Von A wie Angriff bis Z wie Zulassung: Safety und Security in der Praxis

Über 30 Interessenten aus Industrie und Forschung nahmen am 23. Juli 2019 an der Veranstaltung zum praxisnahen Austausch über Safety und Security teil, die im Rahmen der Allianz Industrie 4.0 mit Unterstützung der embeX GmbH in Freiburg stattfand.

Mit Industrie 4.0 und der zunehmenden Automatisierung und Digitalisierung der industriellen Produktion entstehen sowohl Herausforderungen als auch Anforderungen bezüglich Safety und Security. Die Veranstaltung „Von A wie Angriff bis Z wie Zulassung: Safety und Security in der Praxis“ zeigte anschaulich, was genau sich hinter den Schlagworten Safety und Security verbirgt, warum es so wichtig ist, sich damit zu beschäftigen, und wie Unternehmen konkret mit der Umsetzung starten können.

Funktionale Sicherheit trifft Datensicherheit

Unter Safety wird die funktionale Sicherheit, unter Security die Datensicherheit verstanden. Die adressierten Ziele der Konzepte sind unterschiedlich, müssen aber im Alltag oft gemeinsam bearbeitet werden. Erst vor kurzem entstanden neue Normen, die beide Anforderungsbereiche in ein gemeinsames Konzept integrieren.

Damit Begriffe wie Malware, Hacking und Cyberkriminalität Unternehmen nicht davon abschrecken, den Schritt in Richtung Industrie 4.0 oder die Automatisierung zu wagen, spannen die Referenten einen Bogen über Security und Safety, adressieren die Hintergründe und Bedeutung und schließen mit Lösungsansätzen wie z.B. die Bedeutung der Risikoanalyse und -bewertung für Safety und Security.

Security – Warum Datensicherheit plötzlich so wichtig ist?

Lukas Fey von embeX führte in seinem Beitrag in das Thema Security ein. Informationstechnologie (IT) umfasst Technologien zur Datenverarbeitung und schließt Software, Hardware, Kommunikationstechnologien und dazu gehörige Services ein. Demgegenüber deckt die Operational Technology (OT) Hardware und Software ab, die in Industriebetrieben z.B. Montage- und Herstellungsprozesse überwacht und kontrolliert. Mit dem industriellen Internet der Dinge verwischen die Grenzen zwischen diesen Bereichen, wobei die Air Gap (1) beider Systeme verloren geht und damit die Datensicherheit in den Fokus rückt, weil ein direkter Zugriff möglich wird. Als Lösung empfiehlt embeX den Aufbau nach dem Zwiebelprinzip, bei dem mehrere Sicherungsschichten aufgebaut werden, die ein direktes Erreichen einer Schicht über eine andere hinweg verhindern. Auch wenn landläufig noch die Meinung vertreten wird, dass IT sowie Cybersecurity kein Geld bringt, zeigt Lukas Fey klar auf, dass durch das Vermeiden von Angriffen z.B. bis hin zu Produktionsstillständen große Summen eingespart werden konnten. Er empfiehlt umfassende Risikoanalysen von Hard- und Software, Datensicherheitsthemen von Beginn an mit zu denken und geeignetes Fachpersonal einzubinden, wobei OT und IT Hand in Hand gehen sollten. Darauf aufbauend können Security-Konzepte entwickelt werden, die sowohl logische als auch physikalische Aspekte berücksichtigen.

Security in der Praxis

Simon Büchsenstein von der Universität Freiburg stellte seine Arbeiten zu einem Secure Boot mittels Mikrocontroller vor. Ausgangspunkt seiner Arbeit war die Aktualisierung von Firmware über die Cloud (Firmware Over-The-Air FOTA). Dabei müssen verschiedene kryptografische Ziele erreicht werden, um vor inneren und äußeren Attacken zu schützen sowie Schutz und Robustheit durch Metadaten zu gewährleisten. Tim Bauer von der HWI IT erläuterte sein Verständnis einer bedarfsgerechten IT-Sicherheit für die Automation, die im Spannungsfeld von IT und OT liegt. Die Priorität der IT liegt auf der Vertraulichkeit, die der OT auf der Verfügbarkeit. Interessenskonflikte sind da vorprogrammiert. Er sieht ein großes Potential in der Übertragung des Patch-Managements (2), das in der IT gelebte Praxis ist, auf die OT. Für Tim Bauer sind die notwendigen Schritte, ein intelligentes Netzdesign, ein Patch-Management für den Umgang mit Schadcode, eine Security-Baseline für OT und das Nutzen von Next Generation-Lösungen wie z.B. Maschinelles Lernen.

Safe und Secure – zwei Welten treffen aufeinander

Die Verbindung der beiden Themenblöcke Security und Safety stellte Dr. Kai Borgwarth von embeX in seinem Vortrag her. Dabei widmet sich Safety der „Abwehr von Gefahren für Gesundheit und Umwelt durch die Technik“ wohingegen Security, wie bereits geschildert, dem Schutz von „CIA“, der Abwehr von Angriffen Dritter sowie der Abwehr wirtschaftlicher Schäden gilt. Er verweist auf die Grundnorm IEC 61508-1, aus der hervorgeht, dass Safety die Security braucht. Um den damit einhergehenden Herausforderungen gerecht zu werden, sieht Kai Borgwarth folgende Ansatzpunkte:

Auf System-Ebene:

• Ausbalancierung der Safety- und Security-Gepflogenheiten
• Partitionierung in Zonen mit unterschiedlicher Abwägung
• Risikoabwägungen ersetzen Standards (s. BSI Grundschutz)

Auf Prozess-Ebene:

• Schaffung von gegenseitigem Verständnis der Experten
• Safety wird weniger statisch, Security weniger dogmatisch
• Synergien bei der Entwicklungsmethodik - Verlässliche Umsetzung

Von Richtlinien zur praktischen Umsetzung von Safety

Robin Kienzler von embeX erläuterte daran anschließend die Normen, Richtlinien und Grundlagen für Safety aus. Die große Herausforderung steckt darin, die geltenden Richtlinien und Normen zu identifizieren, die sich teilweise überschneiden, aufeinander verweisen oder sich ersetzen. Zugrunde liegt in der Regel eine Risikobeurteilung als konstruktionsbegleitender, iterativer Prozess. Dabei müssen alle wesentlichen Anforderungen der gültigen Richtlinien abgedeckt werden.

Die Beiträge zur Entwicklung von sicheren Komponenten zeigte Klaus Hummel von der Sick AG auf. Er ging auf Fragen ein, wie „was ist das Besondere an einer funktional sicheren Produktentwicklung?“, „sind wir überhaupt in der Lage, so etwas zu meistern?“ bis hin zu „was muss man denn alles tun?“. Klaus Hummel differenzierte eingangs die systematischen (wie Spezifikations- oder Programmierfehler) von den zufälligen (Materialfehlern, Bauteilausfall) Fehlern anhand des Auftrittsorts, der Ursache, der Maßnahmen zur Fehlervermeidung sowie zur Fehlerbeherrschung. Bei systematischen Fehlern gelten für funktional sichere Produktentwicklungen die gleichen Maßnahmen wie bei „normalen“, z.B. Qualitätsmanagement, Schulung, Reviews, Dokumentation. Auch bei zufälligen Fehlern greifen die gewohnten Maßnahmen wie z.B. redundante Hardware, Vergleicher, dynamische Prinzipien oder Ruhestromprinzip, wobei hier neben der Produktspezifikation auch zusätzliche Anforderungen an das Produkt bezogen auf Sicherheit zu berücksichtigen sind.

Letztlich unterscheidet sich eine sichere Produktentwicklung nicht von einer Standardentwicklung unter der Randbedingung der Produkthaftung. Systematische Fehler werden minimiert, zufällige Fehler beherrscht. Dabei sollte Wert gelegt werden auf ein systematisches Vorgehen, Prozesse sollten definiert und gelebt werden und die Angemessenheit beachtet werden. Am Ende steht ein Produkt mit vielen Kriterien hinsichtlich funktionaler Sicherheit, Security, Benutzerfreundlichkeit, Robustheit…

Produktidentifikation und -authentifizierung

Mit einem Vortrag zu „Lebenslange Produkt-ID und -Authentifizierung durch Fluoreszenzpartikel“ lenkte Jochen Mösslein von Polysecure die Aufmerksamkeit auf ein weiteres sicherheitsrelevantes Thema. Zur Erkennung von Materialien werden Fluoreszenzpartikel beigemischt, die einen eindeutigen „Fingerabdruck“ hinterlassen. Somit können Produkte basierend auf diesen modifizierten Stoffen fälschungssicher werden. Selbst entwickelte Detektoren ermöglichen, die Partikel sichtbar zu machen. Damit leistet Polysecure einen wichtigen Beitrag gegen Produktplagiate, die zu hohen wirtschaftlichen Schäden führen – bis zu 10 % des Weltmarkts besteht aus Plagiaten (3) – und Menschenleben kosten, weil gefälschte Medikamente nicht wirken oder sogar toxisch sind.

Rechtsfolgen: Zwischen Haftung und Haft

In seinem unterhaltsamen und sehr anschaulichen Abschlussvortrag schilderte Prof. Thomas Klindt von der Kanzlei Noerr und Partner, welche Rechtsfolgen ein Inverkehrbringer zu befürchten hat. Drei rechtliche Säulen beim Inverkehrbringen sind grundsätzlich zu beachten: das behördliche Produktsicherheitsgesetz, die zivilrechtliche Produkthaftung sowie die strafrechtliche Produkthaftung. Als außervertraglicher Anspruch ist die Produkthaftung vor allem durch die Risikominimierung oder durch die Risikoverlagerung an eine Produkthaftpflichtversicherung anzugehen. Im Geltungsbereich des Produktsicherungsrechts greift ergänzend die Behördenüberwachung. Daher ist in jedem Fall zu klären, welche Spezialgesetze und welche Produktsicherungsgesetze zu beachten sind, was im Beispiel der Puppe Cayla wohl unzureichend getan wurde. Cayla (4) könnte sich nach Informationen der Bundesnetzagentur als versteckte, sendefähige Anlage „entpuppen“, deren Besitz strafbar ist. Darüber hinaus müssen „Hersteller (…) und Einführer [haben] jeweils unverzüglich die zuständige Marktüberwachungsbehörde (…) [zu] unterrichten, wenn sie wissen oder (…) wissen müssen, dass ein Verbraucherprodukt, das sie auf dem Markt bereitgestellt haben, ein Risiko für die Gesundheit und Sicherheit von Personen darstellt (…)“, was im § 6 Abs. 4 Produktsicherungsgesetz geregelt ist. Wie die Rechtsauffassung in Bezug auf Hackerangriffe derzeit völlig neu diskutiert wurde, gab Klindt am Ende seiner Ausführungen eindrücklich zum Besten. Es wird gefordert, dass Hersteller oder Betreiber ihre Geräte, Anlagen oder Produkte vor unzulässigen Zugriffen schützen. Übertragen auf den Besitzer eines Autos würde das bedeuten, dass der Hersteller oder Besitzer eines Autos sicherstellen müsste, dass die Reifen nicht mehr von mutwilligen Angreifern zerstochen werden können. Wir können gespannt sein, wie sich

Fußnoten

(1) Als Air Gap (englisch für „Luftspalt“) oder Air wall[1] (englisch für „Luftmauer“, in Analogie zu einer Firewall, deren Einsatzzweck ähnlich ist) wird in der Informatik ein Prozess bezeichnet, der zwei IT-Systeme voneinander physisch und logisch trennt, aber dennoch die Übertragung von Nutzdaten zulässt. Quelle: https://de.wikipedia.org/wiki/Air_Gap, zuletzt aufgerufen am 19.8.2019.

(2) Der Begriff Patch-Management bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Ein Patch (deutsch Flicken) stopft die Sicherheitslücke, behebt Programmfehler und verhindert so den Erfolg von Malware-Angriffen. Das übergreifende Patch-Management für Unternehmen gehört zum Standard-Angebot von IT-Dienstleistern. Quelle: https://it-service.network/it-lexikon/patch-management, zuletzt aufgerufen am 19.8.2019.

(3) Quelle: https://www.foerderland.de/gruendung/news-gruenderszene/news-gruendung/foerderland-aktuell/produktpiraterie/, zuletzt aufgerufen am 20.8.2019

(4) Quelle: https://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur, zuletzt aufgerufen am 20.8.2019