IRMAIndustrial Automations »Hausmittel« gegen Cyberattacken in der Produktion

Es passiert laufend etwas, aber publik wird’s fast nie: Was hinter verschlossenen Toren so alles schief läuft in fertigenden Betrieben. In einer kanadischen Keksfabrik brachte im Vorjahr beispielsweise ein »ganz normaler« Trojaner wichtige SPSen zu Fall. Die Folge: Durch trockenen Teig verursachte Verstopfungen, die so hartnäckig waren, dass die Transportrohre herausgeschnitten werden mussten. Damit so etwas nicht passiert empfiehlt Industrial Automation-Geschäftsführer Klaus Lussnig IRMA zur Angriffserkennung und für eine sorgfältige Netzpflege.

Das Timing könnte kaum besser sein: IRMA taucht jetzt auf, jetzt, wo sich auch die EU vermehrt des Themas Cybersicherheit annimmt. Denn die Zahl der Bedrohungen steigt. Stuxnet beispielsweise hatte es ganz gezielt auf ein SCADA-System abgesehen. Irgendwelche Tabus gibt es nicht für Hacker. Ganz im Gegenteil, sie nützen jede noch so kleine Sicherheitslücke gnadenlos aus und erweisen sich äußerst erfinderisch bei der Suche nach Hintertüren, mit denen sie früher oder später einen Frontalangriff starten können. Dem versucht die EU künftig u. a. mit der sogenannten NIS-Richtlinie (Network and Information Security) entgegenzuwirken. Ziel der NIS-RL ist es, EU-weit eine hohe Sicherheit der Netzwerk- und Informationssysteme zu erreichen. In Deutschland ist bereits ein IT-Sicherheitsgesetz in Kraft. Wann genau die anderen Mitgliedsstaaten die Mindestvorgaben der EU in Sachen Cybersecurity in nationales Recht umsetzen, ist derzeit schwer zu prognostizieren. Aber es brodelt gewaltig in den dafür verantwortlichen Kreisen. Denn gerade in Zeiten einer Industrie 4.0 oder eines Internet of Things, wo alles mit jedem kommuniziert und wo die Vernetzungstendenzen zwischen Automatisierungswelt und IT permanent steigen, heißt es entsprechende Schutzbarrieren vorsehen – und zwar wirksame. „Weil eine Firewall ist genau so sicher, wie sie konfiguriert wurde und Viren-Scanner fangen ohnehin »lediglich« 50 Prozent aller Bedrohungen ab, da sie den Rest noch gar nicht kennen“, gibt Industrial Automation-Geschäftsführer Klaus Lussnig zu bedenken. Weitere beliebte User-Gewohnheiten, die potenziellen Angreifern teilweise Tür und Tor öffnen: Viren-verseuchte USB-Sticks oder Geräte, die unkontrolliert und ohne darüber nachzudenken ins Firmennetz gehängt werden, Standard-Passwörter und Usernamen wie z. B. admin/admin usw.

klaus lussing 7IRMA hört mit, fragt aber nicht herum

Im Falle der eingangs erwähnten kanadischen Keksfabrik wurden die SPSen letztendlich von einer durch den Trojaner verursachten allzu hektischen Betriebsamkeit im Netz zu Fall gebracht. „Denn Steuerungen reagieren teilweise sehr sensibel darauf, wenn sie mit aktiven Anfragen »zugespammt« werden“, verrät Klaus Lussnig. Das ist mit ein Grund, warum IRMA (Industrie Risiko Management Automatisierung) auf eine ausgefeilte Passiv-Variante bei der Abwehr von Cyberangriffen auf Produktionsbetriebe setzt. Kurz gesagt: Sie bemüht sich auf eher zurückhaltend Art und Weise darum, dass sie alles hört und sieht, was um sie herum im Netz passiert. „Das Einzige, was die IT-Abteilung vor dem Einsatz von IRMA in die Wege leiten muss, ist, auf einem Switch einen Mirror-Port freizuschalten. Über diesen bekommt IRMA dann die komplette Telegrammvielfalt auf dem Bus mit“, erklärt Klaus Lussnig. Bevor IRMA aber etwaige Cyberattacken mittels Anomalieerkennung oder mittels »Fingerprint-Vergleich« mit dem normalen Kommunikationsverhalten einer Anlage in diversen Betriebszuständen erkennen und demnach auch melden kann, braucht es erst einmal einen detaillierten Umgebungs-Check. „Das bedeutet: IRMA scannt passiv, welche Geräte sich überhaupt im Netz befinden. Denn ich kann nur das schützen, was ich kenne. Und mittlerweile gibt es in den meisten Unternehmen eine sehr hohe »Dunkelziffer« bei den Ethernet-basierten Komponenten, die tatsächlich angeschlossen sind ans Firmennetzwerk, zumal es oftmals auch an einer entsprechenden Dokumentation scheitert“, weiß Klaus Lussnig aus Erfahrung. Sobald IRMA über die aktuellen Teilnehmer im Gesamtsystem und deren genauen Verbindungen zueinander im Bilde ist, geht sie zu ihrem eigentlichen Tagesgeschäft – der kontinuierlichen Anlagen-Validierung – über. Entsprechend parametriert schreit IRMA dann beispielsweise sofort auf, wenn plötzlich neue Netzwerkteilnehmer auftauchen, wenn das Datenaufkommen zwischen zwei PCs die gewohnten Dimensionen sprengt, wenn Leitrechner klammheimlich mit externen Domains Kontakt aufnehmen oder wenn bestimmte Server oder IT-Drucker auf einmal bei Dingen mitreden, die sie eigentlich nichts angehen. „Ein Kunde wurde dank IRMA beispielsweise darauf hingewiesen, dass fünf Rechner das gesamte Netzwerk vollkommen unnötig mit Management-Protokollen zugemüllt hatten, was sich in einigen seltsamen Auswirkungen widerspiegelte“, verrät Klaus Lussnig, der sich schon sehr darauf freut, IRMA – diese im Endeffekt kleine Box mit gehärtetem Linux drauf, den SMART-Besuchern vorstellen zu dürfen. Denn das Beruhigende an diesem vor Cyberangriffen schützenden Produkt: Die Inbetriebnahme-Anleitung findet auf einer A4-Seite Platz und ist laut Klaus Lussnig auch von »Normalos« problemlos zu meistern.

www.industrial-automation.at

Tipp: Weitere Infos zu IRMA gibt’s auf der SMART-Bühne

Wann? 11. Mai 2016, 10:00 bis 11:00 Uhr
Wo? SMART-Bühne in Halle A
Was? IT-Sicherheit in Produktionssystemen, Ganzheitlicher Schutz vor Cyberangriffen in Produktionsanlagen
Wer? Jens Bußjäger, Geschäftsführer von ACHT:WERK