Cybersecurity Industrie 4.0
Vernetzte Produktionsumgebungen richtig absichern
Technische und mentale Sicherheitsvorkehrungen
Ein Beitrag von Eric Dreier, Business Development Manager, Axians Deutschland
Die Zeiten, in denen die Operational Technology (OT) eine nach außen abgeschottete Welt war, sind vorbei. Durch die Vernetzung mit der IT und dem Internet ist sie heute genauso angreifbar wie ein Bürocomputer. Allerdings hält eine Industrie-4.0-Umgebung einige zusätzliche Herausforderungen bereit, die Unternehmen beim Absichern meistern müssen.
Als größte Bedrohung sehen Industrieunternehmen Hackerattacken, insbesondere DDoS-Attacken (Distributed Denial of Service), wie aus einer Umfrage von IDG Research Services hervorgeht: 47,5 Prozent der Befragten gaben dies an, gefolgt von Industriespionage (29,8 Prozent) und Produktionseinbußen (29,5 Prozent). Für Aufsehen, sowohl in reinen IT-Umgebungen, als auch in Industrieanlagen, sorgten im vergangenen Jahr vor allem Angriffe mit erpresserischer Schadsoftware. Bekannte Vertreter waren WannaCry und Petya. Betroffen war zum Beispiel auch der Lebensmittelkonzern Mondelez, zu dem Marken wie Milka, Oreo und Toblerone gehören. Weil sich IT-Systeme in der Produktion mit Petya infiziert hatten, standen etwa im Milka-Werk in Lörrach tagelang die Produktionsbänder still. Nach genauerer Untersuchung des Schadcodes stellten Sicherheitsexperten später fest, dass es den Angreifern bei Petya weniger um Monetarisierung ging, als darum, möglichst viel Schaden anzurichten. Andere Formen des Hackings schließen die Anlageneigentümer aus den eigenen Anlagen aus. Steuerungen werden gehackt, Programme und Passwörter geändert, und die geänderten Passwörter dem Anlageninhaber zum Kauf angeboten, damit dieser seine Steuerungen wieder in den Originalzustand versetzen und die Produktion wieder aufnehmen kann.
Cyberkriminelle suchen für einen Angriff – egal aus welcher Motivation heraus – immer den Weg des geringsten Widerstandes, also eine möglichst einfach auszunutzende Schwachstelle. In vernetzten Produktionsumgebungen bieten sich ihnen diese zu Hauf, wenn beispielsweise ein Fernwartungszugang unzureichend gesichert ist oder, wie häufig leider immer noch der Fall, in den Steuerungen Standardpasswörter verwendet werden. Dadurch laufen Unternehmen nicht nur Gefahr, dass Angreifer sich Zugriff auf die Industriesteuerungen verschaffen, sondern sich gegebenenfalls sogar bis in die IT ausbreiten können. In die Kategorie fällt auch der Sicherheitsvorfall, über den das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Studie zur Lage der IT-Sicherheit in Deutschland 2017 berichtete. Demnach waren bei mehreren Wasserwerken Benutzerschnittstellen öffentlich über das Internet einsehbar.
Ein weiterer Angriffsvektor bietet sich durch USB-Sticks – selbst wenn diese fabrikneu sind, können sie Malware enthalten – oder Wartungsnotebooks. Wenn Mitarbeiter oder Fremdfirmen ungeprüfte Geräte oder Datenträger unbedacht an Steuerungssysteme anschließen, ist die Infizierung mit Schadsoftware ein Leichtes.
Besonderheiten im industriellen Umfeld
Besonders gefährdet sind OT-Systeme die vor der Industrie-4.0-Welle konzipiert wurden. In der Regel wurden diese Systeme ohne ein großes Augenmerk auf Sicherheit entwickelt und lassen sich nicht so einfach patchen und updaten. Viele Geräte, die man vielleicht doch updaten oder patchen kann, können nicht im laufenden Betrieb angefasst werden. In einer Produktion, die ständig zu laufen hat, führt dies jedoch zu einem kostspieligen Produktionsstopp. Erschwerend kommt hinzu, dass manche Systeme gar nicht gepatcht werden dürfen, da sie sonst ihre Zertifizierung verlieren würden. Hier hilft dann nur eine Abschottung dieser Geräte mittels spezieller Gateways.
Generell ergeben sich im industriellen Umfeld besondere Anforderungen an Security-Lösungen. So muss die notwendige Hardware gegebenenfalls extreme äußere Umstände wie Hitze oder Staub in der Produktionshalle aushalten oder sämtliche Wettereinflüsse in Außenanlagen. Außerdem müssen diese Lösungen die verwendeten OT-Protokolle und die OT-Kommunikation verstehen können. Mittlerweile gibt es jedoch viele Hersteller von darauf spezialisierten Sicherheitslösungen, die alle notwendigen Kriterien erfüllen.
Konzeptionelles Vorgehen beginnt mit der Bestandsaufnahme
In einem auf sie zugeschnittenen Security-Konzept erarbeiten Unternehmen, wie sie ihre Industrie-4.0-Umgebung künftig schützen wollen. Die Basis schafft eine genaue Bestandsaufnahme der OT-Umgebung, die sich mit einem Asset-Scan durchführen lässt. Bei einem Asset-Scan wird protokolliert, welche Systeme tatsächlich vorhanden sind, wie diese miteinander kommunizieren und welche Schwachstellen vorhanden sind. Als nächstes wird festgelegt, welche Komponenten miteinander kommunizieren dürfen. Außerdem gilt es durchzuspielen, wo und wie sich Sicherheitsvorfälle auswirken können. Aus diesen Erkenntnissen ergibt sich, ob und wie Teile der Produktionsanlagen zu segmentieren sind. Zur Segmentierung gibt es viele Möglichkeiten, von denen sich einige sogar im laufenden Betrieb umsetzen lassen.
Das Zusammenspiel verschiedener Sicherheitslösungen sorgt für das erforderliche technische Sicherheitsniveau. Unabdingbar ist jedoch eine Cyber-Security-Lösung, die Daten in OT-Netzwerken sammelt, analysiert, modelliert und Anomalien erkennt.
Neben der OT-Security im Sinne von Security-Systemen ist es wichtig, auch Sicherheitsvorkehrungen im Sinne von zwischen IT und OT einheitlichen Verhaltensregeln und Arbeitsvorschriften aufzustellen. Wichtiger als Hard- und Software sowie Vorgaben auf Papier ist jedoch die ständige Sensibilisierung aller Mitarbeiter (inkl. Fremdfirmen) bezüglich OT- und IT-Security. Die Einhaltung von Arbeitsvorschriften kann auch erzwungen werden. So wird beispielsweise mittels Network Access Control (NAC) auf Switch-Port-Ebene entschieden, welche Geräte Zugang zu einem Netz erhalten und welche nicht. USB-Portkontrollen können eingesetzt werden, um zu verhindern, dass jeder x-beliebige USB-Stick mit einem Gerät verbunden werden kann. In die Reihe der relevanten Sicherheitsmaßnahmen gehören zudem Security Information and Event Management (SIEM), Network-Traffic-Analyse, Audits und Schwachstellen-Scans, sowie idealerweise ein umfänglicher Business Continuity Plan inklusive Back-up und Disaster-Recovery-Plänen. Für Organisationen, die kritische Infrastrukturen betreiben, schreibt der Gesetzgeber außerdem ein Information Security Management System (ISMS) vor. Diese Pflicht gilt auch für diejenigen, die eine Zertifizierung nach ISO 27001 anstreben.
Zum kollektiven Sicherheitsbewusstsein kommen
Eine Aufforderung zum präventiven Handeln lässt sich aus einer Studie des Verbands Deutscher Maschinen- und Anlagenbauer (VDMA) ableiten. Wie diese zeigt, hatten im vergangenen Jahr Security-Vorfälle in 50 Prozent der Fälle Kapitalschäden zur Folge, bei 31 Prozent kam es zu Produktionsausfällen. Damit sind die Folgen noch überschaubar geblieben, denn gerade in Produktionsumgebungen sind auch Personen- und Umweltschäden ein durchaus realistisches Szenario. 59 Prozent der Befragten gehen davon aus, dass die Zahl der Sicherheitsvorfälle in ihrem Betrieb in den nächsten Jahren steigen wird. Darauf müssen sich Unternehmen einstellen. Allerdings geht ein Sicherheitskonzept, wie zuvor bereits erwähnt, nur auf, wenn dieses auch beinhaltet, die Mitarbeiter für Gefahren zu sensibilisieren. Jeder trägt durch sein Verhalten dazu bei, dass keine Schadsoftware in die Produktionshalle gelangt und Phishing-Attacken ins Leere laufen. Security geht alle im Unternehmen an, muss aber zugleich Chefsache sein. Nur wenn sie von oben gewollt und gelebt wird, lässt sie sich auch flächendeckend umsetzen. IT- und OT-Verantwortliche müssen an einem Strang ziehen, miteinander reden und ihre Probleme und Lösungen diskutieren. Wenn das passiert, ist vieles möglich.
