Cyberattacken sind auf dem Vormarsch - (Bild: Pixabay)
"Je stärker die Systeme vernetzt sind, desto mehr steigt die Gefahr von Angriffen." - Mirko Funk, Teamleiter IoT Analytics Services bei T-Systems
Auf einer Cybersecurity-Konferenz von Kapersky Lab in Berlin kam vor kurzem die Frage auf, wie sich Unternehmen überhaupt schützen können, wenn viele Hardwarekomponenten vom Hersteller eingebaute Hintertüren zum Beispiel für die Fernwartung haben.
Auch die aktuellen News um eine vermutete russische Cyberattacke werfen ein Schlaglicht auf dieses Thema. Betroffen sind vor allem Router, Switches und Firewalls von Cisco, darunter Cisco Smart Install SMI, ein Plug&Play-Service zur Fernkonfiguration.
Das Problem liegt zudem bei den Anwendern, die neue Sicherheitspatches verschlafen. In der Industrial-Control-Welt gibt es viele Minicomputer mit Betriebssystemen und Software, die angreifbar sind, so insbesondere durch die immer häufiger in der Industrie eingesetzten Chipsets für WLAN, erklärte Frank Rieger, Sprecher des Chaos Computer Clubs auf dem Fachkongress Industrie 4.0.
Ende letzten Jahres musste beispielsweise Qualcom Atheros eine Sicherheitslücke schließen, die durch Linux-Treiber entstand, mit denen Chipsets angefahren werden. „Die Verkettung und die Vielzahl von möglichen Angriffswegen führt dazu, dass man die Beherrschbarkeit dieser Technologie grundsätzlich in Frage stellen muss“, warnt Frank Rieger vom Chaos Computer Club.
Vernetzung schafft Sicherheitslücken
Dass die IT geschützt werden muss, ist in fast allen Unternehmen angekommen, anders sieht es jedoch noch immer mit dem Schutz der OT, der Operation Technology aus. Hier hat sich mit Konzepten wie Internet der Dinge und Industrie 4.0 in der Produktion einiges getan. Zwar werde bis zu 20 Prozent und mehr Effizienz durch Industrie 4.0-Strategien versprochen, doch zugleich gehe damit auch ein negativer Effekt einher, konstatiert Mirko Funk, Teamleiter IoT Analytics Services bei T-Systems: „Je stärker die Systeme vernetzt sind, desto mehr steigt die Gefahr von Angriffen“.
Waren die – in der Regel proprietären – Systeme wie in der Fabrik bisher durch die Außenmauern geschützt und in sich geschlossen, hat sich die Lage in den letzten Jahren deutlich verändert. „Man bindet die Netze in der Produktion an das Internet an, um zum Beispiel Standorte zu vernetzen oder Remote-Wartungen durchzuführen. Sobald aber eine Schnittstelle in die OT-Netzwerke entsteht, gibt es auch einen potentiellen Kanal für Angriffe“, erklärt Funk.
Eine Wahl haben die Unternehmen aber heute auch nicht mehr. „Beispielsweise an der Schnittstelle zum Logistiker, die über die Anlieferung von Teilen Just in Time oder Just in Sequence entscheidet, führt kein Weg vorbei“, so der Security-Experte.
Erpressungstrojaner nehmen zu
Unter dem Begriff Ransomware (Ransom: Lösegeld) haben im letzten Jahr mehrere Angriffe von sich reden gemacht, bei denen Daten verschlüsselt wurden. Für die Dechiffrierung wird dann Geld erpresst:
- Wannacry: Die Malware für Windows legte im Mai 2017 über 230.000 Server lahm, betroffen war unter anderem die Deutsche Bahn.
- NotPetya: Das Logistikunternehmen Maersk gab vor kurzem bekannt, durch die Ransomware-Attacke Nonpetya in 2017 mehrere Millionen Dollar verloren zu haben.
- Petya: In 2017 machte auch Petya von sich reden, ein sogenannter „Wiper“. Statt nach Lösegeldzahlung für die Entschlüsselung von Daten zu sorgen, bleiben sie verloren.
Sabotage und Erpressung: Angriffsziel Fabrik
Typische Angriffsszenarien sind Sabotage, Manipulation von Anlagen, die absichtliche Erzeugung eines Störfalls, Datendiebstahl und Spionage. Zwar führen die Wege vom Produktionsnetz nicht unbedingt zum Intellectual Property der F&E-Abteilung, doch aus den Informationsflüssen lassen sich Rückschlüsse ziehen, wie produziert wird.
Betroffen sind vor allem Industrieanlagen und kritische Infrastruktur zum Beispiel der Energie- und Wasserversorger. „Das hat auch der Gesetzgeber erkannt. Mit der Kritis-Verordnung sind die Betreiber von kritischen Infrastrukturen ab dem 1. Mai verpflichtet, ihre Anlagen State of the Art abzusichern“, sagt der Security-Experte.
„Ein sehr realistisches Angriffsszenario auf produzierende Unternehmen und den Maschinen- und Anlagenbau ist Erpressung, wie wir sie vom Wannacry-Virus kennen: Angreifer verschlüsseln Anlagen, bis die geforderte Summe in digitalen Währungen bezahlt wird.“ - Mirko Funk
Eindringlinge erkennen: Intrusion Detection
Mit ESLOCKS – steht für Embedded Security Locks – hat T-Systems eine Lösung für die Erkennung von Eindringlingen (Intrusion Detection) entwickelt, die Anomalien auf Industrienetzwerken erkennt. Das selbstlernende System beobachtet zunächst den Datenverkehr, der zwischen den Maschinen läuft, und bildet daraus mittels Machine-Learning-Algorithmen ein Modell, innerhalb welcher Parameter sich das Netzwerk im Normalfall verhält. Anschließend wird die Lösung „scharf geschaltet“ und gleicht sämtlichen Traffic gegen das Modell ab.
Die Abwehrsoftware wird auch weiterhin trainiert, zum Beispiel lernt sie auch dazu, wenn eine Anomalie unproblematisch ist. Intrusion Detection ist für Funk ein Baustein, der neben Firewalls und Verschlüsselungstechnologien zum Einsatz kommt. Erst wenn mit der entsprechenden kriminellen Energie die Barrieren nach außen überwunden worden sind, kommt ESLOCKS zum Zug und schützt die Produktion.
„Hacker gehen in der Regel so vor, dass sie sich auf Netze draufschalten, erst einmal mitlauschen und dann Angriffsvarianten ausprobieren. Das würde den Verkehr beeinflussen und vom System als Anomalie erkannt werden“, erklärt Mirko Funk.
KMUs zunehmend von Cyberattacken betroffen
Ein häufiges Angriffsziel ist das Ausspähen von Intellectual Property. „Die Dax-30-Unternehmen haben teilweise sehr gute Infrastrukturen aufgebaut, aber die Zulieferer, das Rückgrat der deutschen Wirtschaft, machen hier so gut wie nichts: Das ist das schwächste Glied in der Kette, da haben wir ein Riesenproblem“, erklärte Hans-Wilhelm Dünn, Generalsekretär des Cyber-Sicherheitsrat Deutschland e.V. auf dem Kapersky-Forum „Die Zukunft der Cybersicherheit“.
Das ein oder andere Unternehmen werde deshalb in fünf Jahren nicht mehr am Markt sein. Dünn nennt das Beispiel eines Automotive-Zulieferers, der seine Bremskomponente auf einem anderen Messetisch in Shanghai zu einem Drittel des Preises gesehen habe.
Eine forensische Untersuchung ergab, dass seit über vier Jahren Daten abgesaugt worden seien. Industriespionage sei ein existentielles Problem, mit dem wir in Zukunft noch sehr viel mehr zu tun haben werden, ist sich der Experte sicher.
Security-Vorfälle nehmen zu
Auch der VDMA hat sich intensiv mit dem Thema Industrial Security auseinandergesetzt. Eine Studie dazu unter Mitgliedsunternehmen von Ende 2017 zeigt, dass rund 60 Prozent der Befragten in den nächsten Jahren eine steigende Anzahl von Security-Vorfällen erwarten. Bei betroffenen Unternehmen sind zu 50 Prozent Kapitalschäden die Folge, bei einem knappen Drittel Produktionsausfälle. Auf der Liste der Dinge, vor denen Unternehmen am meisten Angst haben, liegt nach menschlichem Versagen und Sabotage auf Platz zwei das Einschleusen von Schadsoftware auf Maschinen und Anlagen. Dann folgen Social Engineering und Phishing und auf Platz vier die Infektion mit Schadsoftware über das Internet oder Intranet. Unter Social Engineering wird der Versuch verstanden, Menschen beispielsweise dazu zu manipulieren, vertrauliche Informationen preiszugeben.
Der VDMA hat in Kooperation mit dem Münchner Start-Up „University4Industry“ eine das Security-Wissen aus der industriellen Anwendung von Industrie 4.0 strukturiert aufbereitet und in Form eines digitalen Fortbildungsprogramms zugänglich gemacht. University4Industry informiert zum Beispiel über das Konzept „Defense in depth“.
