Never trust a smart device | Nachbericht zu MABiF #6

Never trust a smart device

Kaum eine Branche ist stärker von der Industrie 4.0 und damit dem Internet of Things betroffen als der Maschinen- und Anlagenbau. Cyber-Security ist hier eine Überlebensfrage. Willkommen bei MABiF #6.

„Maschinen- und Anlagebau im Fokus“, kurz MABiF, nennt sich eine Veranstaltungsreihe der Steirischen Wirtschaftsförderung SFG in Kooperation mit der FH CAMPUS 02 und der Plattform Automatisierungstechnik Steiermark, sowie für diese Ausgabe dem Mikroelektronik-Cluster Silicon Alps. MABiF ermöglicht Erfahrungsaustausch, Wissensvermittlung und Netzwerkarbeit zwischen Unternehmen der Branche, Forschungseinrichtungen und anderen relevanten PlayerInnen in diesem Bereich. Zum Beispiel BetreiberInnen von Rechenzentren. Bei einem solchen, nämlich dem größten und modernsten seiner Art in ganz Österreich, dem Raiffeisen Rechenzentrum in Raaba-Grambach bei Graz, fand am 23. April 2018 die sechste Auflage von MABiF statt. Gestartet wurde bereits am Nachmittag mit mehreren Führungen durch das Service Operation Center des Rechenzentrums. Durch die Abendveranstaltung führte wieder FH CAMPUS 02 – Studiengangsleiter Udo Traussnigg. Das Thema „Cyber-Security im Maschinen- und Anlagenbau“ brennt wohl allen in der Branche buchstäblich unter den Nägeln, wie Ulfried Paier, Geschäftsführer des Raiffeisen Rechenzentrums, in seinem Vortrag präzisierte. Laut einer Studie der Bitkom Research aus dem Jahr 2016 waren fast zwei Drittel der Industriebetriebe bereits von Datendiebstahl und damit einhergehender Spionage oder Sabotage betroffen. Diese Zahlen spiegelten sich auch in einer Live-Umfrage unter den BesucherInnen während der Veranstaltung wider. Paier erklärte zudem, dass knapp die Hälfte aller Unternehmen Nachholbedarf in Sachen Absicherung der IT-Infrastruktur habe. Der Grund dafür ist auf die immer kürzeren Lebenszyklen der IT und die immer neuen Bedrohungen zurückzuführen. Jährlich werden in Österreich Schäden von mehreren Millionen Euro durch Cyberkriminalität verursacht. Tendenz steigend.

Mögliche Lösungsansätze

Die zunehmende Vernetzung unzähliger Komponenten von Produktionsanlagen zu komplexen cyberphysikalischen Systemen öffnet Eindringlingen unzählige Einfallstore. Ein Fall für Infineon. Andreas Mühlberger und Sarah Haas vom Marktführer für Chipcard-Technologie und Security-Systeme zeigten mögliche Security-Lösungsansätze für den Einsatz industrieller Roboter auf. Diese werden immer häufiger in der Produktion eingesetzt und sind in zweifacher Hinsicht gefährdet. Zum einen als Einfallstor für Hacks, andererseits weil ein gehackter (und damit fremd- oder ungesteuerter) mehrere hundert Kilo schwerer Roboter eine echte Gefahr für Mensch und Umwelt in der Produktion darstellt. Die besten und ausgeklügeltsten Sicherheitssysteme nützen wenig, wenn der Umgang damit nicht korrekt ist. Darauf machten die Security-Spezialisten Gerald Kortschak von sevian7 und Georg Kremsner von Limes Security eindringlich aufmerksam. Das fängt bei der gewissenhaften Authentisierung der MitarbeiterInnen an und hört bei regelmäßigen Trainings für den Ernstfall – also, was zu tun ist, wenn ein System gehackt wird – lange nicht auf. Beide Experten betonen: „Bequemlichkeit geht immer zulasten von Sicherheit.“ Diese Bequemlichkeit kann sich zum Beispiel bei ungesicherten Zugängen für die Fernwartung von Anlagen besonders rächen. Einfache Maßnahmen wie starke Passwörter, mehrfache Authentisierung und regelmäßige Softwareupdates sind, so banal das klingen mag, schon ein wichtiger Schritt in die richtige Richtung und beileibe nicht überall selbstverständlich. Wie sehr das Internet of Things bereits heute in unserem Alltag Realität und Risiko ist, zeigte Stefan Marksteiner von Joanneum Research auf. Moderne Autos sind heute rollende (und nicht immer gut abgesicherte) Rechenzentren mit Potenzial zur Fremdsteuerung. Ungesicherte „intelligente“ Lichtschalter und ähnliche Devices können ganze Firewalls aushebeln. Deshalb gibt es das Projekt „IoT4CPS“ von Joanneum Research mit verschiedenen PartnerInnen aus Wirtschaft und Wissenschaft. Ziel ist es, cyberphysikalische Systeme durch eine Vielzahl an Maßnahmen sicherer zu machen. Zum Beispiel durch Sicherheitsvorgaben schon im Produktdesign, verbindliche Standards und Zertifizierungen, aufeinander abgestimmte Produktlebenszyklen und vieles mehr. Marksteiner plädierte für eine neue Bewusstseinsbildung: „Never trust a smart device.“

Cyber-Security für alle

BesucherInnenfragen wurden bei der anschließenden Podiumsdiskussion mit den Vortragenden beantwortet, die durch Security-Spezialist Manfred Aigner von Yagoba verstärkt wurden. Themen wie Zertifizierung, Hardware-Security oder die neue Datenschutz-Grundverordnung kamen ebenso zur Sprache wie einfache Möglichkeiten der Viren-Verbreitung, etwa durch Verstreuen verseuchter USB-Sticks auf Parkplätzen, wo PassantInnen sie einfach mitnehmen und weiterverwenden. Obwohl diese Vorgangsweise schon 2010 bei der weltweiten Verbreitung des Stuxnet-Computerwurms verwendet und darüber informiert sowie davor gewarnt wurde, funktioniert diese leider nach wie vor. Damit genau solche Dinge in Zukunft nicht mehr passieren, gab es bei MABiF #6 erstmals ein Pressegespräch mit den anwesenden ExpertInnen, um die Tragweite des Themas der breiten Öffentlichkeit näher zu bringen. Denn eines ist klar: Cyber-Security geht uns alle an.

  • Präsentationen (PDF) finden und nachfolgende Verweise Sie hier.
  • Fotos (© Steirische Wirtschaftsförderung SFG)