Mehr als nur auf Holz klopfen
Gemeinsam mit Siemens setzt EGGER auf einen umfassenden und wirksamen Schutz vor Cyberangriffen in der Produktionsumgebung.
Siemens
EGGER, das von Fritz Egger sen. in St. Johann in Tirol gegründete Unternehmen, eröffnete 1961 sein erstes Spanplattenwerk. Nach dem 60-Jahre-Jubiläum ist der österreichische Familienbetrieb mit der Mission „Wir machen mehr aus Holz“ mit über 11.000 Mitarbeitenden in 11 Ländern und insgesamt 22 Standorten innerhalb und außerhalb Europas erfolgreich vertreten. Als Komplettanbieter für Möbel und Innenausbau, konstruktiven Wohnbau sowie Fußböden beliefert EGGER unterschiedliche Kundensegmente: Dazu gehören die Möbelindustrie, professionelle Kunden aus den Bereichen Handel, Handwerk und Architektur sowie namhafte internationale Baumärkte und Do-it-Yourself-Geschäfte.
Nachhaltigkeit trifft auf Hightech
Mit seinen Pressen zur endlosen Fertigung von Rohspannplatten und einem Sägewerk für voll integrierte Standorte dreht sich bei EGGER zweifelsohne alles um den nachhaltigen Traditionswerkstoff Holz. Zum Einsatz kommt dabei jedoch durchgängig Hightech. Neben den bereits erwähnten hochmodernen Pressen verfügt das Unternehmen am Standort St. Johann in Tirol zudem über eine einzigartige Kurztaktanlage. Mit ihr lassen sich Platten mit tiefen Oberflächenstrukturen oder beidseitigen Synchronporen-Oberflächen beschichten. Gleichzeitig dient sie zur Verpressung und Beschichtung von Kompakt- und Dünnspanplatten. „EGGER ist nicht nur in der Fertigung bestens aufgestellt, der Business- Excellence-Gedanke zieht sich durch sämtliche Bereiche, inklusive der Cybersecurity“, weiß Adrian Pinter von Siemens. Als leitender Experte für Cybersecurity setzt er sich seit zwei Jahren intensiv mit der Tiroler Unternehmensgruppe auseinander: „Die Maßnahmen reichen dabei von den entsprechenden Netzwerkgrundlagen bis hin zur Firewall-Segmentierung und stellen sicher, dass EGGER potenzielle Cyberattacken erkennen und Reaktionen setzen kann.“
IT und OT im Blick
Roland Priewasser, OT Security Professional bei EGGER, sieht gerade in der Industrie weiteren Handlungsbedarf, insbesondere im Bereich der Operational Technology (OT), und erklärt dazu anhand des eigenen Betriebs: „Als produzierendes Unternehmen sind wir ganz klar auf unsere Fertigungsprozesse angewiesen. Betrachtet man die aktuellen Ereignisse in der IT- und der OT-Welt, lassen sich zwei entgegengerichtete Trends erkennen: Einerseits gibt es hier die fortschreitende Digitalisierung des Shopfloors mit Vorteilen in puncto Effizienz, höherer Qualität und schonenderem Ressourcenumgang. Andererseits registrieren wir deutliche Zunahmen im Bereich der Cyberkriminalität. Damit ist klar, dass wir neben der IT unsere Produktion, das heißt unsere Operational Technology, ebenfalls absichern müssen.“ Zu den möglichen Szenarien einer Cyberattacke zählen etwa künstlich herbeigeführte und vom Betreiber ungewollte Anlagen- oder gar Werksstillstände, beispielsweise im Rahmen eines Erpressungsversuchs. Der zuvor angesprochene Digitalisierungsprozess bedingt zudem, dass immer mehr netzwerkfähige Devices Teil des Maschinenparks werden. Diese könnten im ungepatchten Zustand bei Ausnutzung einer Schwachstelle ebenfalls zum Risiko werden.
Anomalieerkennung: Learning by doing
Um auch in der OT und somit bei den vielfältigen Fertigungsanlagen besser gegen Cyberkriminalität geschützt zu sein, haben sich EGGER und Siemens auf ein Pilotprojekt geeinigt. „Um Cybersecurity auch in der produktionsnahen Umgebung leben zu können, haben wir nach einer Lösung gesucht, die ein passives Scanning ermöglicht und somit auch die Produktion nicht belastet“, erklärt Roland Priewasser, und fügt hinzu: „Bei derartigen Proof of Concepts geht es uns immer um zwei Aspekte: Im Vordergrund steht natürlich die Eignung bzw. Nicht-Eignung für unser Unternehmen, welches ja an insgesamt 22 unterschiedlichen Standorten tätig ist. Gleichzeitig wollen wir immer dazulernen.“
In den Datenstrom hineinhören
„Wir haben dem Kunden im Rahmen eines gemeinsamen Cybersecurity-Projekts die Vorteile unserer Anomalieerkennung nähergebracht. Wichtig war uns allen dabei, dass er von Anfang an auf Hands-on-Basis selbst lernt, mit der Lösung umzugehen“, erklärt Adrian Pinter. Um Lernen, so der Siemens-Cybersecurity Experte, geht es insbesondere auch bei der Anomalieerkennung selbst: „Anders als in der IT, generieren Maschinen in der OT-Welt mehr oder weniger immer den gleichen Traffic. Im Zuge der Erstellung einer Baseline der Netzwerkaktivitäten lernt die Anomalieerkennung somit, welcher Traffic für das jeweilige Device Standard bzw. zu erwarten ist.“ Davon profitiert der Kunde auf unterschiedliche Weise. Durch die Schaffung von absoluter Transparenz im Netzwerk, die ihrerseits wiederum durch ein lückenloses Mitprotokollieren aller Netzwerkaktivitäten bedingt wird, werden sämtliche Devices identifiziert. „Mit der Anomalieerkennung sind bei Steuerungen neben der eigentlichen Konfiguration sogar Nebenkonfigurationen erkennbar. Sie verfügen an sich über keine Funktion mehr und sollten bereinigt werden. Erkennbar sind sie allerdings nur, wenn man in den Datenstrom hineinhört und auf Zusatzkommunikationen stößt, die eigentlich nicht mehr stattfinden sollten“, so Priewasser, der damit auch aufzeigt, zu welcher Detailtiefe die Anomalieerkennung in der Lage ist.
Anomalieerkennung mit Detailtiefe
Besonders hervorzuheben sind die Traceability-Eigenschaften der Lösung. Damit wird etwa eine Anomalie, ausgelöst durch das Anstecken eines USB-Sticks – hierbei könnte es sich potenziell um einen Angriff von innen handeln – exakt lokalisiert und analysiert. Adrian Pinter betont, dass es sich ausschließlich um eine Detektion handelt: „Es geht um die gezielte und sichere Erkennung von Anomalien, also Abweichungen von der gelernten Baseline, die gemeldet und seitens der Betreiber evaluiert werden – in der Regel zeichnen bei EGGER hierfür Experten aus dem Security Operations Center in Zusammenarbeit mit einem Produktionsexperten verantwortlich.“ Ein Service-Techniker, der sein Notebook an eine Anlage anschließt, wird demnach im Sinne der umfassenden Protokollierung als Intrusion erfasst. Er bzw. die Lösung löst aber keinen unbeabsichtigten Werksstillstand aus oder ist für den plötzlichen Ausfall arbeitssicherheitstechnischer Systeme verantwortlich. Die Anomalieerkennung – alles andere wäre schon aus Werkschutzgründen unmöglich – dient ausschließlich der Intrusion Detection und ist ein rein passives Mittel, das über keine aktiven Eigenschaften verfügt.
Eine Frage der Zeit
Zur Timeline befragt, zeigt sich Cybersecurity-Experte Pinter genauso transparent wie die Lösung, die er vertritt: „Für ein Proof of Concept benötigt man zwischen ein paar Tagen und einem Monat. Die umfassende Anomalieerkennung, inklusive des außerhalb der Norm liegenden Traffics (rund 20 %), ist nach einem halben Jahr oder länger voll implementiert.“ Laut Pinter wird die Dauer maßgeblich vom Zustand des jeweiligen Netzwerks beeinflusst, etwa von der Anzahl der vorhandenen Legacy-Systeme oder unmanaged Switches: „De facto lernt nicht nur die Anomalieerkennung, auch der Kunde und wir lernen bei jedem System und können – sozusagen als positiven Nebeneffekt – die jeweilige Netzwerkumgebung für einen optimalen Betrieb bereinigen, patchen bzw. modernisieren.“ Der OT Security Experte Roland Priewasser von EGGER kommt zu einem ähnlichen Schluss: „Nach der Bereinigung des ‚Grundrauschens‘, das sind in der Regel durch unternehmensspezifische Kommunikation ausgelöste False Positives, beispielsweise eine Säge, die mit dem Sägencontroller auf einem unüblichen, aber herstellereigenen Port kommuniziert, kann man das System effektiv lernen lassen. Dann sieht man, was tatsächlich im Netzwerk geschieht, und kann davon nach und nach entsprechende Erkenntnisse und Maßnahmen ableiten.“
Verantwortung und Vertrauen als Erfolgsfaktoren
Bedingt durch die Internationalität des Unternehmens, aber auch aufgrund von Nachhaltigkeitsüberlegungen sowie Ereignissen, die zu einer Unterbrechung der laufenden Besetzung von Standorten führen können, etwa einem Pandemiegeschehen, wurde die Anomalieerkennung wunschgemäß remote installiert. „Auch hier gab es dank der ausgezeichneten Zusammenarbeit keine Verzögerungen“, erklärt Adrian Pinter und fasst abschließend zusammen: „Über den Ausgang und die Dauer derartiger Projekte entscheidet auch der Stellenwert von Cybersecurity im Unternehmen und das Commitment der Mitarbeitenden. Beides ist bei EGGER gleichermaßen hoch, was den verantwortungsvollen Umgang des Unternehmens, nicht nur dem traditionellen Werkstoff Holz gegenüber, erneut unterstreicht.“
Nach dem erfolgreichen Abschluss des Proof of Concept ist man bei EGGER seit Anfang 2023 mit dem iterativen Rollout der Lösung auf die unterschiedlichen Werke des Unternehmens beschäftigt.