Dynamische Zertifizierung: Neue Standards für die Industrie 4.0

| Autor / Redakteur: Ingo M. Rübenach * / Michael Eckstein

Überblick behalten: Industrie 4.0 steht für eine enge, intelligente Verzahnung bislang oft unabhängiger Prozesse. Diese bringt viele Vorteile, lässt aber auch neue Anforderungen entstehen.
Überblick behalten: Industrie 4.0 steht für eine enge, intelligente Verzahnung bislang oft unabhängiger Prozesse. Diese bringt viele Vorteile, lässt aber auch neue Anforderungen entstehen. (Bild: UL)

Vernetzung macht Prozesse intelligenter – zum Preis häufigerer Software-Updates. Um die Sicherheit zu gewährleisten, benötigen Unternehmen eine dynamische Zertifizierung.

Industrie 4.0 und das Internet der Dinge verändern bisher bewährte Vorgehensweisen und Geschäftsmodelle. Bis vor wenigen Jahren verkauften die Hersteller ein bestimmtes Produkt und der Kunde nutzte es unverändert, ohne dass die Unternehmen nach dem Kauf darauf Zugriff hatten. Inzwischen gibt es vernetzte Geräte, die mit einem integrierten Kleincomputer ausgerüstet sind. Sie bauen über WLAN oder Mobilfunk eine Verbindung ins Internet auf.

Dabei macht die Vernetzung nicht vor Endanwenderprodukten halt. Auch Werkzeugmaschinen und andere Geräte von Industrieausrüstern werden immer häufiger mit dem Internet verbunden. Diese Form der Vernetzung über das Internet der Dinge bewirkt einen Wechsel in den Geschäftsmodellen. Die Hersteller sind keine reinen Produzenten mehr, sondern Anbieter von smarten Services, bei denen das Produkt ein Mittel zum Zweck ist.

Hersteller von vernetzten Produkten sind in der Pflicht

Dadurch entsteht für die Industrie die Chance, ganze Wertschöpfungsketten weitreichend zu optimieren. Doch mit der Vervielfältigung der Datenverbindungen und dem Wachstum des Datenverkehrs steigt zugleich auch das Risiko, Opfer von Cyber-Angriffen zu werden. Die Gefahr ist real, in der deutschen Wirtschaft entsteht nach Angaben des Branchenverbandes Bitkom bereits heute pro Jahr ein Schaden von etwa 55 Milliarden Euro. Die Zahl der Cyber-Attacken hat in den vergangenen Jahren stark zugenommen. Eine Befragung des VDE ergab: 71 Prozent der Mitgliedsunternehmen mit mehr als 5.000 Mitarbeitern geben zu, bereits Opfer von Cyber-Angriffen geworden zu sein. Cybersicherheit wird damit zum kritischen Erfolgsfaktor für Industrie 4.0.

Wie sollen Unternehmen reagieren? Das Bundesministerium für Wirtschaft und Energie (BMWi) gibt in seiner Studie „IT-Sicherheit für die Industrie 4.0“ eine zentrale Empfehlung: Konsequent einen guten Basisschutz mit Hilfe heute verfügbarer Sicherheitstechnologien etablieren. Als Mittel dazu schlägt das BMWi unter anderem vor, Mindeststandards für IT-Sicherheit einzuführen und in digitalen Wertschöpfungsnetzen zertifizierte Produkte zu verwenden.

Doch was genau wird zertifiziert, wenn sich das Produkt durch Software-Aktualisierungen regelmäßig verändert? Herkömmliche Zertifizierungen arbeiten anhand von Gerätemustern, die aus der aktuellen Produktion entnommen werden. Bei den bisher verbreiteten Produkten, die nicht ohne weiteres aktualisierbar sind, ist das ausreichend. Moderne, vernetzte Geräte benötigen zwingend eine dynamische Zertifizierung, die auch Aspekte der Cybersicherheit umfasst. Sie muss sich auf die Fähigkeit der Produkte beziehen, Software-Schwachstellen und Mängel zu analysieren, die unbefugte Nutzung zu minimieren, Probleme mit bekannter Malware zu beheben und Sicherheitsmechanismen zu überprüfen.

Eine dynamische Zertifizierung erfordert zudem Prozesse, um reagieren zu können, wenn sich etwas am Produkt verändert – und unterstützt damit auch IT-Verantwortliche, die heute schon ein stetiges Monitoring ihrer IoT-Landschaft benötigen. Die heute üblichen Normen für die Sicherheit von Produkten befassen sich nicht direkt mit Cyberbedrohungen, die sich im Zusammenhang mit Software ergeben können. Zudem liefern sie keine eindeutigen und objektiven Kriterien zur Beurteilung der tatsächlichen Wirksamkeit von Softwaredesign oder -Funktionen, die Cyberangriffe verhindern sollen.

Die Hersteller von vernetzten Produkten sind in der Pflicht, alle sicherheitsrelevanten Merkmale von Komponenten auf Produktebene zu bewerten und auf bekannte Schwachstellen zu testen, um die Zuverlässigkeit zu gewährleisten, Ausfallzeiten zu verringern, Schäden an Anlagen zu vermeiden, Risiken zu mindern, die Sicherheit zu verbessern und die Sicherheit der Betriebsumgebungen aufrechtzuerhalten. Grundsätzlich folgen aus den Anforderungen an die Software-Cybersicherheit von netzwerkfähigen Produkten drei wichtige Anforderungskategorien.

Allgemeine Anforderungen an die Produkte

Eine dynamische Zertifizierung muss nachweisen, dass die Software über eine leistungsfähige Kontrollvorrichtung für Sicherheitsrisiken in ihrer Architektur und in ihrem Design verfügt – etwa verschlüsselte Kennwörter, Systeme für Intrusion Detection oder Firewalls. Zu den Mindeststandards für die Verringerung von Sicherheitsrisiken gehören die folgenden Maßnahmen: Zugangskontrolle und Authentifizierung, Verschlüsselung, abgesicherte Remote-Verbindungen, regelmäßige Software-Aktualisierungen sowie gegebenenfalls eine Möglichkeit, Produkte auch stilllegen zu können, wenn sich unvorhergesehene Sicherheitsrisiken ergeben, etwa durch Diebstahl. Zudem müssen die Hersteller standardisierte Testmethoden einsetzen, um Schwachstellen, Softwaremängel und Malware zu bewerten. Zu den wichtigsten Verfahren zählen:

  • Zufallsbasierte Tests (Fuzz Testing), um Zero-Day-Schwachstellen über alle Produktschnittstellen hinweg zu identifizieren.
  • Prüfung auf bekannte Schwachstellen aus dem Verzeichnis des CVE-Standards (Common Vulnerability Enumeration), die in einem Produkt noch vorhanden und nicht durch Sicherheitsaktualisierungen behoben sind.
  • Prüfung auf bekannte Malware.
  • Prüfung auf Software-Schwachstellen im Sourcecode, die nach dem CWE-Standard (Common Weakness Enumeration) kategorisiert sind.
  • Prüfung auf Software-Schwachstellen in den Binärdaten, die über den CWE-Standard identifiziert werden oder aus der Anwendung von Open-Source-Software oder Entwicklungsbibliotheken von Drittanbietern bekannt geworden sind.
  • Strukturierte Penetrationstests auf der Grundlage von bekannten Schwachstellen, die in anderen Tests identifiziert wurden.

Branchenspezifische Kriterien für vernetzte Produkte

Die Software muss zudem den jeweiligen Anforderungen der Branche entsprechen, in der sie eingesetzt wird. Beim Einsatz von netzwerkfähigen Komponenten gelten deshalb zusätzlich branchenspezifische Anforderungen. So ist beispielsweise beim Einsatz von IoT-Geräten im Gesundheitssystem Augenmerk auf Vorkehrungen für den Datenschutz zu legen, da die Geräte besonders sensible Daten enthalten. Da Geräte für Smart-Home-Anwendungen häufig eine bidirektionale Datenübertragung für die Fernsteuerung unterstützen, sollten hier Vorkehrungen für die Zugangskontrolle sowie ein Identitätsmanagement integriert werden.

Eine Besonderheit sind Industriesteuerungen (Industrial Control Systems, ICS). Sie sind ein attraktives Ziel für Cyberangriffe, besonders in kritischen Infrastrukturen wie Verteidigung, Energieerzeugung und -Versorgung, Wassersysteme, Transport und Logistik, Finanzdienstleistungen, Gesundheitswesen und öffentliche Sicherheit. Für sie gilt speziell die allgemeine, international eingesetzte Normenreihe IEC 62443 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“.

Sicherheitsaspekte in Entwicklungsprozess integrieren

Damit Unternehmen in der Lage sind, Cyberbedrohungen zu bewerten und vernetzte Komponenten mit wirksamen Vorkehrungen und Gegenmaßnahmen auszustatten, benötigen sie ein effizientes Informationssicherheits- und Risikomanagement. Besonders wichtig sind hier Systeme und Prozesse für Risikobewertungen, die Voraussetzung für die Ermittlung von softwarebasierten Bedrohungen sind. Darüber hinaus müssen mit der Produktentwicklung befasste Teams die Fähigkeit haben, Sicherheitsaspekte in den Entwicklungsprozess einfließen zu lassen. Hierzu sind beispielsweise entsprechende Weiterbildungen und Personenzertifizierungen notwendig.

* Ingo M. Rübenach ist VP Central, East and South Europe von UL

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45180412 / Industrie 4.0)