|
Datenschutz Vernetzte Produktion ist ein lohnendes Ziel für "versierte" Industrie-Hacker
Vernetzung von Fertigungssystemen wird immer mehr Stand der Technik - die Datenströme reichen mittlerweile weit über die Unternehmensgrenzen hinaus. Doch je größer der Datentausch, um so höher ist die Anfälligkeit gegen Angriffe durch Malware wie Viren, Würmer und Trojaner. Dieser Themenschwerpunkt wird auf dem Begleitkongress zur SPS/IPC/Drives vom 24. bis zum 26. November für Diskussionsstoff sorgen. VDI nachrichten, Düsseldorf, 20. 11. 09, kip
Ein weiteres Beispiel für die Gefährdung von Industrienetzen ist der seit Oktober 2008 grassierende "Conficker-Wurm", der seit Frühjahr 2009 auch industrielle Anlagen befällt und zum Stillstand gebracht hat. "In der zweiten Aktivitätswelle dieses Wurms am 1. April 2009 war ich gerade dabei, ein Seminar zum Thema Industrial Ethernet-Security abzuhalten, als etliche Teilnehmer dringende Anrufe aus ihren Unternehmen erhielten: Die Schadsoftware hatte gerade zugeschlagen", berichtete Torsten Rössel, Leiter Geschäftsentwicklung bei Innominate.
Aber auch bei vermeintlich gesicherten Systemen sieht es nicht viel besser aus: In ein Scada-System einzudringen, das auf Basis von Windows läuft, dauert nach Meinung von Branchenexperten für "Kenner" kaum länger als 2 min. "Nach Schätzungen entstehen Unternehmen, die von einer Virusattacke betroffen sind, im Schnitt leicht Kosten von 300 000 $", ergänzte der Branchenexperte, der auch eine interessante Argumentationsliste für scheinbaren Schutz bereithält: "Unsere Produktionsanlagen sind vollständig von der Außenwelt isoliert, unser System ist sicher, weil es für Außenseiter unmöglich zu durchschauen ist, das Unternehmen ist ja nicht interessant für Hacker."
Dies alles vernebele aber nur den Blick auf eine Lösung: Zwar sei die absolute Zahl bekannt werdender Angriffe nicht sonderlich hoch, doch die Dunkelziffer sei immens, weil 80 % der Betroffenen von den Angriffen gar nichts bemerkten. Nicht zuletzt deswegen sei der Bereich Sicherheit beim Industrial Networking ein Wachstumsmarkt, denn gängiges Office-Equipment tauge hier nicht, so Rössel.
"Die Router fungieren sozusagen als Sicherheitstor gegen unerlaubte Zugriffe", schilderte Rössel: Eine Schlüsselrolle komme dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Die Firewall sollte grundlegende Schutzmechanismen gegen IP-Spoofing-, SYN-Flooding- und Denial-of- Service (DoS)-Angriffe aufweisen, riet Rössel. Eine zentralisierte Absicherung vieler Zellen oder Einzelsysteme würde eine sternförmige Verkabelung voraussetzen, die aber kostenintensiv ist.
Deshalb setzt Innominate eher auf eine dezentrale Architektur mit verteiltem Schutz durch kleine Security-Appliances. In Nürnberg präsentiert das Berliner Unternehmen solche Produkte auf Basis der aktuellen mGuard Firmware 7.0 mit Router-, Firewall- und VPN-Technologie für sichere industrielle Netzwerke und Teleserviceverbindungen. Das VPN Gateway "MGuard Centerport" erlaubt dabei die VPN-Anbindung einer beliebigen Anzahl von Systemen in VPN-Tunnel-Gruppen mit bis zu 1000 gleichzeitig aktiven Tunneln. Zur Authentisierung der VPN-Partner sollten bevorzugt digitale Zertifikate anstelle von "Preshared Keys" verwendet werden, empfahl Rössel.
MGuard-Kunden, etwa aus der Automobilindustrie, hätten mit diesem Schutzkonzept bereits gute Erfahrungen gemacht und auch viele der älteren, noch produktionsnah eingesetzten Windows 95-, Windows 98- und Windows-NT-Systeme würden auf diese Weise geschützt und sicher in Betrieb gehalten: "Auch wenn die Maschinen und Anlagen, die damit ausgerüstet sind, noch 15 oder mehr Jahre in Betrieb bleiben und Microsoft die Updates längst einstellt hat." E. LANGE/KIP
Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Bitte loggen Sie sich ein, um den ersten Beitrag zu verfassen.