Der Gefahr ins Auge sehen

V.l.n.r.: Peter Fröhlich, Steffan Gottwald, Ferdinand Tischler.

„Bei der Digitalisierung und zunehmenden Vernetzung von Maschinen und Industrieanlagen ist es wichtig, ein schlüssiges Gesamtkonzept zu haben, welches Maschinen, Systeme, Prozesse und Personen einbezieht und Schritt für Schritt finanziert und umgesetzt werden kann“, betonte Mag. Stefan Gottwald, Country Manager Austria Routeco GesmbH. „Wenn Sie als Industriebetrieb den Automatisierungsgrad und die Vernetzung erhöhen, steigern Sie Ihre Effizienz und erhöhen Ihre Marktchancen, es vergrößern sich damit aber auch ihre Sicherheitsrisiken.“

V.l.n.r.: Peter Fröhlich, Steffan Gottwald.

Cyberattacken abwehren

Keynote Speaker Professor Dr. Peter Fröhlich, Dekan der Technischen Hochschule Deggendorf, Geschäftsführer der ProtecEM GmbH und Leiter des Instituts ProectIT, beschäftigte sich in seinem Vortrag "Cybersecurity in der Automation – Der Gefahr ins Auge gesehen“ damit, welche konkreten Gefahren, Opfer von gezielten und zufälligen Cyberattacken zu werden und welche Abwehrmaßnahmen bzw. Standards und Herangehensweisen es gibt. Im Interview fasst er seinen Vortrag zusammen:

Betriebsbesichtigung bei ETA Heiztechnik in Hofkirchen - im Rahmen der Routeco Veranstaltung, die in Kooperation mit dem ITC, CTC und MC stattgefunden hat.

Der Grad der Vernetzung von Industrieanlagen und Infrastruktur wird mehr und mehr zunehmen. Welche Voraussetzungen müssen hierfür geschaffen und welche Vorsichtsmaßnahmen getroffen werden?

Fröhlich: Zunächst einmal sind automatisierte Industrieanlagen in aller Regel vernetzt, und das nicht erst seit heute. Neu ist, dass wir die Daten in größere Zusammenhänge stellen, intelligenter auswerten und so zusätzlichen Nutzen daraus ziehen. Die größte Herausforderung sehe ich darin, den Zugriff geeignet zu steuern. In den Rohdaten einer Anlage in Betrieb stecken sowohl schützenswertes Know-how des Maschinenherstellers über die inneren Abläufe der Maschine als auch schützenswerte Informationen des Betreibers über dessen Produktionsprogramm. Beide haben ein legitimes Interesse, mit den Daten ihre eigenen Systeme zu verbessern. Darum müssen die Rohdaten zielgerichtet für beide Adressaten bearbeitet werden, sodass die Geheimnisse des jeweils anderen dabei verschleiert werden. Die Rohdaten bekommt keiner. Solche Lösungen kenne ich bisher noch nicht.

Fernwartung und Cloudanbindung erhöhen IT-Komplexität und damit die Risiken. Welche konkreten Gefahren, Opfer von gezielten und zufälligen Cyberattacken zu werden, ergeben sich?

Fröhlich: Fernwartung wird häufig den Maschinen- und Anlagenlieferanten überlassen. Je nach Netzwerkarchitektur ist aber jeder Fernwartungstunnel auch ein Einfallstor für Trojaner und andere Schädlinge, das vom Betreiber nicht zu kontrollieren ist. Die Betreiber müssen sich mit diesem Thema intensiv auseinandersetzen. Security funktioniert nur gesamtheitlich.

Welche Abwehrmaßnahmen sind möglich und welche Standards und Herangehensweisen setzen sich durch?

Fröhlich: Ganz klar hat sich die IEC 62443 als der Standard für Security in der Automation durchgesetzt. Wir führen eine Cyber-FMEA durch, um das Risiko sinnvoll und wirtschaftlich aus Sicht des Anlagenherstellers zu bewerten. Als Maßnahmen lassen sich konform zur IEC 62443 eine verbesserte Systemarchitektur, gehärtete Komponenten und vor allem eine kontinuierliche Überwachung der Kommunikationsverbindungen ableiten. Das sind alles machbare und bezahlbare Maßnahmen, aber es erfordert ein systematisches Vorgehen.

Kann man digital vernetzt UND sicher unterwegs sein?

Fröhlich: Ich verwende KeePass 2 als Passwortsafe – mein ganz persönlicher Tipp. Das Smartphone nutze ich als einen Faktor für die Authentifizierung beim Online-Banking, aber niemals zur Durchführung der Überweisung selbst, die mache ich auf dem PC. Mein Smartphone bekommt außerdem zwei Jahr lang garantierte Updates. Mein Haus ist vernetzt und nimmt Sprachkommandos einer der bekannten Verdächtigen an, aber nicht das Haustürschloss. Panik ist völlig unangebracht – genauso wenig wie blindes Vertrauen.

Was würden Sie niemals auf ihrem Smartphone installieren – welche App sollte man unbedingt auf seinem Handy installiert haben?

Fröhlich: Niemals: die Hammer-App aus dem c't-Cartoon. Unbedingt: meine Navi-App für ausgedehnte Mountainbike-Touren im Bayerischen Wald.