"Abstecken ist keine Lösung"
Viele Produktionsstätten sind auf ältere Maschinen und Computer angewiesen, schutzlos sind sie dennoch nicht.
Siemens
Mit der Corona-Krise ist das Thema Cybersicherheit zuletzt wieder stärker in den öffentlichen Fokus gerückt. Berichte von Phishing-Versuchen und gefälschten Botschaften im Design der Weltgesundheitsagentur zeigen, dass Kriminelle jede Gelegenheit nutzen, um Zugang zu fremden Rechnern zu erhalten. Bei vielen Firmen sei das Bewusstsein dafür noch wenig ausgeprägt, meinen die Cybersecurity-Experten Adrian Pinter und Lukas Gerhold von Siemens. Sie beraten Industrieunternehmen bei der Verbesserung ihrer Sicherheitsmaßnahmen.
Unangetastete Altsysteme
Als besondere Herausforderung betrachten sie die Absicherung von Produktionsprozessen. Die operative Technologie (OT) war lange Zeit von der Informationstechnologie (IT) in Unternehmen klar getrennt. Mit der zunehmenden Digitalisierung verschmelzen OT und IT. Dadurch ergeben sich zusätzliche Angriffsflächen. „Das Problem in der OT ist, dass wir viele Altsysteme drin haben“, meint Lukas Gerhold. Diese „Legacy-Systeme“ sind etwa Maschinen und Computer, die bereits lange im Einsatz sind und die Produktion vermeintlich zuverlässig am Laufen halten. „Für die Fertigung ist die Verfügbarkeit das Allerwichtigste. Da gilt oft das Motto: Rühr ein funktionierendes System nicht an“, meint Adrian Pinter.
Netzwerkschichten durchforstet
Das Problem daran: Für einen alten Windows-XP-Rechner sind etwa keine Patches mehr verfügbar. Solche Legacy-Systeme auszutauschen stellt für manche Unternehmen dennoch keine Option dar. Gerhold schildert, wie die Produktion von Industrieunternehmen dadurch beeinträchtigt werden kann: „In den vergangenen Jahren ist zum Beispiel klassisch, über Phishing-Mails, die Schadsoftware Emotet verbreitet worden. Die gibt es zwar schon seit 2010, sie ist aber laufend verbessert worden.“
Fand die Malware Schwachstellen in einem Unternehmensnetzwerk, wurde ein weiteres Angriffsprogramm heruntergeladen. „Angreifer haben sich von Netzwerkschicht zu Netzwerkschicht durchgehantelt, um an produktionsnahe Informationen zu kommen. Die wurden dann mit Ransomware verschlüsselt und das Unternehmen wurde erpresst.“
Mehrere Einfallstore
Die Angriffe können auf verschiedenen Wegen erfolgen. Neben Phishing-Botschaften an Mitarbeiter sei etwa das Ausnutzen von Schwachstellen bei Fernwartungssystemen weit verbreitet. Eines der größten Einfallstore für Kriminelle seien aber infizierte externe Datenquellen wie USB-Sticks. Die kämen oft genau dann zur Anwendung, wenn die vermeintlich beste Absicherung gegen Cyberangriffe gewählt wird: Nämlich Systeme vom Firmennetzwerk völlig zu trennen (Air Gapping). Pinter: „Einfach abstecken ist keine Lösung.“
Eine weitere Gefahrenquelle ist das Internet der Dinge (IoT). Ein Beispiel dafür sind kleine Schwingungssensoren an Maschinen, die drahtlos über WLAN mit dem Firmennetzwerk verbunden sind. Gerhold: „IoT und Edge Computing sind eine tolle Sache. Man bekommt dadurch sehr viele Informationen aus der Produktion und kann die sowohl für die Analyse von Prozessen als auch beispielweise für das Training von künstlicher Intelligenz nutzen. Aber natürlich öffnen wir damit einen weiteren Kommunikationskanal aus der OT. Und jeder Kommunikationskanal birgt das Risiko, dass er Schwachstellen hat und angreifbar ist.“
© SiemensAnalyse und Aufrüsten
Um Industrieunternehmen vor Cyberangriffen zu schützen, müsse man laut Gerhold auf zwei Ebenen vorgehen. „Erstens muss man analysieren, welche Cybersecurity-Prozesse bereits implementiert sind. Hat der Kunde ein proaktives Risikomanagement? Wo ist eine bestimmte Maschine aufgestellt, wer hat Zugang dazu? Macht er Backups, und wenn ja, wie?“ Organisatorisch sei es maßgeblich, betriebsinterne Kompetenzen zu erweitern. „Mitarbeiter, die in der Produktionsebene arbeiten, sind hauptsächlich Instandhalter. Das Know-how für Cybersecurity muss man oft erst ins Unternehmen reinbringen.“
Die zweite Ebene sei das technische Nachrüsten. Dabei gehe es darum, ein sicheres Netzwerkdesign zu schaffen. „Um Altsysteme muss man Komponenten errichten, die sicher sind. Das System an sich ist unsicher, aber jeder Zugriff darauf muss sicher erfolgen“, meint Gerhold. Sowohl bei der physischen Zutrittskontrolle, als auch bei der Netzwerksicherheit und bei einzelnen Maschinen gelte es, „Hardening“ zu betreiben, also quasi die Abwehrkräfte gegen Angriffe zu stärken.
Ein Beispiel dafür sei etwa die Segmentierung von Netzwerken. „Wenn sich ein Servicetechniker etwa Malware auf einem USB-Stick eingefangen hat, den er für das Einspielen von Updates verwendet, breitet sich diese dadurch zumindest nicht weiter aus“, schildert Pinter. Ein anderes Beispiel sei das „Whitelisting“. Damit wird genau festgelegt, welches Programm in welcher Version ausgeführt werden darf. Pinter: „Das kann auch in Windows XP etabliert werden.“
Von Anfang an mitbedenken
Dienstleister können helfen
„Vor Cybersecurity muss man sich nicht fürchten“, meint Pinter. „Wenn man gut vorbereitet ist, gibt es gute Lösungen.“ Dass sich nicht alle Unternehmen eigenes Cybersecurity-Personal leisten können, sei klar. Gerade für kleine und mittelgroße Unternehmen (KMU) treffe dies zu. Dafür gebe es Dienstleister wie Siemens. „Wir sind extrem gut aufgestellt bei Security-Themen und können helfen“, sagt Pinter. „Unser Vorteil ist, dass wir Informationen von vielen Unternehmen erhalten, was uns dabei hilft, Anomalien besser und schneller zu erkennen.“
Bei der Analyse von Bedrohungen für Industrieunternehmen arbeite Siemens eng mit dem Computer Emergency Response Team (CERT) zusammen. Mit der Cybersecurity-Organisation werden etwa neueste Informationen über Schwachstellen ausgetauscht und gemeinsam Lösungen entwickelt. „Unsere Kunden finden dann bei uns im Siemens ProductCERT eine Auflistung aller Vulnerabilities. Zu jeder dort veröffentlichten Schwachstelle gibt es ein Dokument, das die Schwachstelle beschreibt und auch die Vorgehensweise zur Minderung oder Behebung der akuten Bedrohung beinhaltet.“
Weitere Informationen:
Futurezone: Cybersecurity in der Industrie: „Abstecken ist keine Lösung“
