In der Bürowelt sind Viren, Würmer oder Trojaner schon lange bekannt. Je länger, je mehr sind auch Automatisierungssysteme in Industrie- und Elektrizitätsversorgungsanlagen externen Angriffen ausgesetzt. ABB forscht permanent an Lösungen, um solche komplexen Anlagen zu schützen. Einer der Experten für IT-Sicherheit in Prozessanlagen ist der ETH-Informatikingenieur Markus Brändle, Mitarbeiter des ABB-Forschungszentrums in Dättwil.
Eines ist sicher: Fertig wird Markus Brändle mit seiner Arbeit nie. Denn in seinem Arbeitsumfeld, der IT-Welt, suchen und finden Hacker stets neue Möglichkeiten und Methoden, um in fremde Systeme einzudringen und Schaden anzurichten. Was heisst: Auch die ABB-Spezialisten, die sich um die IT-Sicherheit von Automatisierungssystemen kümmern, sind permanent auf der Suche − nach Lücken und Schwachstellen in den komplexen Systemen. Nach Lösungen, um die Anlagen zu schützen. Und nach Argumenten, um Kunden vom Nutzen eines Sicherheitssystems zu überzeugen.
Das Risiko externer Angriffe sei nicht so gross wie bei Büronetzwerken. “Doch wenn etwas passiert, können die Folgen schwer wiegend sein“, sagt Brändle. Der Informatikingenieur nennt als Beispiele Blackouts, also Stromausfälle grossen Ausmasses, ebenso wie Störungen in Ölpipelines oder Ausfälle bei Fertigungsprozessen. Die Risiken nehmen laufend zu, da Automatisierungssysteme vermehrt eng mit betrieblichen Informationssystemen und externen Netzwerken verknüpft sind, was einen direkten Datenaustausch zwischen öffentlichen und halböffentlichen Netzen zur Folge hat.
Gegen den Cyberterrorismus
Was genau haben die Betreiber von Elektrizitätswerken oder Kunden in der Prozessindustrie zu befürchten? Brändle spricht von zufälligen und gezielten Angriffen: Mit “zufällig“ sind Viren, Würmer oder Trojaner gemeint. Gefahr droht jedoch auch von gezielten Angriffen, beispielsweise angedrohte Angriffe auf Leitsysteme verschiedener Länder. Seit solchen, jedoch vereitelten Erpressungsversuchen ist in den Vereinigten Staaten besonders im Energiesektor die IT-Sicherheit ein grosses Thema. Bis 2010 müssen sämtliche Elektrizitätswerke in den USA staatlich geforderte Richtlinien erfüllen, das heisst, die bestehenden Anlagen schützen.
ABB hatte geforscht, lange bevor die Nachfrage kam, bestätigt Brändle. Zwischen fünf und zehn Mitarbeitende sind es in Dättwil und anderen Forschungsstandorten von ABB, viele mehr noch in den einzelnen Geschäftsbereichen, die sich seit Jahren mit dem Thema Sicherheit im Netz befassen. Die Schwierigkeit: Der Kunde kann nicht einfach ein Produkt kaufen. Vielmehr müssen je nach Art und Grösse seiner Anlage und des bereits bestehenden Systems individuelle Lösungen erarbeitet werden. Ein aufwändiger, teurer Prozess. Und wenn alles läuft, geht der Aufwand weiter: Jedes Sicherheitssystem muss auch regelmässig gewartet werden.
Schaden vorbeugen
Mit dem Entwickeln hoch wirksamer Sicherheitssysteme ist die Arbeit für ABB jedoch nicht getan. Die hohen Kosten halten laut Brändle manchen Kunden davon ab, in die IT-Sicherheit zu investieren: “Es ist wie bei einer Versicherung: man schätzt die Risiken unterschiedlich ein.“ So kommt der Aufklärung und Sensibilisierung der Kunden grosse Bedeutung zu. Mit Erfolg, nehmen doch die Anfragen ziemlich kontinuierlich zu – und dies erst recht, seit auch bei Ausschreibungen zunehmend IT-Sicherheit ein Thema ist.
Ziel von ABB sei es, in sämtlichen Produktsystemen die Security zu integrieren. Erste Schritte sind getan – bereits jetzt werden viele Schutz- und Steuergeräte in einem ABB-internen Testcenter geprüft. Security soll auch für Kunden zum Muss werden. Brändle vergleicht. “Eine Anlage ohne Sicherheitssystem ist wie ein Auto ohne Airbag.“ Trotzdem weiss er: “Totale Sicherheit wird es nie geben. Sicherheitssysteme sind nämlich wie ein Sicherheitsgurt: Der Hersteller muss ihn einbauen, doch nützt er nur, wenn man ihn korrekt benutzt - und auch dann bleibt ein Restrisiko."