Security by Design
Werkzeugmaschinen haben einen hohen Bedarf an IT-Sicherheit.
Es ist erst wenige Wochen her, da warnte das deutsche Bundesamt für Sicherheit (BSI) vor einer „kritischen Schwachstelle“ in der weit verbreiteten Java-Bibliothek Log4j. Diese Schwachstelle sei „trivial ausnutzbar“ und ermögliche eine „vollständige Übernahme des betroffenen Systems“, so die Meldung weiter.
Wenn eine solche eine Cyber-Sicherheitswarnung der höchsten Warnstufe ausgerufen wird, ist die Industrie zu Recht alarmiert. Es ist der Albtraum vieler Unternehmen. Zwar steht das mögliche Ausmaß der Bedrohungslage noch nicht fest, weil Hacker zunächst einen Code im System ablegen und erst nach Wochen oder Monaten aktivieren könnten. Im VDW (Verein Deutscher Werkzeugmaschinenfabriken) ist der Alarm jedoch Wasser auf die Mühlen derjenigen, die gerade mit Hochdruck an einem Leitfaden zur methodischen Umsetzung von IT-Sicherheit an Werkzeugmaschinen arbeiten und branchenweit für mehr Security werben.
Wachsende Bedrohungslage
Nach Angaben von Prof. Felix Hackelöer, Professor für Smart Automation an der Fakultät für Informatik und Ingenieurswissenschaften der Technischen Hochschule Köln, wirft die Sicherheitslücke von Log4j ein Licht auf die wachsende Bedrohungslage, die auch unmittelbar auf die Industrie zielt. In der Informationstechnik betreffen Fehler und Schwachstellen wegen der großen Zahl an Implementierungen schnell viele Systeme, so Hackelöer. Das gelte vor allem für nicht unmittelbar an der Wertschöpfung beteiligte Standardkomponenten, wie etwa im Fall Log4j die Logging-Funktionen.
Ewiger Wettlauf
Eine Flucht in weniger verbreitete Software-Systeme ist für Hackelöer jedoch keine Option. „Der hohe Skalierungsfaktor der IT ist Fluch und Segen zugleich“, erläutert der Wissenschaftler. Die millionenfache Verbreitung sorge neben einer hohen Kosteneffizienz schließlich auch dafür, dass entsprechend viele User mit der Software arbeiten und Schwachstellen relativ schnell erkannt und durch Updates geschlossen werden könnten.
Es bleibt jedoch der ewige Wettlauf mit Hackern und der Gefahr, dass sensible Daten in falsche Hände geraten. In der Folge werden Unternehmen erpresst oder ausspioniert, beides könne existenzbedrohende Ausmaße annehmen. Dagegen helfe nur wirksamer Selbstschutz, und zwar nach außen und nach innen. Es gebe nämlich auch eine Bedrohungslage in den Unternehmen selbst, etwa durch allzu sorglosen Umgang mit Maschine und Peripherie sowie bewusst oder unbewusst hervorgerufene Manipulationen.
IT-Sicherheit geht alle an
Im Jahr 2021 wurde in der Abteilung Forschung und Technik des VDW ein erster Leitfaden „IT-Sicherheit an Werkzeugmaschinen“ erarbeitet, der sich mit praktischen Tipps in erster Linie an Anwenderinnen und Anwender richtete. Daran war auch Hackelöer als beratender Experte beteiligt. Zugleich befasst sich der Arbeitskreis 2 Steuerungs- und Systemtechnik des VDW-Forschungsinstituts mit Sicherheitsthemen. Inzwischen ist ein weiterer Leitfaden in Arbeit, der sich diesmal an Produzierende von Werkzeugmaschinen und Fertigungsanlagen richten soll.
Sicherheit als Gesamtkonzept
„Wir hatten uns zunächst vor allem auf die funktionale Sicherheit, also die Sicherheit von Personen an der Maschine konzentriert und versucht, diesen von der IT-Security zu trennen“, erläutert Eberhard Beck, Leiter Steuerungstechnik der Index-Werke, Esslingen, und Vorsitzender des VDW-Arbeitskreises 2. Inzwischen sei jedoch klar, dass die funktionale Sicherheit einer Maschine nur aufrechterhalten werden kann, wenn die IT-Security funktioniert. „Das Thema dringt in alle Bereiche ein“, stellt Beck fest, „und ist weder abgrenzbar, noch auf andere abzuwälzen. Jeder muss sich damit befassen.“
