2023 jährt sich zum fünfzehnten Mal die Entdeckung einer Schwachstelle, die die Anfälligkeit von Industrieanalagen gegen Cyberangriffe unfreiwillig, aber massiv in die öffentliche Wahrnehmung gehoben hat. Die Rede ist von MS10–046, einer Schwachstelle in Windows Systemen mit NT-Kernel. Sie war ein „Zero-Click-Exploit“ – eine Möglichkeit, Schadcode auszuführen, ohne dass eine Interaktion eines Nutzers notwendig ist. Solche Schwachstellen sind selten, aber mächtig. Benötigen Angriffe über „normale“ Schwachstellen die Mithilfe der Anwenderinnen und Anwender, arbeiten Zero-Click-Exploits automatisch.
Bekannt wurde MS10–046 als Hauptverbreitungsweg des Stuxnet-Wurms, der 2009/2010 weltweit Industrieanlagen befiel. Sein Hauptziel war sehr wahrscheinlich das iranische Atomprogramm und die dort eingesetzte Motorsteuerung für Uranzentrifugen. Er wurde im Nachgang aber auch in diversen deutschen Industrieunternehmen nachgewiesen. Hätte Stuxnet nicht nur ein spezifisches Ziel verfolgt, sondern generell Anlagen gestört, hätte die deutsche Industrie enorme Schäden verzeichnen müssen.
Aus Stuxnet lassen sich auch viele Jahre später noch Lehren für eine moderne Cyberabwehr in ziehen. Denn die Risiken, die damals praktisch aufgezeigt wurden, sind durch die fortschreitende Integration von IT und OT eher noch größer geworden.
Office und Fertigung zusammen denken
Historisch gesehen, ist der Betrieb von Office und Fertigungs-IT in vielen Unternehmen getrennt voneinander gewachsen. Diese Trennung entspricht längst nicht mehr den Realitäten, denn eine Malware macht keinen Unterschied zwischen einem PC zur Maschinensteuerung und einem Arbeitsplatzrechner. Es ist daher sinnvoll, Schutzmaßnahmen immer auch für beide Bereiche zu denken. Nicht jede technische Maßnahme wird sich überall realisieren lassen. Dennoch ist es sinnvoll, zumindest Logs und Alarme zentral zu sammeln, um im Krisenfall handlungsfähig zu sein und ein Lagebewusstsein zu schaffen.
Mehrere Schutzebenen klug kombinieren
Viele Datenformate, die routinemäßig zwischen Office und Fertigung ausgetauscht werden, können Schadcode enthalten. Sie sind damit ein idealer Verbreitungsweg im Unternehmen, der viel weniger Aufmerksamkeit genießt als Makros in Office-Formaten. Ein Test der DCSO (Deutsche Cyber Sicherheitsorganisation) hat gezeigt: Gängige Antivirenprogramme erkennen Skripte in CAD-Formaten nicht und können sie somit auch nicht beschränken.
Bei Fertigungsanlagen ergibt sich zusätzlich die Herausforderung, dass Endpunkt-basierte Schutzkonzepte wie EDR (Endpoint Detection and Response) und Antivirus nur schwer umzusetzen sind. Auf vielen Steuerungen lässt sich keine zusätzliche Software installieren. Dort wo es möglich ist, kann sie die Gewährleistung des Herstellers einschränken oder sensible Abläufe stören. Auch gibt es Systeme, die selbst keinen zusätzlichen Geräteschutz zulassen: Drucker, Kameras, Zugangskontrollsysteme und viele mehr.
Spätestens hier wird deutlich, dass andere technische Schutzmaßnahmen zum Einsatz kommen müssen. Dazu gehört die netzwerkseitige Trennung von Geräten, die nicht miteinander kommunizieren müssen. Diese lässt sich aber in Zeiten von Predictive Maintenance und kontinuierlicher Produktionsüberwachung kaum umsetzen. Dort wo Datenströme nicht getrennt werden können, sollte zumindest eine Überwachung stattfinden. Als erster Schritt bietet sich daher ein Monitoring über Netzwerksensorik (NDR, Network Detection and Response) an, dass im IP-Datenstrom nach Bedrohungen sucht. Viele Anbieter liefern spezielle Indikatoren, die auch Datenströme wie SCADA over IP auswerten können. Diese Überwachung ist typischerweise einfach zu implementieren, da sie sich auf wenige Knotenpunkte im Netz konzentriert und sich bei richtiger Handhabung ausfallsfrei integrieren lässt.
Systeme benötigen Systemkompetenz
Zusätzlich bieten einige Anbieter inzwischen dedizierte OT-Monitoring-Lösungen an. Diese stützen sich meist auf den Netzverkehr sowie Logdaten und sollen, laut Anbieter, eine Erkennung von Anomalien im Geräteverhalten erlauben. Die praktische Erfahrung zeigt, dass diese Systeme technisch durchaus funktionieren, aber die versprochene Erleichterung im Betrieb meist nicht eintritt. Zudem entpuppen sich die verwendeten Regelwerke als viel zu statisch.
Mit geringerem Aufwand und einem anderen Ansatz lässt sich in herkömmlichen Domänen meist mehr Schutzwirkung erzielen: Asset Management, User Awareness und Co. haben zwar weniger Strahlkraft, aber sind, sofern richtig umgesetzt, wertvolle Bausteine.
Egal welche Kombination an Schutzmaßnahmen gewählt wird, ist es am Ende entscheidend, dass kritische Alarme erkannt und behandelt werden. Wenn sich die dazu nötige Cyberkompetenz im eigenen Unternehmen nicht aufbauen lässt, ist es sinnvoll, sie extern einzukaufen. Dies gilt insbesondere für kleinere und mittlere Betriebe. Inzwischen gibt es eine Reihe von Managed SOC-Anbietern, die sich auf Industriekunden spezialisiert haben und ein breites Lösungsportfolio betreuen können.
Effektive IT-Sicherheit kostet Zeit, Arbeitskraft und Kapital. Daran ändern auch ausgefeiltere Produkte wenig, denn auch die Angreiferseite bleibt nicht stehen. Stuxnet hat schon vor 15 Jahren gezeigt, dass es sich immer lohnt, den Kampf aufzunehmen.
