Ransomware als Gefahr für den Maschinenbau

Als der Automatisierer Pilz 2019 Opfer eines Ransomware-Angriffs wurde, wurden Unternehmensdaten verschlüsselt und die Produktion musste vorübergehend ruhen. Pilz ging damals nicht auf die Forderungen der Erpresser ein, sondern wandte sich an die Polizei. Das schützte viele weitere Unternehmen vor ähnlichen Angriffen, wie sich im Nachhinein herausstellte: Die Behörden konnten 20 Server der Angreifer aufspüren und ausschalten. Dabei identifizierten und warnten sie weitere 250 Unternehmen, die bereits ausgespäht worden waren.

Lukratives Geschäftsmodell: Ransomware-as-a-Service

Steffen Zimmermann, Leiter des Competence Center Industrial Security beim VDMA verweist auf die wachsende Bedrohungslage vor allem durch Ransomware-Angriffe. In seiner Branche wird etwa ein Unternehmen pro Woche Opfer eines Ransomware-Angriffes.

„Dennoch schieben viele Unternehmen das Thema Security gerne auf die lange Bank“, so Zimmermann. Inzwischen bieten Kriminelle bereits Ransomware-as-a-Service, kurz RaaS, an - ein lukratives Geschäftsmodell. Die Drohszenarien werden dabei immer raffinierter: „Statt Daten nur zu verschlüsseln ist es mittlerweile gängige Praxis, dass die Täter im nächsten Schritt dem betroffenen Unternehmen und im dritten Schritt - der Triple Extortion - auch dessen Kunden mit der Veröffentlichung der Daten drohen“, heißt es im Lagebericht des BSI.

Insgesamt entsteht der deutschen Wirtschaft laut einer aktuellen Studie der Bitkom jährlich ein Schaden in Höhe von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage.

Schadsoftware verbreitet sich über File-server, ERP- und MES-Systeme

Ransomware-Angriffe zielen primär nicht darauf ab, Schäden an Maschinen anzurichten oder Produktionsabläufe zu stören. Dennoch gerät häufig die Produktion ins Stottern. Durch die Verbreitung von Ethernet-basierten Netzen und Protokollen und deren Verbindung mit Systemen im Unternehmensnetz (File-server, ERP-, MES-Systeme, etc.) kann sich Schadsoftware leichter ausbreiten.

Doch auch wenn die Schadsoftware nicht ins OT-Netz gelangt, kann sie Folgen für die Abläufe in der Produktion haben. In einem OT-Netzwerk (Operative Technologien) sind Sensoren und Aktoren an eine Steuerung angeschlossen und überwachen Umgebungsbedingungen, erkennen Objekte oder lösen nach vorgegebenen Bedingungen Aktionen aus.

„Wird die Office-IT lahmgelegt, fehlen die für die Produktion notwendigen Daten, wie Auftragsdaten. Die Produktion steht zwar nicht still, aber der Prozess wird behindert“, sagt Andy Carius. Er ist CTO bei der Indu-Sol GmbH, einem Unternehmen, das seinen Fokus auf die Überwachung des Netzwerks im Produktionsumfeld und dessen Sicherheitsbedrohungen gelegt hat.

Security-Maßnahmen in OT-Netzwerken

Schutzmaßnahmen allein reichen heute nicht mehr aus, die die Schnittstellen zur Produktion schützen. Auch innerhalb von OT-Netzen kommt es immer wieder zu Security-Problemen. Zu den häufigsten Bedrohungen gehört laut BSI Schadsoftware, die über Wechseldatenträger und mobile Systeme ins OT-Netz gelangt. "Zudem schränken häufig Fehlbedienungen von Mitarbeitern oder Fehlfunktionen von Software die Verfügbarkeit von Maschinen und Anlagen ein“, berichtet Carius.

Security-Maßnahmen in OT-Netzwerken sind also zwingend notwendig, doch nicht einfach umzusetzen – es fehlt die Manpower: „Während beispielsweise 50 Mitarbeiter das IT-Netzwerk eines Unternehmens mit maximal 100 Endgeräten verwalten, kümmern sich fünf Mitarbeiter in der Instandhaltung auf OT-Ebene um manchmal 10.000 Endgeräte“, so Carius. Die Instandhaltung ist für die Überwachung und Pflege des OT-Netzwerks und aller Netzwerkkomponenten zuständig – neben ihrer eigentlichen Aufgabe der Wartung von Maschinen und Anlagen.

Digitalisierung vergrößert Angriffsflächen

Der Aufwand für den Betrieb von IT-Systemen wird häufig unterschätzt. „Ein digitales Abbild aller Prozesse aufzubauen hat zur Folge, dass die Anzahl an IT-Systemen und Funktionen stark zunimmt. Doch wieviel Aufwand die IT-Systeme im Betrieb erfordern, wird oft nicht betrachtet“, so Zimmermann.

Jede zusätzliche Software vergrößert aber die Angriffsflächen. In Soft- und Hardware finden sich immer wieder Schwachstellen und Fehler, die von Angreifern genutzt werden können. „Wo früher ein, zwei IT-Spezialisten ausreichend waren, sind heute ganze Abteilungen beschäftigt. Gerade für kleine und mittlere Unternehmen ist deren Rekrutierung aber schwierig. Der Druck auf KMUs steigt“, so Zimmermann. Was tun? 

Cyber-Risiko-Check

Die jeweils erforderlichen Security-Maßnahmen müssen auf Unternehmen und Risiko zugeschnitten sein. Dazu muss das Risiko zunächst einmal korrekt und detailliert eingeschätzt werden. Das BSI bietet KMU zur Unterstützung einen Cyber-Risiko-Check in Form eines ein- bis zweistündigen Interviews mit einem IT-Experten an. Doch welche Maßnahmen eingesetzt werden, entscheidet die Geschäftsführung.

„Oft mangelt es an Risiko-Kompetenz der Unternehmensleitung“, berichtet Zimmermann. Der Stellenwert dieser Kompetenz wird so hoch eingeschätzt, dass die NIS2-Richtlinie, die Anfang 2023 in Kraft trat und bis Oktober 2024 in nationales Recht umgesetzt werden muss, nun Geschäftsführer für Schäden durch Cyber-Angriffe persönlich haftbar macht. Kennt man die Risiken, empfehlen die Experten vom VDMA und BSI ein Vorgehen nach dem Prinzip 'Risiken verringern, vermeiden, akzeptieren oder transferieren'.

Durch Awareness-Schulungen, organisatorische Maßnahmen oder den Einsatz von Security-Produkten können Risiken verringert werden. Vorgaben für Sicherheitsfunktionen in OT-Netzen beschreibt die Norm IEC 62443 'Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme'.

Verfügbarkeit der Anlage durch Security sicherstellen

Die IEC 62443-3-3 bezieht sich auf die Bereiche Identifizierung/Authentifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeit der Daten, eingeschränkten Datenfluss, rechtzeitige Reaktion auf Ereignisse sowie die Verfügbarkeit der Ressourcen. Hersteller wie Siemens, Indu-Sol oder Pilz bieten dafür Lösungen wie etwa den SINEC Inspector and Monitor von Siemens oder den PROFINET-INspektor von Indu-Sol.

„Mit unseren Produkten prüfen wir die Datenkommunikation auf unerwünschte Veränderungen in puncto Security wie zum Beispiel plötzlich stark erhöhten Traffic oder veränderte Portbelegungen oder segmentieren einzelne Netzwerkbereiche“, erklärt Carius. So kann die Verfügbarkeit der Anlage sichergestellt werden. Handelt es sich um die Sicherheitseinrichtungen einer Maschine, können Security- Auffälligkeiten, Fehlbedienung oder Softwarefehlfunktionen schnell zu einer Gefahr für Leib und Leben werden.

Korrekte Benutzerauthentifizierung und Zugriffsschutz

Um zu verhindern, dass Not-Aus-Schalter oder Lichtschranken manipuliert werden, können Systeme wie das Betriebsartenwahl- und Zugangsberechtigungssystem PITmode fusion von Pilz eingesetzt werden, es beinhaltet eine Überwachung der Betriebsart und der Zugangsberechtigungen. In Kombination mit einem Schutztürsystem ist die korrekte Benutzerauthentifizierung, Qualifizierung und der Zugriffsschutz abgesichert.

Sollte sich ein Unfall oder Security-Vorfall an der Maschine ereignen, lässt sich über das Auslesen des RFID-Transponders nachvollziehen, wer wann welche Änderung vorgenommen hat. Das ist insbesondere bei Security-Vorfällen wichtig, um gezielt Gegenmaßnahmen einleiten zu können.

Defense in depth-Konzepte

Siemens bietet seinen Kunden Lösungen an, die auf einem mehrschichtigen Sicherheitskonzept basieren. „Das Defense in depth-Konzept-Angebot umfasst die für Industrieunternehmen entscheidenden Sicherheitsstufen Anlagensicherheit, Netzwerksicherheit und die Systemintegrität von Automatisierungssystemen“, sagt Michael Metzler, Vice President Horizontal Management Cybersecurity for Digital Industries, Siemens AG. Dazu gehört zum Beispiel Software für eine sichere Asset-Identifizierungs- und Gefahrenerkennung, Firewall- und VPN-Appliances.

Ein-Wege-Kommunikation

Ein Beispiel für die Vermeidung von Risiken ist die Ein-Wege-Kommunikation. Werden Prozesse in der Produktion zum Beispiel lediglich überwacht und nicht gesteuert, sinkt das Risiko. „In älteren Anlagen ist das Risiko oft kleiner, da Sensoren oder Aktoren nicht von außen gesteuert werden können“, berichtet Zimmermann. Die Ein-Wege-Kommunikation ist also in dieser Hinsicht von Vorteil.

Und manche Risiken muss man einfach hinnehmen. „Wenn ältere Maschinen das Ende ihrer Laufzeit erreichen und keine Updates mehr verfügbar sind, steigt deren Verwundbarkeit. Gleichzeitig wäre ein großer Aufwand nötig, um sie aufzurüsten. Angesichts des verbleibenden Zeitrahmens wäre der zu hoch. Also nimmt man ein Restrisiko in Kauf“, erklärt Zimmermann.

Cyber-Risiken auslagern

Transferiert werden können Risiken an Versicherungen. Auch kann die Verantwortung für IT-Infrastrukturen ebenso wie Security-Projekte an einen Dienstleister übergeben werden. Als Beispiel nennt Zimmermann die Auslagerung von Exchange-Servern. „Wird dieser von einem Cloud-Anbieter betrieben, trägt der das Risiko. Dadurch entstehen allerdings neue finanzielle Abhängigkeiten“, so Zimmermann.

Je nach Art des Unternehmens und Art der Prozesse mag eine Kombination für jedes Unternehmen anders aussehen. Doch trotz aller Maßnahmen sollte man eines im Hinterkopf behalten: „Eine 100prozentige Sicherheit gibt es nicht“, so Zimmermann. Menschen machen Fehler, auch sichere Hard- und Software kann schlecht konfiguriert sein, oder Schwachstellen haben. Zimmermann verweist auf Citrix Bleed, eine Schwachstelle, die vor Kurzem in ‚sicheren‘ Netscaler-Servern entdeckt wurde.

überarbeitet von: Dietmar Poll