(openPR) Durch die zunehmende Ethernet-Vernetzung und die Nutzung von konventionellen IT-Technologien in den Automatisierungs- und Steuerungsumgebungen produzierender Unternehmen sind diese Systeme vermehrt durch IT-Sicherheitsbedrohungen gefährdet.
Aschheim, 29. Oktober 2008 - Die moderne IT-Technologie ist heute auch aus den klassischen Produktionsbereichen vieler Industrieunternehmen nicht mehr wegzudenken. In der Automatisierungs- und Prozessleittechnik, die hier die zentralen Produktions- und Versorgungsprozesse steuert und kontrolliert, werden immer häufiger Systeme und Technologien aus dem klassischen IT-Umfeld eingesetzt: Automatisierungskomponenten wie SPSen (Speicherprogrammierbare Steuerungen) kommunizieren über TCP/IP und Industrial Ethernet, Prozessleitsysteme laufen auf Windows- oder Unix-Systemen, Maschinen beziehen ihre Produktionsaufträge aus SQL-Datenbanken oder direkt aus SAP. Neben den erwünschten positiven Effekten, wie Kostenreduktion und erhöhte Produktivität führt diese Entwicklung allerdings auch dazu, dass sensible Produktionsprozesse nun in zunehmendem Maße direkt von IT-Sicherheitsbedrohungen betroffen sind, die man bisher auf das Gebiet der klassischen „Office-IT“ beschränkt glaubte – wie beispielsweise Schadsoftwarebefall, Datenverlust oder gar Zugriffe durch Unbefugte. Die Schäden, die hier durch IT-Sicherheitsvorfälle verursacht werden, können leicht weitreichende Ausmaße annehmen, wenn z.B. als Folge eines Virenbefalls die Produktion für mehrere Stunden oder Tage stillsteht. Je nach Art der gesteuerten Prozesse kann es unter Umständen sogar zu Gefährdungen der Umwelt oder zu Personenschäden kommen.
Besonders problematisch ist, dass sich viele bewährte Standard-Sicherheitsmaßnahmen aus der Büro-IT häufig im Prozess- oder Produktionsbereich nicht anwenden lassen. Antivirus-Software oder aktuelle Sicherheitspatches können nicht installiert werden, weil Hersteller dann die Lauffähigkeit ihrer Systeme nicht mehr garantieren oder weil sehr aufwändige Tests und Revalidierungen nötig wären. Meistens ist auch eine kurzzeitige Außerbetriebnahme von Komponenten zum Einspielen und Testen eines Sicherheitsupdates nicht möglich, da der Produktionsprozess rund um die Uhr aufrecht erhalten werden muss.
Häufig scheitern Sicherheitsmaßnahmen auch schlicht daran, dass – bedingt durch die im Vergleich zur Standard-IT sehr langen Systemlebenszeiten – oft noch veraltete Betriebssysteme wie Windows NT oder Solaris 8 genutzt werden, für die vom Hersteller kein Support mehr geleistet wird und für die auch keine Updates mehr zur Verfügung gestellt werden. Ein weiteres Problem ist, dass viele Systeme ursprünglich nicht mit dem Design-Ziel „IT-Sicherheit“ entwickelt und projektiert wurden – so stürzen einzelne Automatisierungskomponenten oder gar ganze Leitsysteme häufig schon bei einfachsten Sicherheitstests, wie sie z.B. ein Port-Scanner durchführt, nach kurzer Zeit ab. Zudem sind die im industriellen Umfeld eingesetzten Kommunikationsprotokolle wie z.B. Modbus-TCP oder die verschiedenen, proprietären SPS-Protokolle nicht gegen unberechtigtes Auslesen von Informationen oder Daten-Manipulationen geschützt.
Konsequenz: mit frei verfügbaren Tools ist es möglich über das Netzwerk Steuerungen zu stoppen, laufende Programme zu manipulieren, Merker zu löschen oder SPS-Ausgänge anzusteuern. Erschwerend kommt hinzu, dass durch den stark wachsenden Bedarf nach Datenintegration und zeitnahem Datenzugriff immer mehr Schnittstellen zwischen den produktionsnahen Systemen und der klassischen Büro-Welt geschaffen werden – sowohl innerhalb des Unternehmens aber auch zu externen Partnern wie Zulieferern oder Kunden. Auch durch Fernwartung von Systemherstellern und Lieferanten über Modem oder VPN-Verbindungen wird die Abschirmung kritischer Produktionsnetze gegenüber externen Systemen immer weiter aufgeweicht.
Die hier nur kurz beschriebene, vielschichtige Problematik macht deutlich, dass zur Sicherung produktionsnaher Systeme gegen IT-Security-Bedrohungen durchdachte und individuelle Schutzkonzepte nötig sind. .
Weitere Informationen unter:
www.all-about-security.de
