accenture

Datendiebstahl, Abschalten von Alarmen, Störungen einzelner Maschinen und somit des gesamten Betriebsablaufes: Auch kleine Unternehmen sind von Hacker-Angriffen betroffen. - Bild: Accenture/kaur-kristjan

Am Ende geht alles ganz schnell: schon nach ein paar Minuten hat der Angriff Erfolg; der Zugang zum PLC-Controller ist hergestellt. Jetzt sind sämtliche Log-Daten und Steuerbefehle der Fertigungsstrecke zugänglich. Die Fabrik ist also nicht mehr sicher – und das nur, weil eine Anlagensteuerung mit dem Internet verbunden und nicht ausreichend geschützt war.

Eine Schreckgeschichte? Keineswegs. Das beschriebene Szenario ist das Resultat einer Simulation, die eine Hacker-Gruppe von Accentures „Cyber Defence Teams“ im Kundenauftrag umgesetzt hat. Die Spezialisten sollten die Netzwerke des Unternehmens untersuchen, um die Verletzbarkeit der damit verbundenen Industrieanlagen zu überprüfen – und es gelang ihnen innerhalb weniger Minuten, Controller mit veralteter Firmware und überholten Schutzvorkehrungen zu entdecken.

Der Angriff, den die Berater daraufhin simulierten, wäre in Wirklichkeit verheerend gewesen: Datendiebstahl, Abschalten von Alarmen, sogar das Stören einzelner Maschinen und somit des gesamten Betriebsablaufes wären möglich geworden. Schlimmer noch: die „Hacker“ hätten den gesamten Angriff derart tarnen können, dass der Einbruch erst mit einiger Verzögerung bemerkt worden wäre. Und das alles obwohl sie nicht einmal in die Nähe des betroffenen Werkes gelangt waren – die „angegriffene“ Industrieanlage steht tausende Kilometer vom Computer der Hacker entfernt, auf einem anderen Kontinent.

Wie kann das sein? Und: wie derartige Übergriffe verhindern?

Die Ursachen für IIoT-Risiken verstehen

Diese Frage ist natürlich keineswegs neu, im Gegenteil: von immer neuen Vorfällen und Schlagzeilen getrieben, erreicht das Thema Cybersecurity inzwischen viele Entscheider und enthält entsprechend viel Aufmerksamkeit. Besser noch: Unternehmen jeder Größe verbessern vor allem den Schutz ihrer klassischen IT-Umgebungen immer weiter.

Doch das bedeutet nicht, dass keine Lücken mehr bestünden – im Gegenteil. Denn einerseits gibt es gerade im Zusammenhang mit dem „Industrial Internet of Things“, kurz IIoT, noch immer teils erheblichen Verbesserungsbedarf. Andererseits setzt sich die Erkenntnis, dass die bloße Abwehr von Eindringlingen nicht genügt, nach wie vor erst langsam durch; die Fähigkeit vieler Firmen, einmal erfolgte Einbrüche zu entdecken und zu beenden, lässt dementsprechend weiter zu wünschen übrig.

Gerade bei industriellen Leitsystemen und Steuerungen mit Netzwerk-Verbindung galt lange Zeit die Annahme: die verwendete Technik ist derart proprietär, dass kaum ein Hacker je auf die Idee käme, die entsprechenden Geräte anzugreifen. Das ist längst vorbei: Der großflächige Angriff mit der inzwischen berühmten „Stuxnet“-Schadsoftware hat jeden Irrglauben an diese Art „Sicherheit“ gründlich beseitigt.

Zwar hat sich seitdem viel getan; rund 69 Prozent aller deutschen Unternehmen verfügen heute über umfängliche Cybersecurity-Konzepte. Doch der Schutz physischer Anlagen spielt in diesen Konzepten meist noch eine untergeordnete Rolle; nur etwa ein Drittel von ihnen priorisiert entsprechende Maßnahmen.

Und: die extremen Wachstumsraten von IoT and IIoT bringen mit sich, dass auch die Zahl der Angriffsflächen wächst, die Hacker zum Einstieg in Industrieanlagen nutzen können. Gerade Industrieunternehmen können hiermit meist nur sehr begrenzt Schritt halten – ihnen fehlen meist schlicht die Ressourcen, um Updates und Upgrades für die „Embedded Software“ in ihren Steueranlagen einzukaufen. Zudem stehen ihre IT-Experten zum Teil noch immer ganz am Anfang, was die Entwicklung wesentlicher Verfahren wie etwa „Security-by-Design“ für die Maschinenvernetzung betrifft.

Nicht zuletzt deshalb finden Experten immer wieder Steuerungen kritischer Infrastruktur-Elemente, die schlecht oder gar nicht geschützt vom Internet aus zugänglich sind – vom Schutz gegen gezielte Angriffe gar nicht zu reden.

Risiko „Angriff von innen“

Wenn von Cyber-Risiken die Rede ist, stehen dabei meist Angriffe von außen im Vordergrund – und dies durchaus zurecht. In der Praxis spielen diese Gefahren tatsächlich eine untergeordnete Rolle: Die Mehrzahl der Bedrohungen entsteht nämlich meist im Inneren der Unternehmen.

Bei einer Accenture-Umfrage unter IT-Verantwortlichen bewerteten nur rund 28 Prozent der Befragten aus Deutschland „Angriffe von außen“ als gefährlichste Bedrohung – 33 Prozent vergaben diese Bewertung dagegen für „Angriffe von Innen“. Unternehmen sollten die Bedrohung durch übelwollende oder gar kriminelle (Ex-)Mitarbeiter daher keinesfalls unterschätzen.

Cyber-Risiken gezielt vorbeugen

Wie diese Ausgangslage ändern? Stark vereinfacht: Industrieunternehmen müssen weitergehen als nur Naheliegendes umzusetzen wie den Einsatz von Firewalls, die Abgrenzung kritischer Netzwerkelemente, den Schutz und die Verwaltung von Zugriffsrechten oder das Einspielen von Patches.

Stattdessen benötigen die Unternehmen umfassende Sicherheits-Konzepte, die außer all diesen Dingen auch Mittel und Maßnahmen zur Einbruchs- und Manipulationserkennung sowie deren Unterbindung umfassen – und zwar nicht nur für die IT im Rechenzentrum, sondern auch die mit „Operational Technology“ (kurz: OT) in der Fabrik. Sowohl IT als auch OT sollten resilient gemacht werden, das heißt: mit Verfahren zur Prüfung von Signalen und der Überwachung von Netzwerk-Verkehren versehen.

Zu diesen Konzepten gehören überdies auch unbedingt vorbereitende Pläne zum Umgang mit Angriffen. Um diese schmieden zu können, benötigen die Verantwortlichen ein gutes Verständnis davon, welche Ziel-„Flächen“ die eigene Unternehmung bietet und auf welchem Wege Angreifer diese nutzen könnten. Diese umfassende Perspektive einzunehmen, ist selbstverständlich keine Einmal-Aufgabe: Risiko-Bewertung und Umfeld-Beobachtung sollten vielmehr fortlaufend erfolgen. Wirklich sicher sein kann nur, wer ständig wachsam ist und sich vorbereitet – und zwar auch auf den Fall, dass ein Angriff gar nicht abzuwehren ist und erfolgreich verläuft. Sprich: das eigene Konzept sollte „Contingency Plans“ ebenso vorsehen wie Recovery-Abläufe zur Wiederherstellung „verlorener“ Systeme.

Überhaupt verlangt umfängliche IIoT-Sicherheit nach weit mehr als nur Cybersecurity-Technik. Das gesamte Thema sollte, von oberster Stelle getrieben, in die Geschäfts- und Betriebsplanung eingebunden und auch mit Zulieferern und Partnern gemeinsam behandelt werden. Wichtig dabei: Die entsprechenden Überlegungen und Pläne dürfen sich nie allein auf IT und Fabriktechnik beschränken, sondern müssen überdies die der Technik zugrundeliegenden Wertschöpfungsketten und Geschäftsmodelle einbeziehen. Und: blindes Vertrauen auf die Versprechungen einzelner Software-Hersteller oder IT-Dienstleister ist immer fehl am Platz!

Entscheidend ist vielmehr der Aufbau eines umfänglichen Satzes an „Grundfähigkeiten“, der neben reinen Schutz-Fähigkeiten vor allem auch solche zur Bewertung von Risiken umfasst, zur Beobachtung von Bedrohungs-Kontexten sowie zum sicherheitsgerichteten Management von Unternehmen und Ökosystem.

Oder anders: Die Verantwortlichen im Unternehmen müssen sich zuallererst über die möglichen Folgen gezielter Angriffe auf die Steuerungsanlagen im Unternehmen klarwerden. Ist dieser Schritt vollzogen, können entsprechende Prioritäten für den Anlagenschutz abgesteckt und dazu passende Pläne entwickelt werden. Dazu zählt – nebst dem proaktiven Schutz – auch eine präventive und permanente Analyse möglicher Angreifer, die Vorbereitung entsprechender Maßnahmen sowie die Bereitschaft zur Eingrenzung und Unterbrechung erfolgreicher Angriffe.

Mehr zum Thema? Finden Sie hier:

Alle hier erwähnten Statistiken entstammen dem Accenture „State of Cyber Resilience“-Report, den Sie hier einsehen können.

Mehr über Accenture Cyber Security Services finden Sie auf dieser Website oder bei Uwe Kissmann auf LinkedIn.