Hackerangriff auf Produktion

IT-Security

Hacker nehmen Industrie-4.0-Produktion ins Visier

Anzeige
Moderne Cyberkriminalität endet nicht im Back-Office. Der Durchgriff auf die Maschinenebene birgt weitaus größere Gefahren als konventionelle Phishing-Attacken oder CEO-Fraud. Die drohenden Konsequenzen rücken Sicherheitsfragen in den Fokus der Anlagenbauer.

Michael Grupp
freier Journalist in Stuttgart

Lange Jahre verstanden sich Automation und IT als zwei getrennte Bereiche mit nur wenigen Schnittstellen. Wenn die Maschinen-Software einmal lief, waren Releases und Sicherheitsupdates oft kein Thema mehr; der Fokus lag auf Verfügbarkeit und physische Sicherheit, sprich Safety. Erschwerend kommt hinzu, dass bestehende Industriesysteme nicht für Online-Verbindungen konzipiert wurden. Andererseits wurde und wird in der klassischen IT-Abteilung zwar auf Geheimhaltung und den Datenschutz geachtet, nicht aber im gleichen Maße auf die Verfügbarkeit und Integrität der Maschinenkonfigurationen. So wie im Rahmen von Industrie 4.0 IT und Produktion zusammenwachsen, müssen allerdings auch Sicherheitsfragen übergreifend beantwortet werden. Lars Kroll, Sicherheitsexperte bei Symantec zur Bedrohungslage: „Ein wichtiges Einfallstor für Hacker sind die Netzwerkübergänge zwischen Office-IT und Produktionsnetz. Hier können Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen. Natürlich sind auch Anlagen verwundbar, die direkt mit dem Internet verbunden sind. Angreifer können zum Beispiel mit der Suchmaschine Shodan weltweit ungesicherte Industriegeräte und -systeme identifizieren.“ Shodan ist eine Suchmaschine für angreifbare Dinge im Internet – vom einzelnen Sensor bis zum kompletten Heizkraftwerk. Die Plattform findet per Mausklick automatisch alle ungeschützten Geräte wie Router, Webcams oder auch Maschinensteuerungen mit Internetanschluss. Die Ergebnisse speichert Shodan in einer Datenbank zur weiteren Verfügung.

Alles halb so schlimm? Der Branchenverband Bitkom hat in einer Studie dargelegt, dass der jährliche Schaden für die deutsche Wirtschaft 50 Mrd. Euro übersteigt. Und das Bundeskriminalamt schätzt in seinem Lagebericht, dass sich Cyber-Kriminalität jährlich nahezu verdoppelt. Mit zum Teil gravierenden Folgen: In der
Cyber-Sicherheits-Umfrage des Bundesamtes für Sicherheit in der Informationstechnik BSI geben 2017 mehr als die Hälfte der von einem Angriff betroffenen Unternehmen an, dass sie Produktions- und Betriebsausfälle verkraften mussten. Die Motivation für Cyberkriminalität ist vielfältig und reicht vom Datenklau, um von fremden Forschungs- und Entwicklungsaktivitäten zu profitieren, bis hin zu missliebigen Wettbewerbern und verärgerten (Ex-)Mitarbeitern. Es existiert sogar ein Markt für Hacking as a Service: Im Web bieten Unternehmen ihre Dienste für professionelle Angriffe oder den gezielten Datenraub an.

Sicher wird sicher

„Die Praxis hat gezeigt, dass eine Optimierung des
Sicherheitsmanagements oftmals die Informations-
sicherheit effektiver und nachhaltiger verbessert, als
Investitionen in Sicherheitstechnik“, rät das Bundesministerium für Sicherheit und Informationstechnik. Dabei müssen Prioritäten für Verfügbarkeit, Vertraulichkeit und Integrität gesetzt werden. In der Regel hat ein unterbrechungsfreier und möglichst reibungsloser Produktionsablauf den Vorrang. Dem kann die Integrität der Daten oder der Schutz vor Datenklau entgegenstehen, weil Sicherheitsmaßnahmen die Verfügbarkeit und Effizienz des Produktionsprozesses einschränken können. Vor konkreten Maßnahmen kommt die Risikoanalyse. In diesem Rahmen müssen grundsätzliche Fragen
beantwortet werden. Allen voran: Von wem geht das größte Risiko aus? Sind es Mitbewerber, Cyber-Kriminelle oder die NSA etc.? Welche digitalen Informationen sind unternehmenskritisch und für Fremde interessant? Was passiert, wenn eine manipulierte Anlage für mehrere Stunden ausfällt? Dabei müssen Produktions- und IT-Bereiche eng zusammenarbeiten. Dazu gehört auch, die Sprache und Sichtweise der anderen Seite zu verstehen. Das ist bisher nicht selbstverständlich: Die Hersteller von SCADA-Systemen waren beispielsweise bislang nicht auf IT-Security fokussiert und sind eher zurückhaltend, wenn sie komplementäre Sicherheitslösungen anderer Hersteller integrieren sollen. Neben der Risikobewertung muss auch ein genauer Status quo über die Anzahl und Art der Produktionssysteme, Kommunikations-Zertifikate sowie den potenziellen Schwachstellen von Produktionsanlagen erhoben werden. Um effizient und flexibel reagieren zu können, sind darüber hinaus auch Informationen zur aktuellen globalen Gefahren-
lage sowie spezielle Bedrohungsszenarien für einzelne Branchen obligatorisch. In der Vergangenheit haben sich dazu verschiedene Normen und Regelwerke für die Risikobewertung etabliert. Dazu zählen zum Beispiel die ISO 27XXX Normen, der BSI IT-Grundschutz, die Information Technology Infrastructure Library (ITIL) oder COBIT, ein Referenzmodell zur Etablierung, Systematisierung und Überwachung von IT-Governance- und IT-Management-Prozessen in Unternehmen.

Konkrete Hilfestellung bieten auch Frameworks wie das ICS Security Kompendium des BSI oder die IEC 62443, eine internationale Normenreihe über die „IT-Sicherheit für industrielle Leitsysteme-Netz- und Systemschutz“. IEC 62443 schlägt eine Brücke zwischen Safety und Security und hilft beim sicheren Betrieb von industriellen Steuerungsumgebungen.

Als erstes Tool für die Analyse von Steueranlagen kann die Software LARS ICS (Light And Right Security) dienen. Die Anwendung ist ein kostenfreies Werkzeug, welches kleineren und mittleren Unternehmen den Einstieg in die Cyber-Sicherheit erleichtert. Es bietet eine fragengeleitete Selbsteinschätzung des aktuellen Stands der Cyber-Security und gibt Empfehlungen, welche Maßnahmen in welchen Bereichen als nächstes umgesetzt werden sollten. Interessierte Anwender können das Tool direkt beim BSI anfordern. Grundsätzlich müssen Unternehmen aber individuell definieren, welche Anlagenkomponenten sie mit Standard IT-Security-Tools schützen können und wo sie individuelle Lösungen durch Experten benötigen. Das ist immer vom Einzelfall abhängig.

Konkrete Maßnahmen einleiten

Als Basis-Maßnahmen empfehlen Security-Experten eine Segmentierung des Netzwerks in unterschiedliche Zonen; zum Beispiel in eine Office- und eine SCADA-Ebene, die jeweils mit Firewalls abgeschottet werden. Notwendig ist auch eine verschlüsselte Datenübertragung, ein Intrusion-Prevention-System (IPS) mit intelligentem Umgehungsschutz sowie eine granulare Kontrolle aller Anwendungen und Benutzeraktivitäten im Netzwerk. Eine definierte Whitelisting-Funktion stellt dabei sicher, dass ausschließlich explizit freigegebene Programme ausgeführt werden können. Über USB-Sticks eingeschleppte Malware hat dann keine Chance mehr. Weitere wichtige Maßnahmen sind eine starke
Benutzerauthentifizierung (Passwortkultur) und nicht zuletzt der Schutz für mobile Geräte, welche Zugriff auf die Produktionsumgebung haben.

Die Bundesdruckerei unterstützt die sichere Gestaltung des digitalen Wandels – dazu zählen die Bundes-berater auch industrielle Strukturen. Sie empfehlen folgende Maßnahmen für eine lückenlose und wirksame
Sicherheitsarchitektur:

Schutz des Netzwerks

Der Schutz der internen Netzwerke durch eine Firewall ist eine unverzichtbare Voraussetzung für industrielle
Sicherheit. Sie verwehrt Zugriffe von außen über das
Internet. Legitime Zugriffe, zum Beispiel von Zweigstellen, Home-Offices oder Mobilgeräten müssen über ein verschlüsseltes Virtuelles Privates Netzwerk (VPN)
geführt werden.

Systemüberwachung

In der vernetzten Produktion müssen alle Systeme
permanent überwacht werden. Security-Monitoring-
Lösungen melden Unregelmäßigkeiten und Sicherheitsprobleme in Echtzeit.

Angriffsanalyse

Der Einsatz spezieller IT-Systeme für die Erkennung von Cyber-Angriffen wie Intrusion Detection Systems und Intrusion Prevention Systems analysieren Angriffe und ergänzen komplementäre Sicherheitssysteme.

Endpunktesicherung

Sämtliche Geräte, die über ein Netzwerk auf das unternehmenseigene IT-Systeme zugreifen, müssen speziell gesichert werden. Dazu zählen beispielsweise Netzwerkgeräte, Mobilgeräte und Laptops – aber auch spezielle Industrie 4.0-Systeme. Zur Sicherung gehört der Einsatz von Virenscannern, ein konsequentes Patchmanagement, die Verhinderung der Installation unautorisierter Anwendungen sowie die Kontrolle aller Schnittstellen.

App-Beschränkungen

Endpunktsicherheit muss ein App-Management umfassen, das zwischen zulässigen und nicht zulässigen Anwendungen unterscheidet. Es sollte sowohl industrielle wie auch Office-Anwendungen berücksichtigen. Besonders wirksam ist dabei das Whitelisting, das lediglich vorher definierte Anwendungen zulässt.

Identifikation von Maschinen und IT

Industrie 4.0-Komponenten haben Zugriff auf interne Systeme und benötigen deshalb eine sichere Identität. Sie wird in Form digitaler Maschinenzertifikate bestätigt, die zum Beispiel von der Bundesdruckerei definiert und ausgegeben werden. Danach ist jede Komponenten unverwechselbar im Netz erkennbar.

Benutzerrechte

Für die Identifikation von Personen und Maschinen muss ein Identity- und Access-Management (IAM) eingerichtet werden. Es schützt auf Basis von Benutzer-identitäten Systeme vor unberechtigten Zugriffen. Darüber hinaus sind Zugriffe auch im Nachhinein zurechenbar und nachvollziehbar.

Datenverschlüsselung

Unverschlüsselte Verbindungen und Datenträger sind quasi eine Einladung zur Wirtschaftsspionage. Alle Datenträger sollten mit aktuellen und sicheren Verfahren wie RSA verschlüsselt werden. Datenverbindungen sollten darüber hinaus eine sogenannte Ende-zu-Ende-Verschlüsselung nutzen.

Die Absicherung von Produktionsanlagen betrifft damit die gesamte Unternehmensstruktur. Sie muss durch die Geschäftsführung initiiert und durch Spezialisten und Mitarbeiter ebenso konsequent wie professionell umgesetzt werden. Deshalb ist auch die Schulung aller Beteiligten unabdingbar. Die dafür notwendigen Themenbereiche beginnen bei einer Passwortkultur, die komplexe und regelmäßig wechselnde Passwörter vorschreibt und führt bis zum Verständnis der eigenen IT-Struktur.


Kritische Bedrohungen für Steuerungssysteme

  • Infektionen mit Schadsoftware über
    Internet und Intranet
  • Einschleusen von Schadsoftware via Wechseldatenträger
  • Social Engineering durch Mitarbeiter, Lieferanten oder Partner
  • Menschliches Fehlverhalten und gezielte Sabotage
  • Einbruch über Fernwartungssysteme
  • Mit dem Internet (via IP) verbundene Steuerungskomponenten
  • Zugriff auf Extranet und Cloud-Komponenten
  • Infizierung von Smartphones im
    Produktionsumfeld

Quelle: Bundesministerium für Sicherheit und

Informationstechnik


Serie Industrie 4.0

Wir begleiten Sie auf dem Weg Richtung
Digitalisierung. In dieser Folge analysieren wir die Bedrohungslage auf Maschinen-
ebene und empfehlen konkrete Abwehrmaßnahmen.


Michael Grupp freier Journalist in Stuttgart

Schritt für Schritt

„Security by Design“ wird oft als der Königsweg im Industrie 4.0-Umfeld genannt – also die komplette Neukonzeption aller Sicherheitskomponenten. Das ist aber in den meisten Fällen weder wirtschaftlich noch technologisch sinnvoll. Auch gemäß ISO/IEC 27034-Norm kann die Nutzung existierender Komponenten durch entsprechende Maßnahmen gesichert werden. Unter dem Strich zählt die Sicherheit des Gesamtsystems – nicht der Neuanfang.

Anzeige

Industrieanzeiger

Titelbild Industrieanzeiger 3
Ausgabe
3.2019
LESEN
ABO

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie!

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de