Suchen

Digitalisierung Industrie 4.0 benötigt von Grund auf Sicherheit

| Autor / Redakteur: Jarno Limnéll / Dipl.-Ing. (FH) Reinhold Schäfer

Mit der Schaffung der intelligenten Fabrik stehen die Fertigungsbetriebe vor einem großen Umbruch. Dieser Artikel soll zeigen, wie die geänderten Produktionsabläufe nachhaltig gesichert werden.

Firma zum Thema

Ein finnisches Unternehmen nutzt zur sicheren Datenübertragung seiner mobilen Maschinen zum Rechenzentrum Virtual-Private-Networks-Lösungen.
Ein finnisches Unternehmen nutzt zur sicheren Datenübertragung seiner mobilen Maschinen zum Rechenzentrum Virtual-Private-Networks-Lösungen.
(Bild: Tosibox)

Auf einen Blick

  • Wie wichtig es ist, die Produktion abzusichern, zeigt das Beispiel der Attacke der Randsomware Wannacry im Mai 2017, die 200.000 Unternehmen betraf.
  • Sicherheitskritische Produktionsanlagen sollten deshalb umfassend geschützt werden, beispielsweise indem sie Virtual Private Networks nutzen.
  • Das Beispiel eines finnischen Unternehmens zeigt, dass die Einrichtung eines Fernzugriffs- und Kontrollwerkzeugs üblicherweise in rund fünf Minuten erledigt ist.

Der Vorteil der Produktion von morgen liegt auf der Hand: Die Produktion wird individueller und effizienter. So entstehen gerade für Wirtschaftsstandorte, die sonst aufgrund der höheren Lohnkosten im Vergleich zu Niedriglohnländern ins Hintertreffen geraten könnten, durch geänderte Formen der Organisation und Steuerung der gesamten Wertschöpfungskette erhebliche Wachstumschancen und Wettbewerbsvorteile. Es kann nicht nur die laufende Produktion aufgrund einer intelligenten Automatisierung budgetschonender gestaltet werden, auch individuelle Kundenwünsche können innerhalb einer Massenfertigung günstiger erfüllt werden und somit dem Hersteller zu einem Wettbewerbsvorteil verhelfen.

Natürlich bleibt der Mensch auch in einer vollkommen digitalisierten Fabrik der entscheidende Faktor. Doch vieles wird ihm durch automatisierte Prozesse vorweggenommen. Dabei können die beteiligten Systeme durch Sicherheitslücken und Angriffe kompromittiert werden, ohne dass es IT- oder OT-(Operational-Technology-)Administratoren und -Experten sofort mitbekommen – zu komplex sind dafür die Abläufe, zu zahlreich die beteiligten Geräte. Daher stellt sich zwangsläufig die Frage, wie moderne Produktionsabläufe nachhaltig gesichert werden können.

Erfahrungen mit sabotierter Produktion

Dass Sicherheitsaspekte durchaus eine Rolle spielen, mussten viele Unternehmen am eigenen Leib feststellen. Eines der bekanntesten Beispiele der vergangenen Jahre ist die Attacke der Randsomware Wannacry im Mai 2017, die etwa 200.000 Unternehmen und Organisationen in mindestens 150 Ländern betraf.

Die Attacke hatte im Produktionsbereich durchaus auch prominente Opfer. Beispielsweise den Autobauer Honda, der gezwungen war, die Produktion an seinem Standort Sayama nordwestlich von Tokio (Japan) auszusetzen. Dies hatte einen erheblichen Schaden zur Folge, weil alleine an einem Tag rund tausend Fahrzeuge der Modelle Accord Sedan, Odyssey Minivan und Sep Wagon nicht fertiggestellt werden konnten. Dasselbe Schicksal ereilte seine Wettbewerber Renault und Nissan, die ebenfalls vom Cyberangriff getroffen wurden und ebenfalls ihre Werke in Japan, Großbritannien, Frankreich, Rumänien sowie Indien stilllegen mussten. Renault wies beispielsweise 3500 Mitarbeiter im französischen Douai, einem seiner größten Werke, an, der Arbeit fernzubleiben. Man benötigt nicht viel Fantasie, um sich vorzustellen, welch immenser Schaden der Automobilbranche alleine aus diesem Cyberangriff entstand.

Lag bei Wannacry lediglich die Motivation vor, Unternehmen durch eine kriminelle Verschlüsselung zu Lösegeldzahlungen zu bewegen, ist es bei gezielten Angriffen auf Produktions­standorte etwas anders. Hier können Angriffe durchaus perfider und zielgerichteter gestaltet werden. Cyberkriminelle können die Produktionsprozesse bewusst infiltrieren, um beispielsweise Fehlfunktionen an Produktionsmaschinen hervorzurufen, die dann fehlerhafte Produkte herstellen. Diese Sabotage kann aus unterschiedlichen Gründen erfolgen, beispielsweise um den laufenden Produktionsbetrieb zu erpressen oder als Versuch eines missliebigen Wettbewerbers, auf illegalem Weg seinen Marktanteil zu erhöhen. Ist der Schaden von Sabotage bei Arbeitsplatzrechnern noch überschaubar, kann es im Produktionsumfeld – insbesondere, wenn sich die Schadsoftware verteilt – zu existenzbedrohenden Konsequenzen kommen. Doch nicht nur der Herstellungsprozess als solcher ist gefährdet, auch die Lieferketten in der Just-in-Time-Fertigung können durch böswillige externe Einflüsse schwerwiegend geschädigt werden.

Weil sich die Bedrohungssituation ständig ändert, wandeln sich auch die Sicherheitsanforderungen kontinuierlich. Und da sich die bislang linearen Wertschöpfungsketten in dynamische Wertschöpfungsnetzwerke verwandeln, die einen automatisierten Austausch von sensiblen Informationen voraussetzen, ergeben sich wesentlich mehr Angriffspunkte, als dies noch vor einigen Jahren der Fall war.

IoT als Basis für die Fertigung

Die Automatisierung des Herstellungsprozesses beruht hauptsächlich auf dem Industrial Internet of Things (IIoT). Darüber werden Produktionsanlagen, Sensoren sowie smarte Werkzeuge miteinander vernetzt und ihre Arbeitsweise aufeinander abgestimmt. Deshalb besteht der erste Schritt darin, die Sicherheitsmaßnahmen schon in das Design der Systeme zu integrieren. Eine sichere und nicht kompromittierbare Datenverbindung zwischen allen Komponenten ist dabei ausschlaggebend. Die Sicherung von IoT-Komponenten folgt in aller Regel der Herangehensweise in der klassischen IT. Zuerst sollte eine starke gegenseitige Authentifizierung externe Zugriffsmöglichkeiten begrenzen beziehungsweise sicherstellen, dass nur berechtigte Geräte eine Verbindung aufbauen können. Dort kommen zunächst Firewalls zum Einsatz, die allerdings den Nachteil besitzen, dass nur die unbefugten Zugriffe abgewehrt werden, deren Muster bereits bekannt sind. Eine Firewall arbeitet nach bestimmten, vorher definierten Regeln. Daneben ist die Verwendung sicherer und komplexer Kennwörter Pflicht. Sicherheitskritische Produktionsanlagen sollten allerdings umfassender geschützt werden, beispielsweise indem Virtual Private Networks (VPN) genutzt werden.

Richtige Absicherung ist wichtig

Dazu bieten spezialisierte Hersteller eigens Fernzugriffs- und Kontrollwerkzeuge an. Diese setzen auf die bestehende Daten­netzinfrastruktur auf und werden mit derselben Netzkonfiguration beziehungsweise deren Automatisierung bereitgestellt. Diese Lösungen haben außerdem den Vorteil, bereits bestehende Anlagen verlässlich schützen zu können, denn oft verfügen vor allem ältere Maschinen nicht über entsprechende Mechanismen, mit denen sie sich gegen externe Angriffe wappnen können. Fernzugriffs- und Kontrollwerkzeuge fördern auch das Zusammenwachsen von IT und OT. In vielen Fällen sind IT und OT getrennt voneinander, um die Fertigungsmaschinen bei Befall der IT durch Schadcode zu schützen. Dies hat allerdings zur Folge, dass viele der benötigten Steuerungsfunktionen nur in der OT selbst bereitstehen. Mit einer effektiven Sicherung können Administratoren beide Bereiche vereinigen, weil sie gleichermaßen geschützt sind.

2-Wege-Verbindung in der Praxis

Die Implementierung eines solchen Schutzsystems kann man gut am Beispiel der Arctic Drilling Company (ADC) sehen. Das finnische Unternehmen führt Bohrungen in extremen Umgebungen durch und ist weltweit an verschiedenen Standorten tätig– darunter Skandinavien und Chile. Dabei spezialisiert sich ADC auf Explorationsbohrungen, die Entwicklung und Herstellung von Bohranlagen sowie direktionales Bohren. Die beweglichen Bohranlagen werden dabei monatelang an einem Standort eingesetzt, bevor sie an eine andere Stelle gebracht werden. Hierzu ist es auch für den laufenden Betrieb wichtig, über eine sichere Datenverbindung eine Fernwartung durchzuführen. Für die Entwicklung weiterer Maschinen ist es dem Unternehmen ferner von Bedeutung, Erfahrungen aus dem Einsatz bestehender Anlagen zu sammeln. Deswegen suchte ADC nach einer sicheren 2-Wege-Verbindung für die Datenerhebung. Diese Informationen sollten dann durch ein externes Partnerunternehmen ausgewertet werden. Aus diesem Grund war eine einfache Zugriffsverwaltung von hohem Interesse.

Ein finnisches Unternehmen nutzt zur sicheren Datenübertragung seiner mobilen Maschinen zum Rechenzentrum Virtual-Private-Networks-Lösungen.
Ein finnisches Unternehmen nutzt zur sicheren Datenübertragung seiner mobilen Maschinen zum Rechenzentrum Virtual-Private-Networks-Lösungen.
(Bild: Tosibox)

Realisiert wurde dieses Unterfangen mit einer Lösung von Tosibox. Die Maschinen wurden unter Zuhilfenahme des Tosibox Lock 500 mit dem Rechenzentrum von ADC verbunden. Dabei handelt es sich um eine Anwendung, die für den Einsatz in Industrieumgebungen konzipiert wurde und mit ihrem integrierten Modem keine zusätzlichen Komponenten benötigt. Das Modem nutzt den Tosibox Virtual Central Lock zur zentralisierten Zugriffsverwaltung. Außer der Maschine ist auch der Server des Partnerunternehmens, das die Datenanalyse vornimmt, mit dem Virtual Central Lock verbunden. Am Einsatzort stellt das Tosibox Lock 500 die Verbindung über ein Mobildatennetz her und wählt über eine der zwei möglichen SIM-Karten automatisch das bessere Netz aus. Für die Zukunft ist eine Fernsteuerung der Maschinen geplant.

Schnell implementiert

Die Einrichtung eines Fernzugriffs- und Kontrollwerkzeugs ist üblicherweise in rund fünf Minuten erledigt. Weil diese Lösungen bereits fertig konfiguriert sind, reicht in aller Regel die Eingabe von Nutzerdaten und einigen Informationen über die Netzkonfiguration. Die Herstellung der Verbindung kann dabei über verschiedene Wege bewerkstelligt werden. Zudem sollte darauf geachtet werden, dass die Fernzugriffs- und Kontrolllösung kompatibel mit allen Marken und Anbietern ist, sodass das anwendende Unternehmen auch zukünftig frei in seiner Entscheidungsfindung die optimal passenden Maschinen anschaffen kann.

Wert sollte außerdem auf Flexibilität gelegt werden. Üblicherweise ist die Lösung skalierbar, sodass ihre Einführung organisch und Schritt für Schritt erfolgen kann. Dies erspart es Administratoren, eine hohe Anzahl von Arbeitsstunden in der initialen Phase des Implementierungsprojekts einplanen zu müssen, und ermöglicht einen Test in einem begrenzten Umfang.

Da der Einsatz von Maschinen, besonders im Fertigungsprozess, für ein Unternehmen eine kritische Bedeutung hat, ist auf einen streng abgesicherten Datenaustausch zu achten. Die Absicherung ist bei der Wahl der richtigen Lösung mit wenig Aufwand verbunden, besonders wenn man sich für eine entscheidet, deren Einrichtung innerhalb von 5 min erledigt ist. Doch gibt es einen weiteren Faktor, der ein Mehr an Sicherheit bietet: Je einfacher Prozesse gestaltet werden, umso sicherer sind sie, weil dabei menschliche Fehler weitgehend ausgeschlossen werden. Von Vorteil für IT- und OT-Experten ist außerdem, dass sie ihre Zeit lohnenderen Aufgaben widmen können.

* Jarno Limnéll ist CEO der Tosibox Oy in 90590 Oulu (Finnland). Weitere Informationen: Tosibox GmbH in 62110 Rodgau,

(ID:46013606)