:quality(80)/images.vogel.de/vogelonline/bdb/1938400/1938485/original.jpg "Die TruArc Weld 1000 ist mit zwei Stationen ausgestattet. Die Trennwand lässt sich herunterfahren, sodass die Maschine entweder ein großes oder mehrere kleine Teile hauptzeitparallel bearbeiten kann. (Trumpf)")
:quality(80)/p7i.vogel.de/wcms/2c/1b/2c1ba1f6bfc3c4e696dc1917fbcb522d/0103072599.jpeg "Bewerbungen für den Best of Industry Award 2022 sind am 1. März gestartet. (Bild: VCG)")
:quality(80)/images.vogel.de/vogelonline/bdb/1903500/1903520/original.jpg "(VCG)")
:quality(80)/images.vogel.de/vogelonline/bdb/1887800/1887812/original.jpg "61 Unternehmen kämpfen in 7 Kategorien um den Best of Industry Award. (VCG)")
:quality(80)/p7i.vogel.de/wcms/77/5e/775e9e90ee52b0f100388bf2b13adb27/0110294520.jpeg "Martin hat mit dem Bereich der schälbaren Passscheiben, dem sogenannten Laminum, ein Alleinstellungsmerkmal. (Bild: Martin)")
:quality(80)/p7i.vogel.de/wcms/8a/9e/8a9e177eb8c5f0376a844bac09d53aa4/0110650052.jpeg "Mit der Automatisierungs-Potenzialanalyse (APA) des Fraunhofer IPA kann jetzt auch systematisch vor Ort ermittelt werden, ob sich der Robotereinsatz für das Schweißen lohnt, oder eben nicht. (Bild: Rainer Bez - Fraunhofer IPA)")
:quality(80)/p7i.vogel.de/wcms/45/44/4544cd5c54f54d315edea44dda1131d0/0110642361.jpeg "Die neue Verdüsungsanlage zur Herstellung von besonderen Metallpulvern soll bei Outokumpu in Krefeld schon im April 2023 in Betrieb gehen. (Bild: Outokumpu )")
:quality(80)/p7i.vogel.de/wcms/15/01/15010943250f50769f62c2d345b1fb2e/0110626599.jpeg "So sieht eine Führungsschiene für eine Stihl-Motorsäge aus – landläufig auch als „Schwert“ bezeichnet. Sie besteht aus zwei äußeren Blechteilen und einem kleineren dazwischen, wobei die Nut für die Sägekettenführung gebildet wird. Das Buckelschweiß-Know-how von Nimak sorgt dabei für prozesssichere und wirtschaftliche Ergebnisse. (Bild: Nimak)")
:quality(80)/p7i.vogel.de/wcms/82/13/821329d6cb95f61a2d292b9557a1c994/0110646918.jpeg "Derzeit wird in Saarlouis noch der Ford Focus gebaut. Damit ist 2025 Schluss. (Bild: Ford)")
:quality(80)/p7i.vogel.de/wcms/43/e3/43e3b3eeeabca268ac3095918de14ae4/0110646020.jpeg "(Bild: Dzmitry - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/69/0a696b43bdf020f7085bc83e34700d7c/0107479305.jpeg "In unserem China Market Insider versorgen wir sie regelmäßig mit relevanten Informationen direkt aus China. (Bild: © Eisenhans - stock.adobe.com)")
China Market Insider :quality(80)/p7i.vogel.de/wcms/a4/74/a4742be398d1e302a2ec29bea55b9bf9/0110624713.jpeg "Die sensorintegrierten Befestigungsprodukte Sensor Anchor und Sensor Disc sollen zeit-und ressourcensparend Auskunft darüber geben, welche anliegenden Kräfte aktuell in Befestigungen vorherrschen. (Bild: Fischerwerke GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/3d/94/3d94ad3f9014c9e4e0052297f6918695/0110613744.jpeg "Mit der gigantischen Spritzgießmaschine MX 4000-75000 von Krauss-Maffei fertigt die Georg Utz AG Paletten, Boxen und Paloxen mit einem Schussgewicht von maximal 50 Kilogramm. Etagen- und Mehrkavitäten-Werkzeuge spielen dabei auch eine Hauptrolle. (Bild: Krauss-Maffei)")
:quality(80)/p7i.vogel.de/wcms/bc/d3/bcd306a23b26139a40ff9d39e5c6ad59/0110678044.jpeg "Kryptoforscher Stefan-Lukas Gazdag von der Genua GmbH zeigt einen Demonstrator für quantenresistente virtuelle private Netzwerke (VPN) in Garching bei München. Seine Forschungen sollen das Internet gegen Cyberangriffe per Quantencomputer absichern. (Bild: Genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/4f/50/4f504e921eff560ee6d2c52c402b4617/0110620900.jpeg "Atlas Copco Tools präsentiert auf der Schraubtec 2023 sein Eco-System für die Schraubmontage. Die Vorzüge einer intelligent vernetzten Montage werden transparent in einzelnen Produktionsschritten am Beispiel eines Mähroboters von Stihl demonstriert. (Bild: Atlas Copco Group Central Europe GmbH)")
:quality(80)/p7i.vogel.de/wcms/ba/c8/bac897d234abb7889160ee8d5b0616c0/0110589452.jpeg "Ob Bergbau, Stahlerzeugung oder Papierherstellung: in bestimmten Industrien müssen Wälzlager widrigen Umgebungsbedingungen standhalten. (Bild: Pixabay / Anatoliy Stafichuk)")
:quality(80)/p7i.vogel.de/wcms/30/a1/30a1859809d61bcbe763679aa1eab931/0109976366.jpeg "Im Cideon Upspace in Düsseldorf erhalten Besucher Antworten auf konkrete Fragen im Hinblick auf die Digitalisierung und Prozessoptimierung in ihrem Unternehmen. (Bild: Stefanie Michel)")
:quality(80)/p7i.vogel.de/wcms/ee/89/ee89cb47fca2faa51e605d7d04cb8553/0110552326.jpeg "Liebherr-Components setzt in der Fertigungslinie zur Herstellung von großen Dieselmotoren Schutz- und Trennwände auf der Basis von Aluminiumprofilen und weiteren Komponenten von Item ein. (Bild: Liebherr)")
:quality(80)/p7i.vogel.de/wcms/48/5c/485cf545f728e4b0164b832dae7f63ec/0109052935.jpeg "Beachtet man ein paar einfache Regeln, tritt man in Videokonferenzen noch professioneller auf. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/c0/afc0c6eb0281c9303ab48a6dedd68fb4/0109294939.jpeg "Das ist das Coronavirus. Wer hätte gedacht, dass dieser lästige Winzling durch seine Auswirkungen das Innovationsgeschehen in Deutschland angekrubelt hat. Das jedenfalls offenbart eine entsprechende Studie des Instituts für Mittelstandsforschung. (Bild: T. Schorner)")
:quality(80)/p7i.vogel.de/wcms/39/80/398045b040e6d5800219c44c6b852968/0105054596.jpeg "Einige Testergebnisse dazu, wie sich die Raumluft durch Filtersysteme dauerhaft verbessert – anders als beim reinen Lüften durch Öffnen der Fenster. Schadstoffe und Keime kommen durch Filter in wesentlich geringerer Konzentration vor. (Bild: Filtration Group Industrial)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962500/1962557/original.jpg "Die Omikron-Variante bremst viele Regionen Chinas wirtschaftlich aus. Das spüren auch die Maschinen- und Anlagenbauer vor Ort immer stärker. Eine Umfrage des VDMA-China malt ein düsteres Bild, das sich auch in einigen Monaten nicht aufhellen dürfte. Hier mehr dazu... (G. Chiung)")
:quality(80)/p7i.vogel.de/wcms/b7/d0/b7d074f1e51cf62475c6b3ae8f958f04/0110320294.jpeg "Sicherheitsschuhhersteller Baak präsentiert für diesen Sommer die Sandale „Sun S1P SRC ESD“ aus der Serie „Street Go&Relax“. (Bild: Baak)")
:quality(80)/p7i.vogel.de/wcms/1d/7b/1d7b671e62b2ae6c73313d69b54b20a5/0110599637.jpeg "Festo und ein Forschungsteam der Universität des Saarlandes haben diesen rüsselartigen Roboterarm entwickelt. Das bionische System hat im Vergleich zu üblichen Roboterarmen viele Vorteile. Im Rahmen der Hannover Messe 2023 wird das System dem Publikum vorgestellt. (Bild: Universität des Saarlandes)")
:quality(80)/p7i.vogel.de/wcms/1a/8e/1a8e60efefd38057b92162bf6b548bce/0110598201.jpeg "Der Cobot Bakisto holt die entsprechend mit Tiefkühl-Backwaren bestückten Backbleche aus der Kühlung und schiebt diese in den Transportwagen, der auf Schienen vor dem vorgeheizten Ofen platziert wird. Dann kann gebacken werden. (Bild: Fanuc Deutschland)")
:quality(80)/p7i.vogel.de/wcms/88/11/8811d291ed356c650b53d196dd45db9c/0110606573.jpeg "Der Großanlagenbau hat im letzten Jahr Verluste hinnehmen müssen, die vor allem durch das abgeebbte Russlandgeschäft verursacht wurden. Nach neuesten Informationen erholt sich die Lage aber wieder, was etwa durch Rekordaufträge aus den USA bedingt ist. (Bild: SMS Group)")
:quality(80)/p7i.vogel.de/wcms/3f/47/3f47ba24eddf001eabcc3917894e83c3/0107479305.jpeg "In unserem China Market Insider versorgen wir sie regelmäßig mit relevanten Informationen direkt aus China. (Bild: © Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/af/2eafcf77bd49f62b0a9a7765117199e3/0110319386.jpeg "Photovoltaik-Anlage der ewz an der Staumauer Valle di Lei im Schweizer Kanton Graubünden. (Bild: Schäfer Werke)")
:quality(80)/p7i.vogel.de/wcms/a5/48/a54885398648f30593eb5e32f0e49c51/0110606820.jpeg "Daimler Truck vergibt einen Millionenauftrag an Manz. (Bild: © Daimler Truck Holding AG)")
:quality(80)/p7i.vogel.de/wcms/f9/f3/f9f35446a5d8d8c4b7842515fafe60c9/0108684938.jpeg "(Bild: robert - stock.adobe.com)")
Anlagensicherheit Log4Shell: Auch für OT-Systeme eine große Gefahr
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/57400/57443/65.jpg "KH MaschinenMarkt-Icon.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/85/5e85fa8f0f18b/smc-pantone-285.jpg "SMC_pantone_285.jpg (SMC Deutschland)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/131200/131280/65.jpg "wartungsplaner-maschinenmarkt-logo.jpg ()")
Eine Sicherheitslücke in der Java-Logging-Bibliothek Log4j beschäftigt seit Wochen IT-Experten in aller Welt. Die operative Technologie ist für Angriffe ebenso empfindlich. Unternehmen müssen deshalb stärker in die Sicherheit ihrer Anlagen investieren.
Die Abkürzung Log4j steht für Logging for Java. Hierbei handelt es sich um eine Open-Source-Bibliothek von Java, die kostenlos genutzt werden kann und inzwischen in unzähligen Produkten weltweit eingesetzt wird, beispielsweise im Apache Webserver. Log4j dient dem Sichern und Wegschreiben von Logfiles, die Programme ausgeben können. Die Ende vergangenen Jahres öffentlich gewordene Lücke kann genutzt werden. Mit einem simplen Zeichensatz können Informationen von weiteren verbundenen Servern abgefragt und Kommandozeilenfenster erzeugt werden. Diese Kommandozeilenfenster werden Shells genannt. Daraus leitet sich der Name der Sicherheitslücke ab, die seit Mitte Dezember die IT-Welt in Atem hält: Log4Shell.
Viele Hersteller sind betroffen
Mit einer Shell haben Angreifer alle Möglichkeiten, Systeme zu infiltrieren, Hintertüren und Remotezugänge einzubauen und Daten zu manipulieren. Viele OT-Systeme haben solche Komponenten ebenfalls verbaut und sind damit anfällig für Angriffe von innen und außen, darunter auch viele IoT-Geräte, die in der Industrie 4.0 eingesetzt werden. Da Systeme für operative Technologien (kurz: OT) standardmäßig noch keine Netzwerküberwachung wie Intrusion Detection Systeme haben und die Patchzyklen erst deutlich nach der Veröffentlichung freigegeben werden, stellen Log4Shell und andere Sicherheitslücken eine sehr große Gefahr dar. Dazu kommt, dass bis heute niemand genau sagen kann, wie lange es Log4Shell bereits gibt und vor allem wie lange die Lücke schon ausgenutzt wird. Die Liste der Unternehmen, die betroffen sind beziehungsweise waren ist inzwischen lang.
Dabei sind zwei Arten von Worst-Case-Szenario üblich: Ein Angreifer greift auf die OT-Systeme zu und manipuliert Werte, fährt die Umgebung herunter oder zerstört sie ganz. Oder aber er lässt über Wochen und Monate unbemerkt Daten abfließen und bietet sie zum Weiterverkauf an. Letzteres fällt in den Bereich der Industriespionage. Ersteres war früher die verbreitetere Variante, da bis vor wenigen Jahren praktisch keine speziellen Programme für OT-Systeme existierten, die für diesen Fall kontrollieren, welche Daten manipuliert wurden. IT-Programme mussten umständlich und aufwendig konfiguriert werden. Heute entscheiden sich Angreifer jedoch häufig dafür, Daten abfließen zu lassen und zu verkaufen.
Die erste große Herausforderung liegt bereits darin, herauszufinden, welche Systeme überhaupt betroffen sind. Bei vielen OT-Betreibern scheitert es hier schon am Asset Management: Die allerwenigsten OT-Betreiber haben genau auf dem Schirm, wie viele Systeme es im Netzwerk gibt und welche davon die Log4j-Bibliothek nutzen und somit anfällig sind. Viele OT-Anlagen sind historisch und komplex gewachsen und selten nachdokumentiert. Die verantwortlichen Techniker müssen daher zunächst einmal die betroffenen Systeme identifizieren.
:quality(80)/p7i.vogel.de/wcms/3c/37/3c3709fabfeec7d291d2f349a4a55f71/0101015317.jpeg "Unternehmen sollten so schnell wie möglich ihre Software aktualisieren, um die Sicherheitslücke zu schließen. In manchen Fällen dürften weitere Maßnahmen nötig sein. (Bild: gemeinfrei)")
Cybersicherheit
Log4Shell: Welche Angriffe nun drohen und wie Unternehmen sich wehren können
Patches teils erst Wochen später freigegeben
Daraufhin erfolgt das Updaten mit den Patches der Hersteller. Hier ergibt sich ein weiteres Problem: Die Hersteller geben diese Patches im besten Fall erst Tage oder Wochen nach Erscheinen frei. Wenn der Anlagenbetreiber oder der OT-Verantwortliche vorher ohne Freigabe des Herstellers patchen möchte, verliert er im Falle eines Fehlers oftmals den Anspruch auf technische Unterstützung. Niemand kann also die Verantwortung für einen Ausfall auf sich nehmen, weil er nicht freigegebene Software in einem OT-System installiert hat. Somit bleiben diese Systeme oft wochenlang ungepatcht und weiterhin angreifbar. Ein Teufelskreis. In diesem Fall helfen ausgeklügelte Update- und Patchzyklen, bei denen zum Beispiel nur ein Teil der Systeme Updates bekommt. Der Rest der Maschinen folgt dann ein paar Tage nach fehlerfreiem Betrieb.
Das Scannen auf Schwachstellen erfolgt mit speziellen Programmen wie Tenable.ot. Ein normaler Schwachstellenscan kann nicht direkt auf den Prozessoren geschehen, da diese sonst ausfallen würden und den Betrieb erheblich stören oder gar komplett unterbrechen. Ein Scanner wie Tenable.ot versteht das Protokoll und spricht die Sprache der Controller. Er kann so den Zustand dieser Controller ganz speziell und vorsichtig abfragen. Dabei erkennt er Modifikationen, zum Beispiel über etwaige ungewollte Veränderungen wie das Anpassen von Grenzwerten am Wochenende oder ein ungeplantes Hochfahren der Turbinenlast.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/1e/611e44658013f/insys-titelbild-wp.png "Insys Titelbild WP")
Spezialisierte Angriffe auf OT-Anlagen zu erwarten
Zukünftig kann davon ausgegangen werden, dass Sicherheitslücken noch gnadenloser ausgenutzt werden. Auch Angriffe mit Ransomware dürften zudem immer spezieller auf OT-Systeme ausgerichtet werden, da die Angreifer deutlich mehr finanziellen Druck auf industrielle Anlagen ausüben können und die Systeme beim Patchen erfahrungsgemäß hinterherhängen werden.
Die Hersteller werden darauf reagieren müssen oder sie tun es bereits. So liefert Siemens von vornherein eine Verschlüsselung zum Controller aus. Das erschwert die direkte Kommunikation und das unautorisierte Verändern von Prozesswerten deutlich. Firmen wie Microsoft optimieren ihre Firewall-Lösungen, sodass zum Beispiel keinen Netzwerken mehr vertraut wird. Jedes Gerät wird für sich isoliert und behandelt jedes andere Gerät als Bedrohung. Es werden zum Beispiel nur Firewall-Ports geöffnet, wenn eine Anwendung diese braucht, und danach wieder geschlossen. So kann ein Gerät, falls es infiziert ist, nur sehr schwer weitere Geräte infizieren. Auch andere Hersteller gehen diesen Weg und etablieren ein Zero-Trust-Modell. Sicherheitszonen beziehen sich nicht mehr auf Standorte, sondern auf einzelne, kleinere Bereiche oder einzelne Geräte. In der IT werden diese Konzepte sehr zügig und bald umgesetzt, in der OT wird es Jahre dauern. Dadurch sind diese Systeme noch lange verwundbar, auch wenn es schon Lösungen gibt.
Auf den Worst Case vorbereitet sein
Desaster-Szenarien sollten getestet und geübt werden. Bei Bekanntwerden einer Schwachstelle können zum Beispiel Firewall-Verbindungen zwischen IT und OT gekappt werden, um einen Angriff zu unterbinden, um eine Ausbreitung zu stoppen oder schon vorhandene Verbindungen zu schließen, bis weitere Ressourcen organisiert werden können. Das alles gehört zu den bereits lange bekannten Anforderungen an die IT-Sicherheit und wird speziell in Bereichen wie Business Continuity Management (kurz: BCM) und Incident Management beschrieben. Es mangelt nur an der Umsetzung.
Deshalb versucht zum Beispiel das IT-Sicherheitsgesetz 2.0 auch von Gesetzes Seite her Druck zu machen. Weitere Normen wie die ISO 27001, und darin insbesondere KRITIS für kritische Infrastrukturen, oder die IEC 62443 für industrielle Sicherheit fordern schon lange einen besonderen Schutz für produzierende Unternehmen. Speziell ausgebildete und zertifizierte Experten können bei der Umsetzung dieser Vorgaben unterstützen. OT-Systeme dürfen auch nicht davon ausgehen, dass eine Selbstanzeige beim BSI oder aber das Hinzuziehen von externer Hilfe etwas Schlimmes ist. Aus Vorfällen können andere lernen und sich besser schützen.
Ein essenzielles Mittel, um OT-Sicherheit zu gewährleisten, sind auch ethische Hacks. IT-Partner scannen dabei die Systeme und decken Lücken auf, bevor es andere tun. Gefundene Schwachstellen werden evaluiert, beurteilt und behoben, idealerweise mit Support des Herstellers, notfalls aber auch ohne. Ethical Hacking sollte deshalb zum Standard werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1914700/1914780/original.jpg "Zahlreiche Anwendungen und Services könnten betroffen sein: am Wochenende wurde eine Sicherheitslücke in der Java-Bibliothek Log4j entdeckt. (gemeinfrei)")
Cybersicherheit
So reagieren AWS, SAP, Siemens und Microsoft auf „Log4Shell"
OT-Sicherheit muss Priorität auf höchster Ebene werden
Unternehmen, die OT betreiben, kommen um Folgendes nicht herum: Dunkle Netzwerkflecken müssen so schnell wie möglich identifiziert werden. Know-how muss aufgebaut und Kompetenzen müssen gebündelt werden. Für schwierige Themen sollten sich OT-Betreiber auf externe Hilfe verlassen. OT-Partner können sich zum Beispiel bei Bekanntwerden einer Schwachstelle proaktiv bei Kunden melden, Lösungen vorschlagen und auch direkt umsetzen. An vielen Stellen vor Ort fehlen das Know-how und die Zeit dafür. Für den Bereich OT-Sicherheit müssen daher endlich Budgets freigegeben werden.
* Patrick Latus arbeitet als OT-Experte bei Mod IT Services GmbH.
(ID:47981246)
:quality(80)/images.vogel.de/vogelonline/bdb/1914700/1914780/original.jpg "Zahlreiche Anwendungen und Services könnten betroffen sein: am Wochenende wurde eine Sicherheitslücke in der Java-Bibliothek Log4j entdeckt. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1943400/1943460/original.jpg "Vor dem Hintergrund des Ukraine-Kriegs teilt Securityexperte Markus Robin im Interview seine Einschätzung zur aktuellen Bedrohungslage der deutschen KRITIS-Landschaft. (gemeinfrei/Foto Wilke )")