Industrie-Hacks: Alle Räder stehen still …

Industrieanlagen, die von IT mitgesteuert werden, können von Hackern manipuliert und geschädigt werden. Im Christian Doppler Labor für die Verbesserung von Sicherheit und Qualität in Produktionssystemen (CDL-SQI) erforschen Informatiker Edgar Weippl und sein Team Schwachstellen und Sicherheitsstrategien.

In großen Industrieanlagen werden Prozesse zunehmend von Software gesteuert. Diese cyber-physikalischen Produktionssysteme können – wie jede andere Software auch – manipuliert werden. Genau das soll durch Forschung, wie sie Edgar Weippl und sein Team von der Fakultät für Informatik im Christian Doppler Labor betreiben, verhindert werden. "Früher gab es an den Schnittstellen immer wieder Übergaben, die von Menschen bedient wurden, das führte zu einer automatischen Qualitätskontrolle. Diese Aufgabe übernehmen heute zunehmend softwarebasierte Tools", erklärt Weippl die Ausgangslage.

Das Besondere an diesen Produktionssystemen ist, dass sie über Jahrzehnte in Betrieb sind und immer wieder umgebaut werden. Weippl: "Andere cyber-physical systems, zum Beispiel im Smartphone, haben nur eine kurze Lebenszeit. In großen Industrieanlagen, die 50 Jahre laufen, stellen sich andere Herausforderungen." Ein Ziel ist daher, die Sicherheit und Qualität der Systeme bereits in ihrer Entwicklungsphase mitzuplanen und die Entwicklungsphase abzusichern, damit Angreifer*innen Schwachstellen nicht gleich von Beginn an miteinbauen können.

Sicherheitslücken erkennen

Sich mit Sicherheitslücken in Industrieprozessen zu beschäftigen, ist für Edgar Weippl eine logische Konsequenz der Erfahrungen der letzten Jahrzehnte: "Wir sehen, dass sich sehr viele Security-Schwachstellen immer wieder wiederholen. Vor 25 Jahren hatten PCs mit Windows-95-Betriebssystem massive Sicherheitslücken, die behoben wurden, dann folgten Smartphones, die am Anfang ebenfalls Schwachstellen hatten." Auch in der Automobilindustrie, die immer öfter mit cyber-physikalischen Systemen arbeitet, zeigte sich, dass Designfehler in Securitykonzepten massive Folgen haben – etwa, wenn Hacker Autofunktionen manipulieren.

Im Industriesektor versucht man nun, die Sicherheitsfragen proaktiv anzugehen. "Der Ansatz ist, hier nicht wieder so lange zu warten, bis etwas passiert. Zum Glück gab es bisher nur relativ wenige Manipulationen bzw. Hackerangriffe auf Industriesysteme", so Weippl.

Wirkt. Seit 1365.
Die Universität Wien kooperiert in der Forschung mit Wirtschaft, Kultur und Gesellschaft. Ihre Lehre bereitet jährlich rund 10.000 Absolvent*innen auf ihre Berufslaufbahn vor und regt sie zu kritischem Denken und selbstbestimmtem Handeln an. Mit dem Themenschwerpunkt "Wirkt. Seit 1365." zeigen wir Ihnen in verschiedenen Beiträgen, was die Universität Wien für unsere Gesellschaft leistet.

Security bedeutet auch Safety

Wie wichtig die Sicherung von Produktionssystemen ist, versteht man im Industrieumfeld immer öfter, trotzdem ist auch Überzeugungsarbeit gefragt. "Gerade auf Deutsch ist es nicht so leicht, den Unterschied zwischen 'Security' und 'Safety' klar zu machen, weil beide Begriffe mit 'Sicherheit' übersetzt werden", erklärt Edgar Weippl. Dass mangelnde Security im Sinne von "Schutz" auch mangelnde Sicherheit für die Firma und die Mitarbeiter*innen bedeutet, muss daher klar kommuniziert werden. "Ganz grundsätzlich soll den Industriepartner*innen vermittelt werden, dass heutzutage jede Firma eine Software-Firma ist und man daher auch die entsprechenden Sicherheitsstandards einhalten sollte."

Bewusstsein in der Industrie wächst

Das CD-Labor für die Verbesserung von Sicherheit und Qualität in Produktionssystemen (CDL-SQI) arbeitet aktuell mit zwei Industriepartnern – Stiwa und SMS group – zusammen, zwei weitere österreichische Partner kommen im Jänner 2021 noch hinzu: Euvic und Copadata. "Diese neuen Partner stellen Softwaretools für die Industrie her und haben erkannt, dass das Thema Sicherheit auch für sie eine wichtige Rolle spielt."

Die Absicherung von Industrieanlagen ist mittlerweile der Gegenstand verschiedenster Forschungsprojekten, mit der Absicherung des Entwicklungsprozesses von cyber-physical systems beschäftigen sich allerdings nur wenige. Hier setzt die Forschung des CD-Labors von Edgar Weippl an: "Wir versuchen, mögliche Angriffspunkte und geeignete Gegenmaßnahmen für den gesamten Lebenszyklus dieser Produktionssysteme zu betrachten."

Die Sicherheits-Expertise des Forschungszentrums SBA Research, an dem die Universität Wien beteiligt ist, wurde 2020 übrigens auch bei der Security-Analyse der "Stopp Corona"-App genutzt. Edgar Weippl leitete als Forschungsdirektor die politisch unabhängige Evaluierung der App. (bw)

Das Christian Doppler Labor für die Verbesserung von Sicherheit und Qualität in Produktionssystemen (CDL-SQI) wurde im Jänner 2018 eingerichtet und ist seit April 2020 an der Fakultät für Informatik der Universität Wien angesiedelt. Edgar Weippl ist Leiter der Forschungsgruppe Security & Privacy (SEC) der Fakultät für Informatik.