Wie schätzen Sie vor dem Hintergrund neuer EU-Regelwerke zur Cybersecurity den aktuellen Stand der Dinge bei industriellen Cloudanwendungen ein? 

Klaus-Dieter Walter: Um die Frage beantworten zu können, möchte ich kurz umschreiben, was ich unter einer industriellen Cloud-Applikation verstehe. Aus meiner Sicht haben wir es hier mit einem Frontend, also Sensoren, Steuerungen und ähnlichem als Datenquellen, sowie einem Backend zur Informationsgewinnung auf der gegenüberliegenden Seite zu tun. Dazwischen existieren mehr oder weniger komplexe Clouddienste sehr unterschiedlicher Serviceprovider mit externen Kommunikationsverbindungen in beide Richtungen – also insgesamt die Architektur einer typischen IoT-Anwendung. Nun zur Antwort auf die Frage: Die Cybersicherheit solcher Anwendungen im industriellen Umfeld halte ich insgesamt für bedenklich, in einigen Fällen sogar für grenzwertig.         

Das hört sich ja nicht gut an. Worauf basiert diese pessimistische Einschätzung?

Man muss die Cybersicherheit solcher Anwendungen schon von einem Ende bis zum anderen Ende betrachten und darauf achten, dass insgesamt die Vertraulichkeit, Integrität und Authentizität der Daten über alle Medienbrüche hinweg plus die permanente Verfügbarkeit der Dienste gewährleistet ist. Dabei wird immer wieder übersehen, dass IoT-Daten zwar relativ hochgesichert vom Endpunkt in die Cloud übertragen werden, dort dann aber entschlüsselt und von verschiedenen Anwendungen bearbeitet werden. Für den Nutzer der dabei gewonnenen Informationen am anderen Anwendungsende ist die Sache mit der Vertraulichkeit, Integrität und Authentizität in Bezug auf die Datenquelle in der Regel nicht mehr nachprüfbar. Des Weiteren kann ein Cloudservice, aber auch ein Kommunikationskanal, jederzeit aus unterschiedlichen Gründen ausfallen. Als Servicenutzer haben sie praktisch keinen Einfluss auf die Verfügbarkeit und auch nicht auf den Software-Stack der Clouddienste. Werden zusätzlich noch Mobilfunknetzwerke oder andere öffentliche Netzwerke als Kommunikationsinfrastruktur genutzt, gilt diese Einschätzung prinzipiell auch für die Softwarebausteine der Kommunikationsverbindungen.     

Einige Cloud-Plattformen werden von weltweit führenden US-IT-Unternehmen betrieben. Die verfügen über immense Ressourcen und sehr viel Know how hinsichtlich des sicheren IT-Betriebs. Dort kann meiner Industrial-Cloudanwendung doch wohl nicht passieren?   

Das sehe ich anders. Wir hatten ja gerade die HTTP/2-Rapid-Reset-Attacke auf Amazon und Google. Gegen einen derart gewaltigen DDoS-Angriff, der beispielsweise eine Schwachstelle in einem Standard-Protokoll ausnutzt, können sich auch die besten Cloud-Serviceprovider nicht wirklich schützen. Bei rund 400 Millionen sinnlosen HTTP-Anfragen pro Sekunde sind auch die Cloud-Plattformen dieser IT-Konzerne nicht mehr erreichbar. Mit anderen Worten: Auch Marktführer sind erfolgreich angreifbar, man muss nur die Attacken anspruchsvoller gestalten. Des Weiteren ist zu beachten, dass in den Cloudplattformen großer Serviceprovider auch sogenannte Third-Party-Softwarebausteine zum Einsatz kommen. Die Drittanbieter hinter diesen Funktionen entwickeln beispielsweise spezielle Cloudlösungen für die Maschinen- und Anlagenbetreiber und hosten ihre Lösungen dann bei Amazon, Microsoft oder anderen Anbietern. Dadurch vergrößert sich die mögliche Angriffsfläche für Cyberattacken erheblich.      

Wie könnte eine Lösung aussehen, die einem Cloudnutzer im industriellen Umfeld weiterhilft?

Zunächst einmal sollte ein industrieller Cloudnutzer sich möglichst selbst um die Sicherheit seiner Anwendung kümmern und sich nicht einfach darauf verlassen, dass die Partner schon für die Cybersecurity sorgen werden. Dazu gehört dann auch, dass man Serviceprovider auffordert, im Rahmen geeigneter Prozesse gewisse Sicherheitsanforderungen und Transparenzpflichten zu erfüllen, aber auch für eine Redundanz sorgt, die bei Problemen einen schnellen Providerwechsel erlaubt. Weiterhin sollte man auf eine echte Ende-zu-Ende-Sicherheit achten, mit der ein Informationsnutzer auch die Datenquelle authentifizieren kann. Insgesamt ist eine mehrschichtige Sicherheitsstruktur anzustreben. Hierfür kann man sich an Defense-in-Depth-Konzepten orientieren.  

SSV auf der SPS 2023: Halle 6 Stand 241G