Cybersecurity in der Praxis: Nicht mit Kanonen auf Spatzen schießen!

Das Thema Cybersecurity ist nicht erst seit dem Inkrafttreten der ISO 8102-20:2022, die im August 2022 erschienen ist, in der Aufzugsbranche ein Begriff. Die Probleme und Aufgaben, die das Thema mit sich bringt, sind jedoch nicht neu.

Von Roy Schneider

In meiner eigenen beruflichen Laufbahn gab es vor 18 Jahren den ersten Fall eines Angriffs auf Aufzugsanlagen über das analoge Telefonnetz – er geschah aus recht banalen Gründen. Ein Mitarbeiter hatte die Aufzugsfirma im Unfrieden verlassen. Er nutzte sein Wissen und die Ferndiagnosesoftware auf seinem PC, um die Anlagen anzurufen und die Außensteuerung abzuschalten.

Zu dieser Zeit begann auch die Diskussion, wie man mit Zugangsdaten umgehen muss, wenn Mitarbeiter das Unternehmen verlassen. Bereits damals haben wir uns die Frage gestellt, was man aus der Ferne eigentlich ändern darf, ohne dass irgendjemand eine Norm erwähnt hätte.

Die heutige Diskussion über Cybersecurity ist also nicht neu, aber logisch. Denn solche Zugänge für Wartung und Support bei Inbetriebnahme und Reparatur sind heute viel weiter verbreitet als zu diesen Zeiten, als nur wenige Anlagen über analoge Modems erreichbar waren.

Ein Ausflug in die Normung

Ein kurzer Ausflug in die ISO 8102-20 ist jetzt zum Verständnis nötig. In der Norm gibt es sogenannte "Domänen", das sind Anforderungslevel. Die Norm benennt Komponenten nicht direkt, die Zuordnung ergibt sich aus der Verwendung und Aufgabe der einzelnen Komponenten. So sind die meisten Aufzugskomponenten, wie z. B. die Steuerung oder der Antrieb, nach dieser Norm der Domäne "Essential" zuzuordnen (siehe Kasten).

Denn wenn Komponenten Aufgaben der funktionalen Sicherheit übernehmen und mit I/O und Datenbus verbunden sind, ist eine Zuordnung in eine niedrigere Domäne schwer zu begründen. Die Domäne "Others" wird eigentlich nur von Komponenten belegt, die weder mit dem Bussystem der Anlage noch mit deren Datenpunkten (IO) verbunden sind, also sich praktisch nur die Stromversorgung teilen.

In der Domäne "Essential" wird der Sicherheitslevel 2 (siehe Tabelle) gefordert. Für diesen Sicherheitslevel 2 ist Folgendes definiert: "Verhindern der nicht autorisierten Offenlegung von Informationen, an eine danach aktiv, mit einfachen Mitteln, bei geringem Aufwand, allgemeinen Fertigkeiten und geringer Motivation suchenden Einheit."

Nicht mit Kanonen auf Spatzen schießen!

Definition der Sicherheitslevel auf Basis der Fähigkeiten des Angreifers. Foto: © Roy Schneider

Werfen wir einen Blick auf die Tabelle. Der Aufzug liegt hier im Mittelfeld. Er ist nicht unbedingt der wichtigste Teil der Infrastruktur. Natürlich müssen bestimmte Anlagen sicherlich anders betrachtet und bewertet werden (Aufzüge, die in einen Operationssaal fahren oder Munition auf einem Schiff bewegen). Darüber hinaus gilt: Der Feld-, Wald- und Wiesenaufzug im Wohnhaus ist auch heute nicht betroffen – das wäre wie mit Kanonen auf Spatzen zu schießen.

Die Einordnung in die Domäne "Essentials" bringt automatisch die Einstufung in den Sicherheitslevel 2 mit sich – das bezieht sich auf die Fähigkeiten der Angreifer. Entgegen der aktuellen Diskussion in der Aufzugsbranche werden damit staatliche Akteure, die verdeckt und mit hohem Ressourceneinsatz agieren, nicht erfasst. Ebenso wenig Angriffe durch organisierte Kriminalität, Geheimdienste oder deren militärische Ableger.

Schon eher gemeint sind Angreifer wie ein Jugendlicher, der das Hacken eines Aufzugs als spannende Aufgabe ansieht, oder Personen, die sich durch einen Angriff auf den Aufzug Zugang zu Räumlichkeiten verschaffen wollen. Beide Arten von Angreifern benötigen jedoch lokalen Zugang, müssen in geschlossene Räume eindringen und der Schaden ist auf die Anlage selbst begrenzt.

Dies fällt dann eher in den Bereich des Cybervandalismus oder der Kriminalität und ist somit ein Fall für die Strafverfolgung. Eine wirkliche Bedrohung sind neben den "Hackern" die "Crawler", also automatische Skripte, die nach offenen Netzwerkports suchen, um anzugreifen und Schaden anzurichten.

Angriffe auf die Transportinfrastruktur

Wenn wir von Cybersicherheit im Sinne der Norm sprechen, sind eher großflächige Angriffe auf die Transportinfrastruktur gemeint. Mit anderen Worten: Angriffe, die aus sicherer Entfernung erfolgen. Angriffe über die Fernwartungsverbindungen, also die Verbindungen zwischen dem Aufzug und einer Cloud, sind dafür am besten geeignet. Das Verhältnis zwischen Aufwand und erreichbarem Schaden ist für den Angreifer attraktiv und die Hemmschwelle gering.

Deshalb müssen wir Softwarehersteller uns die Fragen gefallen lassen:
• Sind die Einstellungen zur funktionalen Sicherheit, also z. B. die Schützkontrolle, aus der Ferne veränderbar?
• Wie können solche Parameter generell geschützt werden?
• Wo dokumentieren wir, welche Parameter, welche Passwortebene benötigt wird und welche Parameter oder welche Assistenten nur vor Ort veränderbar oder nutzbar sind?
• Wie können wir vorgenommene Parameteränderungen so dokumentieren, dass sie später möglichst in der zeitlichen Abfolge nachvollziehbar sind?
• Wichtig sind natürlich auch Empfehlungen zur Cybersicherheit an die Anwender, z. B. dass Passwörter, die wichtige Einstellungen sichern, anlagenspezifisch sein sollten und ein unternehmensweites Passwort nur für Wartungsaufgaben verwendet werden sollte.
• Aber auch der Cloud-Anbieter muss sich Fragen gefallen lassen, z. B. wie er die Zugangsdaten gesichert hat und wie er die Kunden im Verdachtsfall informiert. Solche Fragen können übrigens mithilfe von Rollendiagrammen (RACI) und Flussdiagrammen anschaulich beantwortet werden.

Und die Wartungsunternehmen?
• Das Wartungsunternehmen, das die Cloud nutzt, muss sich fragen, ob es intern Prozesse etabliert hat, die festlegen, wie es Cloud-Zugänge von ausscheidenden Mitarbeitern löscht.
• Wer ist im Unternehmen eigentlich für die Verwaltung von Fernzugängen zuständig? Wer behält also den Überblick, um im Verdachtsfall Zugänge zu ändern oder zu sperren?
• Was darf welcher Mitarbeiter? Es geht darum, dass immer nur die der Aufgabe entsprechenden Zugriffsrechte vergeben werden (Minimierung der Zugriffsrechte).
• Ähnlich wie beim Datenschutz sollte es eine benannte Person/Stelle im Unternehmen geben. Sie ist dafür verantwortlich, dass es im Verdachtsfall nicht zu unnötigen Verzögerungen kommt, weil nicht klar ist, wer wie reagieren muss.
• Bei klassischen (Metall-)Schlüsseln ist das Hin- und Herschieben von "Zugängen" einfacher, sofern niemand physische Kopien der Schlüssel anfertigt. Bei digitalen Zugängen ist das weniger klar. Passwörter können nicht nachträglich aus den Köpfen entfernt werden.

Der Autor ist Senior Software Ingenieur bei Thor, einem Steuerungs-Softwarehersteller.

Die Domänen in der ISO 8102-20:2022: Others: Zusätzliche Funktionen, die nicht mit den Bereichen Sicherheit, Essentials oder Alarm in Zusammenhang stehen.
Alarm: Geräte zur Erkennung eines Personeneinschlusses, zum Rufen von Hilfe und zur Rettung von Passagieren im Falle eines Personeneinschlusses.
Essentials: Funktion oder Fähigkeit, die erforderlich ist, um die Verfügbarkeit des Aufzugs, der Rolltreppe oder des Fahrsteigs sowie die Einhaltung der Sicherheitsvorschriften sicherzustellen, und die nicht zu den Funktionsdomänen "Sicherheit" oder "Alarm" gehört.
Safety: SIL-zertifizierte Steuerfunktionen