Moderne Lager setzen vermehrt auf intelligente und vernetzte Systeme, um den Anforderungen von Unternehmen und Verbrauchern an die Effizienz und Geschwindigkeit in der Logistik gerecht zu werden. Doch der Einsatz stärkerer Prozessautomatisierung und digitaler Technologien wie IIoT (Industrial Internet of Things) braucht auch neue Konzepte für integrierte Sicherheit. Die Cyber-Angriffsfläche ist bei vernetzten IIoT-Anwendungen und -Komponenten gegenüber klassischen „Air-Gapped“- Industrieanlagen deutlich größer – das bietet Cyberangreifern neue Optionen.
Lager boomen – nicht nur vor dem Hintergrund der globalen Covid-Pandemie: Rund ein Viertel der neu errichteten Nutzflächen in deutschen Wohngebäuden entfiel 2018 auf Warenlagergebäude. Kein Wunder, sind Lager doch neuralgische Punkte in der Logistik, der Intralogistik und der Lieferkette von Unternehmen. Praktisch jedes Unternehmen ist auf funktionierende Supply Chains und Lösungen für eingehende Materialien sowie ausgehende Produkte angewiesen. Oftmals werden in Lagern Tausende bis Zehntausende von Komponenten, Produkten und Hilfsmitteln vorgehalten. Und in Zeiten des boomenden E-Commerce spielen effiziente Lagerprozesse und schnelle Durchlaufzeiten eine wichtige Rolle für den Erfolg am Markt.
So ist für Online-Konsumenten längst schon die Geschwindigkeit der Artikellieferung eine entscheidungsrelevante Größe: Bekomme ich das neue Mobiltelefon oder das neue Hemd innerhalb von ein oder zwei Tagen oder dauert der Transport länger? Und apropos Hemd – gerade in der Modebranche kennt die Supply Chain durchaus zwei „Richtungen“: In den entsprechenden Warenlagern werden nicht nur im großen Maßstab Waren von Herstellern für Online-Konsumenten und Filialen angeliefert und konfektioniert, sondern hier kommen auch die Retouren an, die Konsumenten an die Händler zurückgeben.
Aber auch im B2B-Umfeld und in der Intralogistik spielen Lager eine unternehmenskritische Rolle. Supply Chains und Just-in-Time-Delivery sind ohne effiziente Lagersysteme unvorstellbar. Kein Mitarbeiter findet heute noch manuell Artikel in Warenhäusern, die Hunderte und Tausende von Regalmetern umfassen – und das in drei Dimensionen. Hochregallager, Förderbänder und Gabelstapler sind State of the Art in modernen Lagern und stellen die Produktionsfähigkeit in der Fertigung sowie die Lieferfähigkeit sicher.
Hinter der Optimierung der Lagerlogistik stecken hochentwickelte Lagersysteme, die die Abläufe hochautomatisiert steuern. Mit der digitalen Transformation ziehen immer häufiger IIoT-Komponenten wie intelligente Sensoren, Scanner und Kameras im Lager ein. So kommt heute typischerweise eine mobile Datenerfassung (MDE) zum Einsatz. Dafür spielen sowohl die Vernetzung über WLAN (und zukünftig über 5G), als auch proprietäre Funktechnologien, RFID-Detektion/ RFID-Tags und Barcodes eine wichtige Rolle.
Weitere Technologien, die in den modernen Lagerhäusern der Logistik 4.0 verwendet werden, sind autonome Lagersysteme, die auf autonome Transportroboter (AGV, AMR) und fahrerlose Transportsysteme zurückgreifen. Die zahlreichen Aktoren, Roboter und Drohnen können ohne menschliches Eingreifen jegliche Aufgaben erledigen, z. B. das Einlagern von Produkten an spezifizierten Lagerorten oder die Vorbereitung von Kundenbestellungen für den Versand.
Das Scannen eines Barcodes ermöglicht die Identifikation eines Artikels, der dann entweder per Gabelstapler oder Fördertechnik an seinen Lagerort transportiert wird. Zuletzt werden der Artikel und sein Lagerort über entsprechende Barcodes im System registriert, so dass er für ein effizientes Supply Chain Management wiedergefunden werden kann. Im Leitstand entsteht so Transparenz über den Lagerbestand. Verantwortliche erfassen auf dieser Basis aus den Systemen Kernkennzahlen wie Anzahl der Einlagerungen, Kapazitätsauslastungen und Einlagerungs- bzw. Durchlaufzeit für eine reibungslose Lieferkette. Ohne IT-Unterstützung und Prozessautomatisierung (Operative Technologie, OT) sind ein modernes Lagermanagement und betriebliche Effizienz in großen Lagern heute nicht mehr möglich.
Die enge Kombination von IT-Systemen und OT-Komponenten (Konvergenz) macht gerade Lagersysteme potenziell anfällig für Störungen. Selbst der Ausfall einzelner Technologien oder Komponenten kann zu schwerwiegenden Betriebsstörungen im Lager und der gesamten Lieferkette führen, beispielsweise wenn Transportfunktionen für die höheren Etagen von Hochregallagern ausfallen, in denen dringend benötigte Materialien liegen. Solche Ausfälle können durch fehlgeschlagene Updates ausgelöst werden – aber immer häufiger geraten Lagersysteme auch in das Visier professioneller Cyberkrimineller. So zeigen aktuelle Studien, dass etwa die Hälfte aller Cyber-Angriffe nicht die klassische IT, sondern zumindest auch die Operative Technologie bzw. die Prozessautomatisierung als Ziel haben.
Das Problem: Während IT-Systeme häufig durch Maßnahmen für die IT -Sicherheit umfassend geschützt sind, wird in den Systemen der Operational Technology das Thema Security bisweilen stiefmütterlich behandelt. Das ging bis vor einigen Jahren gut, denn häufig waren Lagersysteme ausschließlich „intern“. Das Abschließen der Türen der Lagerhalle sorgte für ein passendes Maß an Sicherheit. Doch mit der stärkeren Digitalisierung und Vernetzung sowie den damit verbundenen zusätzlichen Möglichkeiten für externe Zugriffe, z.B. über Systeme, Tools und Software von Lieferanten, aber auch Drahtlos-Netzwerke und IIoT, ergeben sich neue Potenziale für Angriffe. Virtuelle Eingangstore die genauso „abgeschlossen“ oder zumindest kontrolliert werden müssen.
Cyber-Angreifer haben im Umfeld der Prozessautomatisierung unterschiedliche Ziele. Dabei nutzen die Angreifer Schwachstellen in der Cyber Security aus, über die Schadsoftware in die Unternehmenssysteme gespielt wird. Häufig wird der Schadcode in zip- oder rar-Files versteckt. Auch über USB-Sticks dringt immer wieder Schadsoftware in Unternehmen ein. Beliebte Kanäle für das Einschleusen von Malware sind auch Nachrichten, die URLs enthalten, die dann über Backdoors weitere Schadsoftware installieren. Aktuell boomen u.a. Ransomware-Angriffe, die Produktionssysteme oder Lagerverwaltungssysteme „gefangen“ nehmen und außer Betrieb setzen, bis Lösegelder gezahlt werden. Aber auch „stille Angriffe“, wie das Ausspähen vertraulicher unternehmensinterner Informationen, sind häufig zu beobachten.
In der Regel führen zwei Wege in das Lager: Der „klassische“ Zugriff erfolgt über bspw. eine Phishing-Attacke, die Zugriffe auf die Office-IT erlaubt. Mit dem Zugriff in die Office-Domäne können dann die Lagermanagement-Systeme erreicht werden, die in der Regel in der Office-Domäne angesiedelt sind. Mit dem Zugriff auf diese Management-Systeme können u.a. Bestellungen manipuliert werden, so dass die Empfänger falsche Artikel oder falsche Mengen erhalten – so könnten beispielsweise verderbliche Güter wie Tiefkühlprodukte, aber auch Impf-Seren ausgeliefert werden, die beim Empfänger nicht in der entsprechenden Menge gelagert werden können. Dazu sind nur einfache Manipulationen existierender Prozesse nötig (der Austausch von Artikelnummern oder Bestellmengen).
In einem Alternativszenario können Angreifer über Remote-Wartungszugriffe (von Anbietern oder Servicefirmen) direkt Steuerungssysteme wie OPC-UA-Server auf der Leitebene erreichen. Von dort ist der Zugriff auf die Steuerungs- und Shopfloor-Ebene möglich, wo über die Änderungen an Threshold-Parametern Safety-Mechanismen außer Kraft gesetzt werden. Das Resultat können Personenschäden oder Schäden an der Lagerinfrastruktur sein – wenn cyber-physische Systeme gestört werden und autonome Roboter beispielsweise gegen Regale fahren.
Lagerbetreiber brauchen eine höhere Transparenz im Hinblick auf die eingesetzten Technologien, um die Vorgänge im Lager besser aus allen Richtungen zu verstehen und nachzuvollziehen sowie auf dieser Basis qualifizierte Sicherheits-Entscheidungen zu fällen. Das bedeutet im ersten Schritt eine stärkere Überwachung ähnlich der des klassischen Cyber-Umfelds. Zu den häufigsten Security-„Baustellen“ im Lager zählen unabgesicherte Remote-Zugänge, die beispielsweise den Zugriff auf Förderanlagen oder Hochregale erlauben, aber auch der breite Einsatz unzureichend abgesicherter verschiedener Funktechnologien.
Darüber hinaus fehlt es an Transparenz bzgl. eingesetzter Software. So ist die Steuerungssoftware in Lager-Komponenten aus vielen Modulen unterschiedlicher Quellen zusammengesetzt, ohne dass die Unternehmen darüber einen Überblick hätten. Liegt beispielweise eine Schwachstelle in einem Netzwerktreiber vor, erfahren die Verantwortlichen im Lager dies häufig nicht, weil sie keine Bill of Materials der eingesetzten Komponenten haben. Sie können nicht nachvollziehen, welche Anlagen oder Geräte betroffen sind und sie können damit auch die entstehenden Risiken nicht abschätzen oder das Patching der Schwachstelle gezielt planen.
Neben diesen technischen Herausforderungen ist es häufig aber auch die starke Konvergenz gerade im Lagerbetrieb, die Verantwortlichen Kopfschmerzen bereitet: Bislang fehlen häufig noch Ansätze, die eine professionelle Datensammlung der IoT-Anwendungen sowie aus den IIoT-Systemen mit der Interpretation der Auswirkungen von Anomalien zusammenführen. Denn Daten können Sensoren und IIoT-Lösungen im OT-Netzwerk durchaus einsammeln, aber welche Bedeutung haben auftretende Anomalien? Das können IT-Verantwortliche nicht bewerten. Dazu brauchen sie die Expertise der Prozessverantwortlichen. Konvergenz bedeutet also auch, das Zusammenführen von Know-how im Unternehmen.
Um sich vor Bedrohungen zu schützen, sollten Verantwortliche die existierenden Sicherheitsmechanismen für die Lagersysteme prüfen und ggfs. nachbessern. Auch im OT-Umfeld können mittlerweile einige Sicherheitsverfahren adaptiert werden, die sich in der IT bewährt haben. Der Auftakt für ein zukunftsweisendes Schutzkonzept sollte eine rigorose Analyse der Situation sein, in die auch die internen Verantwortlichkeiten, Prozesse und zu erfüllenden Normen einfließen. So kann unter bestimmten Umständen auch ein KRITIS-Audit notwendig sein, beispielsweise bei der Lagerung von Medikamenten. Ein Workshop mit externen Experten kann hier helfen.
Intrusion Detection Systeme (IDS) sind ein absolutes Muss, um Klarheit über die Vorgänge im OT-Netzwerk zu haben. Aber auch eine Netzwerk-Segmentierung kann wichtige Beiträge leisten, um die Auswirkungen von Angriffen zu minimieren. Die Netzwerk-Segmentierung kann über moderne OT-Firewalls erfolgen. Diese sind auch in der Lage, die im Lagerbereich benutzten Protokolle wie OPC-UA zu „lesen“. Sie können anomalen Verkehr, aber auch Pakete mit schädlichem Code identifizieren und isolieren.
Für eine umfassende Absicherung der Lagersysteme sollten neben IDS und Netzwerk-Segmentierung auch starke Maschinen-Identitäten implementiert werden. Darüber hinaus leisten sichere Lösungen für Predictive Maintenance für die häufigen Remote-Maintenance-Aufgaben wichtige Beiträge, um die Security Levels vernetzter Lagerhäuser zu erhöhen.
