Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.08.2015 - 

Kommentar zu Industrie-4.0-Security

Sicheres Mittelalter oder Desaster 4.0

Vor der Gründung von EgoSecure im Jahr 2007, war der Diplom-Informatiker Sergej Schlotthauer über 10 Jahre bei großen deutschen Software- und Dienst­leistungs­unternehmen der Medien­branche in führenden Management­positionen tätig. Heute organisiert der Unternehmer und Familienvater als alleiniger Geschäfts­führer den Ausbau der EgoSecure GmbH zum Marktführer im Bereich des Endpoint-Managements.

Schlotthauer schreibt in erster Linie zu den Themen IT-Sicherheit, Datensicherheit und Datenschutz. In den letzten Jahren veröffentliche er zahlreiche Fachbeiträge in verschiedenen Fachmagazinen. Außerdem unterhält er mit „Egosecure Expert“ einen eigenen Blog.
In allen Aspekten des Lebens fordert die Menschheit Fortschritt und Wachstum. Ein Blick durch die Jahrhunderte verrät, dass dies immer wieder in Form einer industriellen Revolution geschah. Nun stehen wir inmitten der sogenannten Industrie 4.0, wollen immer weiter und höher hinaus, vergessen dabei aber wichtige Aspekte, wie das Thema Datensicherheit und -schutz.

Bei den aktuellen Trends kann man dem Thema Industrie 4.0 nicht entgehen. Es ist ja auch cool wie alles miteinander kommuniziert: die Autos fahren selbst, die Roboter unterhalten sich untereinander, der Kühlschrank bestellt das Essen und wir Menschen genießen die verdiente Ruhe. Wahrscheinlich wird es aber gar nicht so weit kommen, denn alles folgt wieder dem Muster, das wir bisher schon öfter beobachtet haben: wir machen wieder alles schön bunt und lassen alles blinken, aber die Sicherheitsaspekte ignorieren wir.

Bei Industrie 4.0-Vorhaben sollte auch der Security-Gedanke von Anfang an eine Rolle spielen.
Bei Industrie 4.0-Vorhaben sollte auch der Security-Gedanke von Anfang an eine Rolle spielen.
Foto: jim - Fotolia.com

Vergessene IT-Security

Sicherheit, wer braucht denn sowas? Auf der Industrie Messe 2015 in Hannover waren die Hallen voll mit tanzenden Robotern, aber Security-Firmen waren kaum vertreten. Warum auch? Es gibt ja auch keine Nachfrage und man kann davon ausgehen, dass die Menschen wahrscheinlich erst in zwei bis drei Jahren über Security in der Industrie 4.0 nachdenken. Es könnte allerdings sein, dass es dann schon zu spät ist, da die Treiber der Technologieentwicklung eben Schönheit und Coolness waren und nicht die Sicherheit.

Genau das gleiche konnte man in den letzten Jahren im Bereich Social-Media und App-Entwicklung beobachten. Auch da wurde die Sicherheit erst einmal völlig vergessen - es geht ja auch nur darum, den Freunden ein paar Fotos zu zeigen oder ein paar langweilige Sätze an 100.000 Follower zu senden. Warum sich also um Sicherheit Gedanken machen, zumal es gar kein Geschäftsmodel gibt, um mit dem Produkt Geld zu verdient? Außer vielleicht, man verkauft das Ganze später für ein paar Milliarden Dollar an irgendeines der Mega-Unternehmen - dann sollen die sich doch Gedanken um die Sicherheit machen. Man fokussierte sich also nur auf die coolen Funktionen und auf die Vermarktung des Ganzen - Sicherheit blieb einfach außen vor. Das Ergebnis war eine Welle von Leaks und ärgerlichen Datenverlusten.

Erhöhtes Gefahrenpotential

Im Social-Media und App-Bereich beschränkte sich der Schaden jedoch auf ein paar veröffentlichte Nacktfotos oder auf den gläsernen Kunden, bei dem die werbenden Unternehmer mehr über einen wissen als man selbst.

Bei Industrie 4.0 kann fehlende Sicherheit allerdings hunderttausende Menschen töten - also ist die Gefahr hier wesentlich höher. Klinkt sich zum Beispiel ein Virus in die Produktionskommunikation ein und gibt der Maschine die Anweisung eine Flugzeughaut nur aus 0,1 mm dickem Material zu fertigen, würde man es vielleicht noch merken, weil sie sich wie eine Seeoberfläche wölben würde. Wird aber die Anweisung gegeben, die Materialstärke nur so wenig zu verändern, dass man es nicht sofort wahrnimmt, merken wir es vielleicht erst, wenn jeden Tag ein Flugzeug vom Himmel fällt.

Ebenso schlimm wäre es, wenn Geräte im Krankenhaus ausfallen, Züge nicht mehr bremsen können oder Milch statt wärmebehandelt auf -1°C abgekühlt wird. Oder stellt man sich einmal vor, ein Medikament würde plötzlich die hundertfache Dosis eines Wirkstoffs erhalten. Die Folge solcher Aktionen würde man auf sehr unangenehme Weise zu spüren bekommen. Es kann einfach nicht sein, dass die Sicherheit der Systeme bei solchen Themen nicht an erster Stelle steht, denn der Preis für nur eine einzige Fehlfunktion, kann den Nutzen um das Tausendfache übersteigen.

Es geht eben nicht darum, dass alle Roboter cool miteinander tanzen, sondern darum, das keine Menschen verletzt werden oder zu Tode kommen. Die Tatsache, dass zur Zeit jeden Tag mehrere 100.000 Viren neu produziert werden zeigt, dass es mindestens genauso viele Menschen geben wird, die Spaß daran hätten, die "schöne neue Welt" zu missbrauchen. Industrie 4.0 schafft ihnen eine nie dagewesene Bühne, denn nie waren die Folgen so verheerend.

Altbewährter Lösungsansatz

Was ist also zu tun?
Wer hätte es gedacht, aber ausgerechnet das Mittelalter kann hier als positives Beispiel dienen kann:

Wie wurde im Mittelalter gebaut? Man suchte einen Ort, von wo aus man nicht angegriffen werden konnte - am besten ganz oben auf einem Felsen. Dort wurde dann etwas gebaut, dessen Wohnfläche einem heutigen 4 Familienhaus ähnelte - allerdings zogen dort rund 200 Menschen ein. Alles war also sehr eng. Die Vorräte mussten über eine sehr steile Straße mühsam nach oben geschaffen werden. Das Leben war windig und kalt - an Komfort war gar nicht zu denken.
ABER! - die Menschen haben überlebt, weil die Sicherheit an aller erster Stelle stand, alles andere war erstmal egal. Erst später wurden die Burgen dann größer und bequemer und erst Jahrhunderte später fingen die Könige an, den Komfort ihrer Behausungen an die erste Stelle zu stellen - das haben dann einige auch mit dem Kopf bezahlen müssen.

Vielleicht wäre es auch in der Industrie 4.0 besser, dem Vorbild der mittelalterlichen Bauweise zu folgen und die Sicherheit zunächst in den Mittelpunkt zu stellen. Es ist ja ok, dass wir die Kontrolle immer mehr aus unserer Hand an die Technik übergeben - dabei möchte ich aber sicher gehen, dass man alles Mögliche dafür getan hat, um Sicherheit zu garantieren. Das würde dann bedeuten, dass man sich in der Entwicklung von Industrie 4.0 Systemen zuerst fast ausschließlich nur dem Thema Sicherheit widmet und eine maximal sichere Infrastruktur als Grundlage erstellt, und erst danach die schönen Features darauf implementiert.

Es sollte jedem klar sein, dass wir uns - genauso wie im Mittelalter - in einem permanenten "Cyber-Krieg" befinden, in dem sich Geheimdienste, Kriminelle und Amateure grenzübergreifend austoben. Ihre Waffen sind mittlerweile unglaublich professionell geworden. Viele Viren bleiben jahrelang unentdeckt und können in Ruhe ihr Unwesen treiben. Es ist natürlich falsch zu behaupten, dass überhaupt keine Sicherheitsthemen in der Industrie 4.0 Umfeld behandelt werden. Aber diese Bemühungen entsprechen in keiner Weise dem Niveau der Bedrohungen und Kosten, die bei einem Fehler anfallen.

Deswegen fürchte ich, dass nach heutigen Methoden diese an sich wichtige und richtige Entwicklung auch als Desaster 4.0 in die Geschichte eingehen wird - wenn nicht dringend ein paar Paradigmen überdacht werden. (bw)

Newsletter 'Produkte & Technologien' bestellen!
 

GSTZ

Um betreffend IT-Sicherheit bei der Analogie mit Burgen und sonstigen Befestigungsbauten zu bleiben: Wichtig ist nicht nur, wo man sein Gemäuer errichtet und wie hoch und dick es ist, sondern auch die Beschaffenheit des verwendeten Materials. In der aktuell vorherrschenden IT-Architektur ist da leider Styropor angesagt, welches schon mit einem Buttermesser durchschnitten werden kann ...
Solange man weiterhin meint kritische IT-Infrastrukturen mit hochgezüchteter PC-Technologie aufbauen zu müssen, wird man trotz viel Aufwand keine sicheren Systeme haben sondern stattdessen viel Frust ernten - egal ob man diese Infrastruktur nun mit Windows oder Linux betreibt. Auch die neueren mit Smartphones und Tablets großgewordenen Systeme sind da leider keinen Deut besser - auch hier kam wie in dem Artikel sehr zutreffend beschrieben die IT-Sicherheit bei der ursprünglichen Konzeption viel zu kurz. Nachrüsten geht leider nicht, ebenso wenig wie man nachträglich das Fundament eines Wolkenkratzers verstärken kann.
Viel wäre gewonnen, wenn man Betriebssysteme verwenden würde die Daten und Code strikt voneinander getrennt halten und vor allem eine robuste Speicherverwaltung haben, welche die gängigen Buffer Overflow - Attacken verhindert. Auch brauchen sehr viele Benutzer gar keine PC-Funktionalität, "dumme" Browserterminals deren Funktion nicht per Download manipuliert werden kann reicht zumeist - zumal in Verbindung mit einer (robusten) Cloud, in der die benötigten Funktionen und Daten zuverlässig und sicher vorgehalten werden.
Einfachere und robuste Infrastruktur mit von Grund auf eingeplanter IT-Security bitte überall dort wo es um kritische Funktionen geht (für den Privatbenutzer sind dies auch Online Banking, Online Shopping, eGovernment etc.) - und all die wunderbaren Bells & Whistles bitte in den Spiele-PC, wo kein größerer Schaden angerichtet werden kann ...

Martin

Ich finde den Vergleich mit dem Mittelalter sehr passend. Natürlich muss die Grundzielsetzung zunächst feststehen - also z. B. einen Handelsweg kontrollieren oder ein Hinterland beschützen. Dann sollte man aber den sichersten Platz suchen, von dem aus man die Grundzielsetzung umsetzen kann.

An der Stelle hat Peter völlig recht. Security darf natürlich kein Selbstzweck sein - das bringt uns natürlich nicht weiter. Weiterhin ist natürlich die Grundzielsetzung z.B. ein Auto zu produzieren - die Frage ist aber wie und welchen Stellenwert die Sicherheit dabei hat. Und da teile ich die Meinung des Autoren - der Stellenwert ist aktuelle viel zu gering.

Gestern habe ich noch gelesen, dass Hacker in einem Krankenhaus die Kontrolle über Sauerstoffmasken erlangten haben und sie steuern konnten wie sie wollten. Zum Glück war es ein gewollter Angriff, um den Sicherheitsstandard zu testen und der Sauerstoffgeräteanbieter muss jetzt in Sachen Security nachrüsten. Aber man stelle sich nur mal vor, dass wäre ein bösartiger Angriff gewesen. Und über das Beispiel von Jeep haben wir ja auch alle gelesen. Also - die Gefahr ist real und trotzdem schlafen alle vor sich hin.

Peter

Der Vergleich mit den mittelalterlichen Burgen hinkt: Nicht weil man dort sicher war, wurden sie gebaut, wo sie gebaut wurden, sondern weil man dort entweder den Zugang zum dahinter liegenden Gebiet gut verteidigen konnte, oder weil man dort einen Handelsweg beherrschen konnte usw.. Sicherheit war und ist nie der Selbstzweck; verfolgt werden damit andere Ziele und deshalb kommt die Sicherheit zu Recht auch nicht an erster Stelle, sondern ist ein nachgelagertes Ziel, in Staat und Gesellschaft, im Verkehr, in der Industrie usw.

Olaf Barheine

Ein wesentliches Problem ist meines Erachtens, dass es dem typischen Entwickler schlicht an krimineller Energie mangelt. Der kann sich in seinen kühnsten Träumen nicht vorstellen, wozu Hacker in der Lage sind. Das andere Extrem: In den Unternehmen ist man derart überängstlich, dass gleich ganz auf Vernetzung der Produkte verzichtet wird und damit wichtige Zukunftsmärkte den Wettbewerbern überlässt. Dass Sicherheit auch Geld kostet, sei nur am Rande erwähnt.

comments powered by Disqus