Security-Funktionen in aktuellen Industriekomponenten

Bachelor Studiengang IT Security

Ing. Manfred Wirlach, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage

Moderne Industrieanlagen und smarte Gebäude, aber auch kritische Infrastruktur mit den Bereichen Energie, Verkehr, Telekommunikation und Lebensmittel sind heute fast vollständig von industriellen Steuerungssystemen abhängig. Die mit „Industrie 4.0“ bezeichnete Vernetzung von Industrieanlagen mit Office-IT und Internet erfordert eine Absicherung aller Anlagenteile vor Cyberangriffen. Im Gegensatz zur Office-IT haben Störungen und Manipulationen an Industrieanlagen direkten Einfluss auf die „reale“ Welt und können Mensch und Umwelt gefährden oder finanziellen Schaden verursachen.

Ziel

Die Arbeit soll einen Überblick über Geräte und Protokolle von Industrieanlagen geben. Sicherheitsbedrohungen für gängige Komponenten wie speicherprogrammierbare Steuerungen oder Mensch-Maschine-Schnittstellen (Anzeige- und Bediengeräte) werden analysiert. Technische und organisatorische Security-Maßnahmen vom Feldbus bis zur Prozessleittechnik werden aufgezeigt. Dabei werden Empfehlungen zu ICS-Security und speziell die als Entwurf vorliegende Norm ISA-62433-4-2 genauer betrachtet. Zuletzt werden auch aktuell verfügbare Security-Funktionen von zehn am Markt stark vertretenen Herstellerfirmen auf Basis von Produktbeschreibungen analysiert und die untersuchten Produkte auf Abdeckung der in der Norm geforderten Sicherheitsmaßnahmen geprüft.

Ergebnis

Die Top-Security-Bedrohungen konzentrieren sich auf Angriffe über das Netzwerk. Aus der Historie der Anlagenkomponenten und Protokolle wird aber schnell ersichtlich, dass viele der seit Jahrzehnten eingesetzten Technologien nur für den Einsatz in physisch isolierten Netzwerken vorgesehen waren und teilweise per Design unsicher sind. Eine unbedacht von der Herstellerfirma hinzugefügte Webschnittstelle – nur um zeitnah auch Produkte für „Industrie 4.0“ oder das „Internet of Things“ anbieten zu können – kann schnell zur Schwachstelle für die ganze Industrieanlage werden. Die von staatlichen Organisationen sowie HerstellerInnen herausgegebenen Best-Practice-Anleitungen bilden eine gute Basis für den sicheren Betrieb solcher Anlagen, Normen und zugehörige Zertifizierungen, stecken aber noch in den Kinderschuhen. Sowohl GeräteherstellerInnen als auch AnlagenbetreiberInnen haben in Bezug auf Security-Funktionen noch einige Aufgaben zu erledigen – beginnend bei der Ausbildung des Personals über standardisierte Schnittstellen bis zum sicheren Betrieb samt zugehöriger Dokumentation.