Christoph Scherrer, Bachmann: "Was im Netz hängt, muss geschützt werden. Sonst wird das nichts mit Industrie 4.0!"

© Computer&AUTOMATION

Herr Scherrer, Sie haben ein trojanisches Pferd auf dem Messestand platziert – welchen Nachbarstand will Bachmann heute Nacht attackieren?

Scherrer: Wir attackieren niemanden, denn das Pferd ist von uns ja gebändigt und wird den Stand nicht verlassen – versprochen! Vielmehr wollen wir mit dem Eyecatcher unsere Industriekunden aufklären beziehungsweise dafür sensibilisieren, dass sie Schadsoftware oder Angreifer nicht unwissend in ihre Produktion lassen. Aus unserer Sicht wird insgesamt noch viel zu wenig über Security gesprochen – Ausrüster wie Anwender meiden das Thema. Dabei brauchen wir unbedingt den Austausch mit den Anwendern, um gemeinsam Lösungen zur Verteidigung zu entwickeln!

Sind die Anwender unwissend?

Scherrer: Ja, viele schon. Unwissenheit ist eines der größten Einfallstore für Angreifer – siehe beispielsweise Shodan.io. Mit der Suchmaschine lassen sich offene, nicht geschützte Steuerungen oder IoT-Geräte weltweit finden – viele unsere Industriekunden waren überrascht als wir ihnen die Suchmaschinenergebnisse präsentierten. Das HMI einer Brauerei in Italien anschauen? Kein Problem, alles schnell zu finden. Oder nehmen Sie Google-Dorking. Das ist ein passiver Angriff, mit dem sich Nutzernamen und Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen.

Was raten Sie daher?

Scherrer: Ein erster wichtiger Schritt wäre das Ende der Standard-Passwörter oder Standard-Betriebseinstellungen und konsequentes Patchen. Eine weitere Maßnahme ist das Verschlüsseln der Dateien, wie wir es bei unseren eigenen M1-Steuerungen praktizieren. Damit schützen wir kritische Daten wie beispielsweise Log-Files oder Rezepte. Feingranulare Zugriffskontrolle ermöglicht darüber hinaus die Freigabe oder das Verbot zum Zugriff auf einzelne Dateien und sogar Variablen für jeden Benutzer. Überwacht wird dies durch ein zentrales Security-Protokoll, welches jeden An- und Abmeldevorgang, sowie sämtliche verändernden Zugriffe aufzeichnet und somit auch im Garantiefall als hilfreiches Instrument dient. Und: Wir können über offene Schnittstellen weitere kryptografische Anwendungen anbinden.

Reicht das?

Scherrer: Nein, sicher nicht. Zusätzlich statten wir unsere Steuerungen mit Funktionen zur Bandbreitenbegrenzung des Netzwerks aus, um die Robustheit gegen absichtliche und unabsichtliche Netzwerk-Störungen zu erhöhen. Echtzeit-Prozesse werden durch Überlastung der Netzwerk-Schnittstelle nicht gestört. Die bereits erwähnten Maßnahmen zur Zugriffskontrolle und -überwachung sind auch hier wirksam. Diese helfen beim Verhindern unautorisierter Funktionsaufrufe und auch im Fall des Falles bei der Eingrenzung potenzieller Fehlerquellen.

Und was können beziehungsweise müssen die Anwender selbst tun?

Scherrer: Der Betrieb eines komplexen Maschinenparks erfordert ein durchgängiges und zentralisiertes Management der User, ihrer Passwörter und Berechtigungen sowie der Zertifikate. Dementsprechend empfehlen wir den Anwendern ein Sicherheitsmanagement mit klaren Richtlinien und einer Rechte-Vergabe – denn das größte Risiko sind Mitarbeiter im Betrieb, die unwissend oder weil sie frustriert sind, die Prozesse zerstören. Ebenso müssen Security-Protokolle zentral gesammelt und analysiert werden.

Im Fall der Fälle bietet unser Automatisierungssystem nicht zuletzt einen Backup- und Recovery-Mechanismus an. Doch wir sollten uns auch bewusst sein: Viele Angriffe registrieren die Unternehmen erst viele Monate nach der eigentlichen Attacke.