlässigen Mitarbeiterfehler oder einen Systemfehler erkennen.
Reuning Steigt dadurch der Überwachungsaufwand nicht massiv an?
Welchering Das tut er, aber das kann automatisiert abgewickelt werden. Dahinter steckt das Konzept, die Datenkommunikation im Internet der Dinge, also bei Industrie-4.0-Anwendungen nicht nur hinsichtlich der Berechtigungen, Zertifikate und Verschlüsselungen zu überwachen, sondern im Datenfluss nach Mustern zu suchen, die auf einen Angriff hinweisen. Diese Muster werden vom Sicherheitssystem ständig gelernt. Es sind also keine statischen Muster. Letztlich beruht das auf der Wahrscheinlichkeitsberechnung: Wie hoch ist der Grad der Wahrscheinlichkeit, dass ein bestimmtes Datenmuster oder Verhaltensmuster bei der Datenübertragung sich zu einem Angriffsmuster und in der Folge zu einem wirklichen Angriff auf die Industriesteuerung verdichtet?
Sicherheitsinstanz im Kommunikationskanal
Reuning Ist das denn noch reine Zukunftsmusik? Oder wird das schon in den Fabriken gemacht?
Welchering Hier auf der Automatica werden fertige Fabriklösungen gezeigt. Das heißt, das sind nicht nur Laborlösungen, die gibt es auch, sondern das sind Lösungen, die auch schon in Fabriken implementiert sind, allerdings noch in ausgewählten Pilotprojekten. Bei Gesprächen heute Morgen auf einer Presskonferenz, da habe ich so ein bisschen mitbekommen, dass einige Sicherheitsbeauftragte mit dieser Verlagerung der Sicherheitsinstanz in den Kommunikationskanal noch etwas fremdeln. Sie trauen der Wahrscheinlichkeitsberechnung, mit der die Verhaltensmuster im Datenkanal für eine Angriffsprognose berechnet werden, noch nicht so recht. Da wird zum Beispiel befürchtet, dass es zu häufig Fehlalarme geben könnte und dann die Produktion stillsteht.
Reuning Gibt es denn schon Erfahrungen mit Fehlalarmen?
Welchering Die gibt es in Pilotprojekten und im Labor. Und da zeigt sich, dass durch dieses mehrstufige Prüf- und Abwehrverfahren, Produktionsstillstände nicht vorgekommen sind. Wird ein Angriffsmuster erkannt, wird ja nicht einfach die Industriesteuerung abgeschaltet. Die Angriffsdaten werden abgefangen und weiter analysiert. Die Industriesteuerung erhält die nötigen Produktionsdaten in einem abgesicherten Modus über einen Ersatzkanal.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.