sps ipc drives 2017

•••6••• Interview „Fehler bei IT-Sicherheit nicht wiederholen“ DIEMESSE im Gespräch mit Dr. Edgar Weippl, IT-Security-Experte an der TU Wien Herr Dr. Weippl, die jüngsten Enthüllungen um neue WLAN- Schwachstellen („KRACK“) führen deutlich vor Augen, dass der IT-Si- cherheit hohe Aufmerksamkeit zu widmen ist. Ist diese Denkweise in der Industrie präsent? Die Gefahr ist vielen grundsätzlich bewusst und vor allem auch für neue Produktionsanlagen wesent- lich. Aktuell ist die Gefahr noch nicht so groß und allgegenwärtig wie in anderen Bereichen (zum Beispiel Banken), weil die verwen- deten Systeme wesentlich länger im Einsatz sind (sprich im Schnitt deutlich älter sind). Welche Gefahren drohen Unter- nehmen im Zeitalter des Internet of Things (IoT) – einerseits mit Blick auf äußere Hackerangriffe, andererseits hinsichtlich vorsätz- lich eingebauter Schwachstellen oder Backdoors? Schon vor Jahren haben wir ge- sehen, dass Schadsoftware wie Stuxnet entwickelt wird, um große Industrieanlagen gezielt anzugreifen. Ebenso wurden in Hardware Backdoors be- reits eingebaut. Bezogen auf Produktionsanlagen sind mir keine Berichte be- kannt, dass so etwas schon passiert ist; Schwachstel- len gleich beim Design ein- zubauen, ist allerdings der nächste logische Schritt. Beispielsweise wären sehr profitable Ransomware-An- griffe denkbar. Sie fordern, dass schon bei der Entwicklung von Indus- trieanlagen Sicherheitsas- pekte unbedingt zu berück- sichtigen sind. Welche Ansätze gibt es hier? Wir wissen aus der Software- Industrie, dass ein sicherer Ent- wicklungsprozess die Qualität und Sicherheit von Software maßgeb- lich steigert. Vor mehr als zehn Jahren hat Microsoft damit be- gonnen und wenn man beispiels- weise Windows 95 mit aktuellen Windows-Versionen vergleicht oder den Webserver IIS 5 mit der aktuellen Version, sieht man, dass das offensichtlich funktioniert hat. Der IT-Sicherheitsexperte Gary Mc- Graw hat mit dem beschreibenden Building Security In Maturity Mo- del (BSIMM) einen schönen Über- blick über verwendete Methoden geschaffen. Ein paar Jahre später: Android als Betriebssystem mobi- ler Geräte hatte anfangs ähnliche Probleme wie Windows 95 und zwischenzeitlich wurden sie auch weitgehend gelöst. Und noch ein paar Jahre spä- ter: In Autos wurden zahlrei- che „alte“ Schwachstellen gefunden (Buffer overflows, unsigned updates) und die Kryptografie, die für Funk- Autoschlüssel verwendet wurde, war teilweise atem- beraubend schlecht. Die Trennung zwischen IT- Komponenten und mecha- nischen Komponenten ist in der Industrie immer weni- ger klar möglich. Welche Heraus- forderungen bringt dies aus der Sicherheitsperspektive mit sich? Aus Angreifersicht ist es span- nend, neue Möglichkeiten durch die Kombination von IT und „klas- sischen“ Regelkreisen auszunut- zen. Wir haben da mit „Grid Shock: Coordinated Load-Change Attacks on Power Grids” eine recht nette Arbeit, die sich mit „klassischen“ (sprich nicht smarten) Grids be- schäftigt. Ähnliche Szenarien sind für andere Regelkreise denkbar. Wir starten gerade Forschungspro- jekte in dem Bereich. Welche Bedeutung haben schnelle und aktuelle Updates bei Industrie- anlagen, die auf lange Betriebszeit ausgelegt sind? Ein sehr guter Punkt. Das ist in der Tat ein Beispiel dafür, dass wir standardisierte Security-Lösun- gen aus der Software-Industrie nicht einfach übernehmen kön- nen. Einerseits wird die Abschir- mung von Systemen eine Lösung sein und andererseits sehen wir gerade in diesem Aspekt auch Forschungsbedarf. Beispielsweise können Blockchains bei der Nach- vollziehbarkeit und Audits sinn- voll sein, aber wie man die Ideen „zukunftssicher“ macht, sodass die Systeme zur Nachweisbarkeit noch in 50 Jahren funktionieren, ist noch nicht klar. Auf der SPS IPC Drives stellen Sie Ih- re Konzepte unter dem Motto „Si- cherheit und Qualität für Industrie 4.0“ in der Halle 6 am Stand 230 vor. Welche weiteren Aspekte rü- cken Sie dabei in den Vordergrund? Für uns stehen langfristige For- schungskooperationen im Vor- dergrund. Wir können gemein- sam mit Industrieunternehmen daran arbeiten, dass die zahlrei- chen Fehler im Bereich Sicherheit nicht erneut wiederholt werden, wie wir es beispielsweise bei der Automobilindustrie gesehen ha- ben. Bereits bei der Entwicklung von Industrieanlagen müsse man heute IT-Sicherheitsaspekte be- rücksichtigen, betont der Wie- ner Security-Experte Dr. Edgar Weippl. Warum standardisierte Security-Lösungen aus der Soft- ware-Industrie dabei nicht ein- fach übernommen werden kön- nen, erläutert er im Gespräch mit DIEMESSE . Dr. Edgar Weippl, Institut für Softwaretechnik und Interaktive Systeme, Technische Universität Wien, SBA Research Foto: TU Wien IT-Sicherheit ist gerade in der Produktionstechnik ein wichtiges Thema. Foto: TU Wien Spezialist für Schneckengetriebe Umfangreiche Lagerhaltung // Versand innerhalb von 24h Leistungsstarke Technik: // 2 - 230 Nm // 0,5 - 1400 U/min Spielarme Planetengetriebe ELV 1P ELV VWX¿J Produktergänzung durch passende Umrichter für zentrale und dezentrale Anwendung Halle 1, 1-436 ruhrgetriebe.de 28.- 30.11.2017 RUHRGETRIEBE KG