Startseite > Automation > Mit Softwareschutztechnik gegen Viren und Plagiatoren

Schadsoftware und Produktpiraterie

Mit Softwareschutztechnik gegen Viren und Plagiatoren

21. Mai 2012, 11:45 Uhr | Andreas Knoll

Oliver Winzenried, Wibu-Systems: »Auch in Zukunft werden die von Produktpiraten verursachten Schäden stark zunehmen.«

Das Problem der Produktpiraterie wird sich in den kommenden Jahren ebenso verschärfen wie die Bedrohung der Datensicherheit (Security) und damit auch der Maschinen- und Anlagensicherheit (Safety) durch Sabotage- und Spionage-Viren. Abhilfe ist also dringend nötig - Oliver Winzenried, Vorstand des Softwareschutztechnik-Herstellers Wibu-Systems, erläutert, wo die Gefahren liegen und wie sich die Unternehmen dagegen wappnen können.

elektroniknet.de: Die Viren Stuxnet und Duqu waren das Alarmsignal für Hersteller und Anwender von Automatisierungstechnik. Hat sich durch sie die Problemwahrnehmung in der Branche geändert, und haben sich die Unternehmen seither auf derartige Bedrohungen vorbereitet?
Oliver Winzenried: Mein Eindruck ist, dass sich die Hersteller von Automatisierungssystemen tatsächlich darauf vorbereiten. Vor allem große Automatisierungstechnik-Firmen haben das Problem erkannt und arbeiten intensiv daran, sofern sie nicht schon konkrete Lösungen anbieten. Ihre direkten Kunden allerdings, die Maschinen- und Anlagenbauer, müssen dafür noch stärker sensibilisiert werden. Viele von ihnen sehen nach wie vor keinen eigenen Handlungsbedarf, sondern denken, dass die Betreiber oder Kunden selbst für Security sorgen sollen, was diese meines Erachtens gar nicht leisten können. Security-Lösungen sind nicht von außen »anflanschbar« und müssen daher von Anfang an direkt in den Automatisierungssystemen integriert sein.
In jüngster Zeit ist es aber zu beobachten, dass sich auch die Maschinen- und Anlagenhersteller selbst für das Thema Security öffnen.

Welche technischen Möglichkeiten gibt es heutzutage, um Automatisierungssysteme wirksam vor Manipulationen durch Schädlinge wie Stuxnet und Duqu zu schützen?
Die technischen Möglichkeiten sind vielfältig - die wichtigsten Stichworte lauten Zugriffsschutz sowie Schutz gegen Manipulation durch Verschlüsselung und Signatur des Codes und optional auch der Daten. Als sinnvoll erwiesen hat sich zudem ein Whitelisting-Verfahren für den Programmcode, damit in der Maschine nur eine Kombination von Code- und Software-Komponenten laufen kann, die vom Hersteller der Maschine oder vom Betreiber des Systems als zuverlässig freigegeben wurden. Was zusätzlich an Code oder Software integriert wird, funktioniert dann nicht.
Häufig sind diese Verfahren nicht separat, sondern kombiniert anzutreffen.

Inwieweit ist die Datensicherheit (Security) eine Voraussetzung für zuverlässige Maschinensicherheit (Safety)?
Das Thema Safety ist präzise mittels internationaler Normen und Standards geregelt. Für den Security-Aspekt ist dies momentan noch nicht der Fall, auch wenn es erste Ansätze gibt. Je offener und vernetzter aber die Automatisierungssysteme sind, desto größer ist das Risiko der Manipulation. Und wenn die Systeme manipulierbar - also »unsecure - sind, ist es mit der Safety auch nicht mehr weit her. Damit die Safety-Einrichtungen wie vorgesehen funktionieren, muss also sichergestellt sein, dass sie sich nicht manipulieren lassen.
Erste Standards für Security befinden sich in der Definitionsphase, und zwar die ISA99-Standards der International Society of Automation (ISA). Sie bestimmen Security Assurance Levels (SAL) analog zu den bekannten Safety Integrity Levels (SIL). Ich halte die SAL für einen guten Ansatz, weil sie Produkte vergleichbar machen und für klar definierte Security-Niveaus stehen, denen die Produkte zugeordnet sind. Hersteller und Betreiber von Automatisierungssystemen können dann sehen, inwieweit ihre Safety-Lösungen auch vom Security-Aspekt her abgesichert sind.
Eindeutige Security Levels festzulegen, ist sehr wichtig, aber es müssen auch praktikable Methoden definiert werden, um die gewünschten Levels zu erreichen. Hierzu gibt es meines Erachtens noch nichts. Ein Parallelentwurf zu den ISA99-Standards ist die IEC-Norm 62443.

Wie groß ist das Problem der Produktpiraterie derzeit in Deutschland und Europa?
Der Schaden geht in die Milliarden, und deutsche Unternehmen sind besonders betroffen, weil viele von ihnen in bestimmten Nischen Weltmarktführer und Innovationsführer sind. Laut der neuesten Studie des VDMA vom Frühjahr 2012 ist durch Produktpiraterie allein im deutschen Maschinen- und Anlagenbau ein Schaden von etwa 7,9 Milliarden Euro oder 4 Prozent des Gesamtumsatzes entstanden. Dies bedeutet einen Anstieg von 24 Prozent gegenüber der letzten Umfrage im Jahr 2010. Die Produktpiraterie kostet also in der Branche knapp 37.000 Arbeitsplätze. Dabei ist China als Herstell- und Vertriebsregion für Plagiate erstmals rückläufig. Plagiate aus Deutschland legen stark zu.

Inwieweit hat sich die Gefahr für Automatisierungstechnik-Hersteller, Opfer von Produktpiraterie zu werden, während der vergangenen Jahre in Deutschland und EU-Europa vergrößert?
Auch in Zukunft werden die von Produktpiraten verursachten Schäden stark zunehmen, so dass aktives Handeln zwingend erforderlich ist. Leider eröffnet die Standardisierung, so sinnvoll sie ansonsten ist, den Produktpiraten zusätzliche Chancen. Durch den zunehmenden Einsatz standardisierter (Automatisierungs-)Komponenten, den weltweiten Run auf Bauteile und die Lieferengpässe hat sich das Problem verschärft. Die Plagiate werden in Aussehen und Form immer perfekter, so dass der Betrug oft sehr spät entdeckt wird - in vielen Fällen erst, wenn die Systeme und Maschinen in Betrieb gehen.