T. Pilz: „Dank Authentifizierungs- und Berechtigungsmanagement schützt die SecurityBridge effizient vor möglicher Datenmanipulation. Damit erhöht die offene Firewall von Pilz die Verfügbarkeit von Anlagen. Mit ihr lassen sich auch bestehende Fertigungsanlagen gut segmentieren und gegen Cyberangriffe schützen“. (Quelle: VDE VERLAG)
Herr Pilz, Sie haben kürzlich gesagt, dass Sie als Hersteller sicherer Automatisierungslösungen Safety- sowie Industrial Security-Aspekte gleichermaßen in den Blick nehmen. Was meinen Sie damit? Ist bei Pilz Security inzwischen genauso wichtig wie Safety?
T. Pilz: Ich würde es sogar noch drastischer ausführen. Safety ohne Security funktioniert nicht mehr. Nur durch eine ganzheitliche Betrachtung von Safety und Security lässt sich ein Schutz von Mensch und Maschine gewährleisten. Security schützt Safety und Safety schützt den Menschen. Dafür ist es unbedingt erforderlich, auch Security-Maßnahmen direkt in den Geräten (wie etwa Steuerungen) zu implementieren. Deshalb wird gerade auch die Maschinenrichtlinie überarbeitet.
Der Maschinenbau und die Industrie haben in Bezug auf Safety viel Erfahrung. Anders sieht es beim Thema Security aus. Warum ist das so und warum ist das gefährlich?
T. Pilz: Das Thema Safety ist eher für den Betreiber einer Maschine interessant als für den Maschinenbauer, schließlich muss der sich mit der Gefahr auseinandersetzen. Durch Industrie 4.0 und die permanent vernetzte Maschine sind viel mehr Angriffsmöglichkeiten vorhanden, sodass inzwischen jedes Unternehmen, das Umsatz erwirtschaftet, für Hacker interessant ist, um Geld zu erpressen.
Dem ist sich inzwischen zwar auch die Politik gewahr geworden, aber so ganz durchdacht sind deren Ideen nicht. Schließlich sind der strenge Datenschutz und die Anonymisierung nicht gerade hilfreich bei der Aufklärung der Straftaten und dem Identifizieren der Täter. Dies gilt auch für die Fehlersuche an einer Anlage, schließlich wäre es schon hilfreich zu erfahren, wer einen USB-Stick in einen Port gesteckt oder einen Fernwartungszugang geöffnet hat.
Für neue Anlagen lässt sich sicherlich ein Security-Konzept einfach realisieren, bei bestehenden Anlagen ist dies aber häufig ein Problem.
T. Pilz: Nicht unbedingt. Natürlich machen es flache Produktionsnetze kombiniert mit veralteten Protokollen Cyberkriminellen heute einfach, Schwachstellen aufzuspüren und diese auszunutzen. Häufig werden beispielsweise Steuerungsanlagen, die auf Microsoft Windows basieren, nur in definierten Wartungszeiträumen gepatched.
Mit einer entsprechenden Segmentierung lassen sich bestehende Fertigungsanlagen jedoch recht gut gegen Cyberangriffe schützen. Dabei ist es nebensächlich, ob beispielsweise nach Fertigungsbereich, nach Anlage (logische Segmentierung) oder nach anderen Kriterien, wie nach Patchbarkeit von Systemen, segmentiert wird. Auch eine Mischung aus beidem ist denkbar. Wie einfach sich damit Netzbereiche im Fall von Problemen abgrenzen lassen, ist leider noch immer relativ unbekannt. Bei alten Anlagen kann man mithilfe von einem IIoT-Gateway so auch problemlos an deren Daten gelangen.
Mit dem Thema Security beschäftigt sich Pilz aber schon seit geraumer Zeit. So hat der Safety-Experte bereits vor vier Jahren die Firewall SecurityBridge auf den Markt gebracht. Was hat es damit auf sich?
T. Pilz: Der physikalische Zugang zu Maschinen ist in der Maschinensicherheitsrichtlinie klar definiert. Eine Türabsicherung beispielsweise sorgt dafür, dass sich ein Mensch erst im Gefahrenbereich bewegen kann, wenn sich die Maschine in einem sicheren Zustand befindet. Die Industrie-Firewall SecurityBridge, die nach dem Secure Development Process gemäß der Norm IEC 62443-4-1 entwickelt wurde und damit das Prinzip von „Zones and Conduits“ berücksichtigt, stellt sicher, dass nur autorisierte Personen Zugang über das Netzwerk zur Anlage haben. Als Firewall überwacht sie die Kommunikation mit der Steuerung und kontrolliert den Datenfluss. Kontinuierliche Updates lassen sich damit funktional rückwirkungsfrei für das geschützte Steuerungssystem durchführen. Darüber hinaus kann man über die SecurityBridge Nutzerrechte hinterlegen, die definieren, welche Mitarbeiter Zugriff auf welche Daten haben dürfen. Sie ist das ideale Tool für die Feinsegmentierung unterhalb der Werkssegmente und verbindet IT mit OT.