Dauerhafte IT-Sicherheit in Automatisierungssystemen

Am Anfang von Security-Projekten steht meist das Erstellen und Umsetzen eines Sicherheitskonzeptes. Experten sorgen dabei zunächst für Transparenz über die in der Produktion installierten (Automatisierungs-) Komponenten und erstellen eine Risikoanalyse. Darauf aufbauend werden Sicherheitsmaßnahmen identifiziert, priorisiert und umgesetzt. Die Folge: Das Risikoniveau sinkt – aber nur vorübergehend. Denn neue Viren, Trojaner oder Formen von Cyberangriffen stellen Sicherheitsexperten fortlaufend vor neue Herausforderungen. Doch welche Schritte sind zu tun, um das Risiko nachhaltig zu senken? Und bei welchen Maßnahmen ist es sinnvoll, einen externen Dienstleister hinzuzuziehen?

Schritt 1: Transparenz erhalten

Um auftretende Risiken sicher erkennen zu können, sollte eine einmal gewonnene Transparenz über installierte Komponenten in der Fertigung erhalten bleiben. Schließlich werden immer wieder – auch in Komponenten, die nicht mehr vom Service der Hersteller unterstützt werden – Sicherheitslücken gefunden. Nur durch dauerhafte Transparenz können Unternehmen nachvollziehen, ob von Herstellern identifizierte und kommunizierte Sicherheitslücken auch für sie relevant sind und welche Komponenten demnächst einer diesbezüglichen „Überalterung“ unterliegen. Ob die gefundenen Lücken eine Auswirkung auf die Fertigung haben und somit das Risiko steigern, sollte jedes Unternehmen selbst bewerten.

Schritt 2: Den Menschen mitnehmen

Nicht jeder Cyberangriff kommt von außen: Mitunter schleusen auch Mitarbeiter ungewollt Viren etwa durch infizierte USB-Sticks in das Unternehmensnetzwerk ein. Schadsoftware kann sich im schlimmsten Fall vom Desktop-PC auf das Automatisierungssystem ausbreiten. Der „Faktor Mensch“ muss bereits bei der ersten Risikoanalyse berücksichtigt werden, denn er hat einen entscheidenden Einfluss auf die IT-Sicherheit.

Schulungsmaßnahmen, die dazu dienen, ein Sicherheitsbewusstsein für das gesamte Unternehmen zu schaffen, müssen deswegen regelmäßig wiederholt werden. Hier empfehlen sich verschiedene Wege: von webbasierten Schulungen über kurze Unterweisungen in Abteilungsbesprechungen (vergleichbar mit Sicherheitsunterweisungen) bis hin zu Trainings mit abschließenden Tests. Oft ist eine Kombination verschiedener Maßnahmen sinnvoll.

Vielversprechend kann es sein, ein firmeninternes Netzwerk von Experten aufzubauen, die dann anderen Mitarbeitern mit Rat und Tat zur Seite stehen. Zudem können diese Experten als Botschafter („Ambassadors“) fungieren. Dadurch lässt sich das Thema Industrial Security als integraler Bestandteil der Unternehmenskultur verankern. Vorgesetzte haben hier eine Vorbildfunktion: Je stärker dieses Thema durch Führungskräfte unterstützt wird, desto größer ist in der Regel die Beteiligung der Mitarbeiter.

Schritt 3: Prozesse prüfen und Lieferkette

einbeziehen

Industrial Security sollte in allen wesentlichen betrieblichen und produktionstechnischen Prozessen verankert werden. Diese Prozesse müssen aber nicht nur definiert, sondern auch „gelebt“ werden – und dies gilt es ebenfalls kontinuierlich zu überprüfen. So helfen Prozess-Reviews und Alarmübungen dabei, wachsam zu sein. Die Maßnahmen sollten auch alle Lieferketten einschließen. Besonders Zulieferer kritischer Komponenten müssen ebenfalls hohe Security-Standards einhalten. Nachweise dafür können zum Beispiel Security-Zertifikate für eingekaufte Komponenten, sicherheitsbezogene Zertifizierungen über die Prozesse des Lieferanten oder Einbeziehung der Thematik in Lieferantenaudits sein. Ein Beispiel sind hier Achilles-Level-2-Zertifikate, die als Nachweis für die Robustheit von Automatisierungskomponenten dienen.

Schritt 4: Die Fertigung kontinuierlich

überwachen

Darüber hinaus ist es entscheidend, alle auftretenden Ereignisse innerhalb des Automatisierungssystems aufzuzeichnen. Wenn es – wider Erwarten – einen Sicherheitsvorfall gibt, sind die aufgezeichneten Daten wichtig, um den Vorfall zu rekonstruieren. Mittelständische Unternehmen können hier auf externe Hilfe durch IT-Forensiker zurückgreifen, die für ihre Analysen jedoch ausreichend Rohdaten benötigen.

Anschließend sollten die aufgezeichneten Daten/Ereignisse zu betrieblich wertvollen Informationen aufbereitet werden – ein Schritt, der zusätzliche Technik unabdingbar macht. Bei diesem sogenannten „Security Information and Event Management“ (SIEM) lässt sich mit Hilfe von Regeln aus den Ereignisdaten ein Bezug zu bekannten Angriffsmustern herstellen. Hierfür benötigt man fundiertes Fachwissen, welches im Rahmen einer „Managed Security“-Dienstleistung, wie sie etwa auch Siemens anbietet, eingekauft werden kann. Dabei helfen erfahrene Experten, die Ereignisse zu interpretieren und die richtigen Rückschlüsse zu ziehen. Bei einer SIEM-Lösung kommt es vor allem auf eine Priorisierung und adäquate Darstellung der gewonnenen Informationen an. Diese sollte so einfach wie möglich, aber dennoch so umfassend wie nötig sein, um ein genaues Bild der Bedrohungslage zu zeichnen.

Schritt 5: Das Risikoniveau regelmäßig

überprüfen

Abschließend empfiehlt sich als fünfter Schritt eine regelmäßige Überprüfung des Risikoniveaus, sei es durch interne oder externe Experten. Bei letzteren hilft oft ihr unvoreingenommener Blick, verdächtige Änderungen oder ungewöhnliche Dinge zu entdecken. Als Basis für die Prüfung des Risikoniveaus kann die anfangs vorgenommene Risikoanalyse dienen. Aber auch ungewöhnliche Wege wie so genannte Penetrationstests in Testanlagen oder Testaufbauten bringen neue Erkenntnisse über das Bedrohungsumfeld. Dabei müssen diese simulierten Angriffe nicht ausschließlich technischer Natur sein. Die Organisation, deren Umgang mit Informationen sowie die Zugänglichkeit von Informationen (zum Beispiel Zutritt zu kritischen Fertigungsbereichen) sollten ebenfalls begutachtet werden. Mit diesen fünf Schritten lassen sich Gefahren wie Sabotage, das (unbeabsichtigte) Einschleusen von Viren und Trojanern oder Datenklau beziehungsweise Wissensdiebstahl zwar nicht vollkommen ausschließen, aber minimieren.

Industrial Security ist ein facettenreiches Thema, bei dem sich jedes produzierende Unternehmen seine „Komposition“ an kontinuierlichen Schutzmaßnahmen zusammenstellen muss. Besonders für Mittelständler kann es empfehlenswert sein, auf externe Dienstleister zurückzugreifen. So unterstützt etwa die Siemens-Division Customer Services Industriekunden, die IT-Sicherheit ihrer Anlagen so weit wie möglich zu erhöhen. Das Angebot reicht von der Risikoanalyse und Beratung bis zur Umsetzung von umfassenden Security-Lösungen sowie deren Instandhaltung. Wichtig ist: Nur, wenn Industrial Security-Maßnahmen dauerhaften Einzug in die Unternehmenskultur finden, können sie einen wesentlichen Beitrag zu einem dauerhaft niedrigen Risikoniveau leisten.

Stefan Woronka Business Development Industrial Security Services, Siemens AG, Karlsruhe