Blog

mkind

Ein Paradigmenwechsel muss her

Die Zukunft ist vernetzt. Das gilt nicht nur für das Internet der Dinge, sondern auch für weite Teile der Industrie. Ein mediales Schlagwort in diesem Zusammenhang ist Industrie 4.0. Wenn Geräte und Maschinen miteinander kommunizieren, darf die Freude auf die neu entstehenden Möglichkeiten nicht den Blick auf die IT-Sicherheit versperren.

Der Status Quo

Dabei treten unterschiedliche Herausforderungen auf. So wird die Kommunikation zwischen Industrieanlagen, Sensoren, Aktuatoren und Co. über verschiedene Kommunikationsstandards geregelt. Jeder Hersteller der verschiedenen Komponenten hat ein Interesse, sich an diesen Standards zu orientieren oder aber er entwirft seine eigenen. Dabei sind für den Betreiber solcher Anlagen die Details der Kommunikation nicht immer von Bedeutung. Woran er allerdings ein hohes Interesse hat, ist, dass seine Anlage bestimmte Kriterien der IT-Sicherheit erfüllt.

Als Heilsbringer werden gerne Geräte verkauft, die Netzwerke passiv analysieren und auf Anomalien untersuchen. Dafür wird sich verschiedener Algorithmen bedient, die in den Bereich des machine learning fallen und nach verdächtigen Netzwerkpaketen Ausschau halten. Diese Intrusion Detection Systems (IDS) sind also passive Netzteilnehmer und verzichten in der Regel darauf, eigene Kommunikation aufzubauen und sollen böse Buben im Netzwerk erkennen und warnen.

Paradigmenwechsel

Dabei ist der Wirkung solcher IDS Grenzen gesetzt. Wie der Name schon verrät, verhindern solche IDS-Anlagen keine Angriffe, sondern sie detektieren einen Angriff in dem Augenblick, indem er passiert. Das ist ein bisschen, als würden Sie sich an die Straße stellen und darauf warten, dass ein Unfall passiert, um dann im Augenblick des Geschehens die Polizei oder den Notarzt zu rufen. Besser wäre es, Sie verhindern den Unfall oder schränken seine Folgen von vornherein ein. Da Ersteres schier unmöglich ist, muss das Augenmerk darauf liegen, Folgen von Angriffen abzusehen und entsprechend einzuschränken.

Um dieses Ziel zu erreichen, ist es notwendig, dass die IT-Sicherheitsindustrie sich darauf besinnt, Produkte anzubieten, die aktiv Netzwerke analysieren. Dabei geht es darum, dass ein Anlagenbetreiber beispielsweise zu jeder Zeit einen Überblick darüber hat, wie der Patchstand seiner Anlagen ist oder ob Misskonfigurationen vorliegen, die einem Angreifer erlauben, Anlagen zu sabotieren. Ein solche Aussage lässt sich aber nur treffen, wenn Sicherheitsprodukte mit den Industriekomponenten aktiv kommunizieren.

Wenn Angriffe in Zukunft also in ihrer Wirkung begrenzt werden sollen, ist es wichtig, dass Anlagenbetreiber, -hersteller und die IT-Sicherheitsbranche enger zusammenrücken und eine aktive, kontrollierte Kommunikation zur Selbstverständlichkeit machen. Andernfalls ist der Schaden durch eine aktive, unkontrollierte Kommunikation, wie sie ein Angreifer initiiert, so hoch, dass er kaum abzuschätzen ist.