Kommentar von Dr. Sebastian Schmerl, Computacenter

Industrial Security – Cyber Defence für die Produktion

| Autor / Redakteur: Dr. Sebastian Schmerl / Nico Litzel

Der Autor: Dr. Sebastian Schmerl ist Solution Manager Cyber Defence for Production and IoT bei Computacenter
Der Autor: Dr. Sebastian Schmerl ist Solution Manager Cyber Defence for Production and IoT bei Computacenter (Bild: Computacenter)

Ein USB-Port, ein Mitarbeiter, der sein Passwort weitergibt, eine gehackte Smartphone-App, ein uraltes Betriebssystem auf einer Anlagensteuerung – undichte Stellen gibt es in Industrie-4.0-Umgebungen viele. So viele, dass Unternehmen heute davon ausgehen müssen, dass ein Cyberangriff früher oder später von Erfolg gekrönt sein wird. Die Frage ist, wie es schnell gelingt, die Angreifer zu finden, sie unschädlich zu machen, den Schaden zu begrenzen und sich zukünftig für ähnliche Attacken zu wappnen.

Die Panik ist groß, als die Sicherheitsexperten von Computacenter in der Fertigungshalle des Pharmakonzerns eintreffen. Schadsoftware – vermutlich über einen infizierten USB-Stick eingeschleust – hat alle Bedienrechner befallen. Kein Kunststück, denn das neueste Betriebssystem, das hier in der Produktion läuft, ist Windows XP. Sicherheitsupdates oder Patches: Fehlanzeige.

Doch das weitaus größere Problem ist, dass das Netzwerk kaum segmentiert ist. Von dem infizierten Rechner hat sich die Schadsoftware in rasantem Tempo im gesamten Produktionsnetz ausgebreitet. Der Versuch der Mitarbeiter, die Rechner mit Tools auf nicht-schreibgeschützen USB-Sticks zu bereinigen und zu patchen, spielt den Angreifern weiter in die Hände. Denn auch die verwendeten USB-Sticks waren schnell infiziert. Innerhalb kürzester Zeit sind alle PCs und Anlagensteuerungen befallen. Bis die Security-Experten von Computacenter die Lage im Griff und die Systeme wiederhergestellt haben, vergehen Tage – an denen die Produktion stillsteht.

Für das Pharmaunternehmen, das unter Volllast produziert, ist dieser Vorfall eine Katastrophe, die Umsatz und Image schmälert. Einzelfälle sind solche Security Incidents leider nicht. Dennoch fehlt bei den meisten Fertigungsunternehmen das Bewusstsein dafür, dass Industrial Security im digitalen Industriezeitalter unverzichtbar ist.

Offene Türen für ungebetene Gäste

Der Grund dafür heißt Industrie 4.0: die fortschreitende Digitalisierung und Vernetzung der Produktion, die die deutsche Industrie an der Spitze des globalen Wettbewerbs halten soll. Denn indem Fertigungs- und Geschäftsprozesse integriert und Produktionssysteme miteinander und mit ITK-Systemen von Partnern, Zulieferern, Dienstleistern und Kunden entlang der Wertschöpfungskette vernetzt werden, sollen Fertigungskosten gesenkt und Produktionsprozesse flexibler gestaltet werden, um auf individuelle Kundenwünsche eingehen zu können. Eine Studie des Bundeswirtschaftsministeriums [PDF] beziffert das volkswirtschaftliche Potenzial dieser vierten industriellen Revolution bis 2020 auf 12,5 Prozent.

Da ist es nicht verwunderlich, dass die deutsche Fertigungsindustrie im Zielvisier internationaler Cyberkrimineller steht. Umso wichtiger ist es, dass Fertigungsunternehmen im selben Atemzug, in dem sie Anlagen, Maschinen, Werker und Werkstücke vernetzen, eine Sicherheitsarchitektur für die Produktion installieren. Denn durch die steigende Vernetzung der Operational Technology (OT) und die schleichende Integration der OT in das Internet der Dinge unterliegt die einst abgeschottete Produktion plötzlich denselben Cybergefahren wie klassische Datennetze, Rechenzentren und Office-IT. Allerdings sind in der Produktion die Folgen von Sicherheitsvorfällen deutlich drastischer.

Ganzheitliche Sicherheitsarchitekturen fehlen

Dennoch ist das Bewusstsein für Industrial Security bei weitem nicht so ausgeprägt wie in klassischen IT-Bereichen. Die Fertigungsindustrie behandelt IT-Security noch zu oft als unbeliebte Technologiefolge – führt also neue Technik und Funktionen ein, ohne sie vorab vor Hackerangriffen zu schützen. Das Ergebnis: Bei einem Großteil der Produktionsunternehmen klaffen eklatante Sicherheitslücken in folgenden Bereichen:

  • Legacy-Technik und fehlendes Patch-Management: Produktionsanlagen sind meist auf Lebenszyklen von bis zu 20 Jahren ausgelegt. Auf ihren Steuergeräten oder Bedienrechnern laufen oft alte Firmware und Betriebssysteme, die nicht mehr gepatcht werden können, weil es keine Sicherheitsupdates mehr gibt.
  • Sicherheitslücke Mensch: Die Mitarbeiter sind oft nicht für die veränderte Bedrohungslage sensibilisiert. Sie arbeiten häufig seit Jahrzehnten in ihrer Firma und sind sich nicht bewusst, dass ihr Unternehmen ein attraktives Angriffsziel für Cyberkriminelle geworden ist. Einige „Innentäter“ hingegen schleusen absichtlich Schadsoftware ein, um ihrem Arbeitgeber zu schaden.
  • Monitoring und Detektion fehlen: Investieren Unternehmen in industrielle Security-Lösungen, dann meist in rein präventive Technologien wie Firewalls. Wenn aber Monitoring- und Detektionslösungen fehlen, werden Sicherheitsvorfälle oft erst viel zu spät bemerkt – nämlich erst, wenn es sichtbare Auswirkungen auf den Produktionsprozess gibt.

Hinzu kommen nicht ausreichend geschützte Remote-Maintenance-Systeme und – wie im eingangs beschriebenen Beispiel – flache, unsegmentierte Netzwerke, in denen sich Malware rasend schnell ausbreiten kann.

Gefährliche Gemengelage

Durch diese Vielzahl an Unsicherheitsfaktoren entstehen Risiken, die Fertigungsunternehmen im Angriffsfall in ihrer Wettbewerbsfähigkeit gefährden. Zu den aktuell bedrohlichsten cyberkriminellen Phänomenen zählt Ransomware, die beispielsweise die Daten einer Anlagensteuerung verschlüsselt und eine Fertigungslinie blockiert, bis das geforderte Lösegeld gezahlt oder die Schadsoftware beseitigt ist.

Aber auch die Produktqualität wird gezielt von Profihackern angegriffen: Ähnlich dem Stuxnet-Vorfall manipulieren sie zum Beispiel Schweißautomaten, sodass diese einzelne Schweißpunkte in unregelmäßiger Folge auslassen, was von der stichprobenartigen Qualitätskontrolle nicht erkannt wird. Ebenso gefährlich sind Anlagenmanipulationen, die zu erhöhtem Teile- und Materialverschleiß führen – etwa durch harte Starts und Stopps von Fördersystemen.

Dass gegen derart professionell durchgeführte Angriffe eine rein präventiv ausgelegte Sicherheitsarchitektur machtlos ist, erklärt sich von selbst. Deshalb müssen Unternehmen vor allem Sicherheitslösungen aufrüsten, die der Detektion und Reaktion dienen. Denn vollständig verhindern lassen sich Cyberattacken im digitalen Industriezeitalter nicht mehr. „Assume Breach“ muss daher das neue Sicherheitsparadigma lauten, das von der Präsenz von Angreifern im Produktionsbereich bzw. Shopfloor ausgeht und das Augenmerk darauf legt, sie schnellstmöglich zu erkennen und unschädlich zu machen.

Cyber Defence für die Produktion

Dabei genügt es nicht, das bisherige IT-Sicherheitskonzept einfach auf die Produktion zu übertragen oder auszuweiten. Industrie 4.0 erfordert einen grundlegend neuen Integrationsansatz, der sich auf Mensch, Prozesse und Technik gleichermaßen erstreckt. Der Ansatz des Security Operation Centers, in dem alle Logdaten zusammenlaufen, analysiert und korreliert werden, um Anomalien und Angriffe in Echtzeit zu erkennen, ist auch in der Produktion erforderlich. Langfristig werden hier Produktionsdaten – physischer Zugang, Temperaturen, Drücke etc. – analysiert, um festzustellen, ob es Abweichungen von den Normwerten gibt. Daraufhin kann unverzüglich festgestellt werden, ob die Ursache für eine Anomalie ein Gerätedefekt, eine Fehlbedienung oder ein Angreifer ist.

Wirksam ist ein Cyber-Defence-Konzept für die Produktion, das die Komponenten Prävention, Monitoring, Detektion, Reaktion und Threat-Intelligence vereint. Durch sichere Fernwartung, die Segmentierung von Netzwerken, die Härtung von Endgeräten und Cyber-Security-Awareness-Trainings sind Unternehmen in der Lage, Sicherheitsrisiken präventiv zu identifizieren, zu bewerten und zu reduzieren. Mithilfe von Monitoring-Lösungen erfassen und protokollieren sie alle sicherheits- und produktionsrelevanten Vorgänge und zeichnen ein ganzheitliches Echtzeitlagebild. Detektions- und Reaktionslösungen erkennen Sicherheitsvorfälle und Anomalien und leiten – falls notwendig – Gegenmaßnahmen ein. Und mithilfe von Threat-Intelligence lassen sich Angriffswege und -methoden vorhersagen, was die Produktion proaktiv schützt und für den Ernstfall vorbereitet.

Fazit: Mit Industrial Security fit für Industrie 4.0

Unternehmen, die in einem Cyber-Defence-Framework für ihre Produktion Schutzmechanismen für Mensch, Maschine und Prozesse auf diese Weise bündeln, sichern sich nicht nur wirkungsvoll gegen Cyberattacken ab. Sie legen damit auch die Basis zur Qualitäts- und Prozessoptimierung in der Produktion und stärken ihre Wettbewerbskraft durch innovative Industrie-4.0-Technologien.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44425196 / Internet of Things)