Waren Cyberangriffe auf Maschinen und Anlagen lange kein Thema, entstehen der deutschen Wirtschaft dadurch heute pro Jahr mehr als 206 Milliarden Euro Schaden. Doch die Tools PSIRT und CERT versprechen Abhilfe.

Waren Cyberangriffe auf Maschinen und Anlagen lange kein Thema, entstehen der deutschen Wirtschaft dadurch heute pro Jahr mehr als 206 Milliarden Euro Schaden. Doch die Tools PSIRT und CERT versprechen Abhilfe. (Bild: DudeDesignStudio - stock.adobe.com)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebricht zur IT-Sicherheit, dass 2023 jeden Monat 2.000 Schwachstellen in Softwareprodukten gemeldet wurden. Davon galten 300 als kritisch. Zwar betrifft nur ein geringer Teil davon die Operational Technology (OT) in den Fabrikhallen. Aber wenn Industrieunternehmen angegriffen werden, dann zielen die Angriffe nach einer Studie von Rockwell Automation aus dem vergangenen Jahr immer mehr auf SCADA Systeme und Industriesteuerungen. Insgesamt entsteht nach Berechnungen des Digitalverbands Bitkom der deutschen Wirtschaft pro Jahr mehr als 206 Milliarden Euro Schaden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage.

Cyberangriffe auf Maschinen und Anlagen

Lange Zeit waren Cyberangriffe auf Maschinen und Anlagen kein Thema, denn sie hatten keine Datenverbindungen zu Netzwerken oder gar dem Internet of Things. Aber die Vorteile der Vernetzung sind zu groß, um sie nicht umzusetzen: Fernwartung entlastet die Instandhaltung, der Datenaustausch mit der IT erhöht die Flexibilität für die Herstellung kleinerer Losgrößen, und für die Qualitätssicherung kommt immer häufiger Cloud-basierte Künstliche Intelligenz zum Einsatz. Das BSI weist zudem darauf hin, dass etablierte Schutzmaßnahmen aus dem Büroumfeld nur bedingt auf die Steuerungstechnik von Maschinen übertragbar sind.

Automatisierungshersteller bieten Schutz mit PSIRT und CERT

Diese Risiken kennen auch die Hersteller von intelligenten Komponenten und Systemen für den Maschinenbau. Eine ganze Reihe von ihnen haben bereits vor Jahren begonnen, Product Security Incident Response Teams (PSIRT) oder Computer Emergency Response Teams (CERT) zu installieren. Ähnlich wie 'Spezialeinsatzkommandos' bei Polizeibehörden, arbeiten sie schnell und konzentriert Gefahrensituationen ab.

Beispiel Wago, spezialisiert auf elektrische Verbindungs- und Automatisierungstechnik: „2012 hat Wago die erste Schwachstellenmeldung erhalten und daraufhin das PSIRT gegründet“, erinnert sich Christopher Tebbe, Security Technology Management bei Wago und Mitglied des PSIRT Teams. Aus seiner Sicht erwarten die Kunden eine zentralisierte und möglichst automatisierte Bereitstellung von Informationen zu Schwachstellen und deren Behebung. „Das Interesse nimmt dabei stetig zu und die Zusammenarbeit mit Kunden und Researchern als Partner ist sinnvoll und hilfreich“ ist sich Tebbe sicher.

Auch der Antriebsspezialist SEW Eurodrive hat mit CERT bereits vor Jahren ein spezielles Team geschaffen und eine eigene Seite auf der Homepage für das Product Security Management (PSM) eingerichtet. „So funktioniert die Kommunikation zwischen dem Team und Anwendern und Kunden einfach“, hebt Hans-Joachim Müller, Marktmanager Antriebselektronik bei SEW Eurodrive, hervor. „Diese Seite wird auch schon rege genutzt und erhält stetig mehr Aufmerksamkeit.“

Christopher Tebbe, Wago
Zitat

Es braucht ein kompetentes und interdisziplinäres Team aus Security-Verantwortlichen, Entwicklung, Produktmanagement, Kundensupport und Vertrieb", sagt Dr.-Ing. Christopher Tebbe, Security Technology Management bei Wago und Mitglied des PSIRT.

(Bild: Wago)

Was für Cyber-Sicherheit notwendig ist

Für Christopher Tebbe steht bei PSIRT der ganzheitliche Ansatz im Mittelpunkt: „Es braucht ein kompetentes und interdisziplinäres Team aus Security-Verantwortlichen, Entwicklung, Produktmanagement, Kundensupport und Vertrieb.“ Eine Einschätzung, die auch Müller teilt: „Je besser die Kommunikation und die Zusammenarbeit sowohl intern als auch firmenübergreifend funktioniert - je offener der Umgang mit dem Thema ist - umso besser für die Cyber-Sicherheit.“

Solche Teams sind ein integraler Bestandteil für den Secure by Design-Ansatz. Sowohl Wago als auch SEW haben ihre Prozesse für sichere Produkte der Automatisierung und Steuerung nach IEC 62443-4-1 zertifiziert, ein wichtiges Kriterium bei der Lieferantenauswahl.

Hans-Joachim Müller, Marktmanager Antriebselektronik bei SEW Eurodrive
Zitat

Je besser die Kommunikation und die Zusammenarbeit sowohl intern als auch firmenübergreifend funktioniert - je offener der Umgang mit dem Thema ist - umso besser für die Cyber-Sicherheit", sagt Dipl. Ing (FH) Hans-Joachim Müller, Marktmanager Antriebselektronik bei SEW Eurodrive.

(Bild: SEW Eurodrive)

Security by Schlagzeile

Die Hinweise über Schwachstellen kommen sowohl von Security-Researchern aus der Wissenschaft wie von Kunden. Aber auch anlassbezogen melden sich Kunden. „Oft werden dann konkrete Fragen gestellt, wenn die Nutzer gerade damit beschäftigt sind, Risiken zu evaluieren und die Infrastruktur abzusichern“, beschreibt Müller ein Muster.

Sobald es eine Sicherheitslücke in die Nachrichten schafft, springen die Anfragen dramatisch hoch. „Schönes Beispiel war die Schwachstelle in log4j, da kamen so viele Anfragen, dass wir uns dazu entschlossen, eine Security-Advisory zu veröffentlichen, dass wir nicht betroffen sind und keine Maßnahmen in Bezug auf unsere Produkte und Lösungen zu ergreifen sind“, berichtet der Marktmanager Antriebselektronik bei SEW Eurodrive.

Log4j war eine frei verfügbare Softwarebibliothek, die in einer unübersehbaren Zahl von Softwarelösungen im Consumer- und Investitionsgüterbereich eingesetzt wird. Die Schwachstelle wurde vom BSI 2021 als extrem gefährlich eingeschätzt.

Auffinden von Schwachstellen

Das Finden von Schwachstellen ist nur ein Teil der Aufgabe von PSIRT und CERT. Noch wichtiger ist es, die Kunden und Anwender zu informieren und mit konkreten Handlungsanweisungen und Sicherheitsupdates zu versorgen. Manche Hersteller verbergen die Hinweise auf ihren Webseiten, weil sie sich um ihren Ruf sorgen. Andere wie Wago und SEW Eurodrive stellen ihre Security Advisories offen zur Verfügung und bieten Newsletter-Abonnements oder einen RSS-Feed an.

Herstellerübergreifende Plattform für Security

Wago arbeitet darüber hinaus mit CERT@VDE zusammen. CERT@VDE ist die erste OT-Sicherheitsplattform in Deutschland für Unternehmen im Bereich der Embedded Software Systeme, wozu auch Automatisierungstechnik oder Medizingeräte gehören. Die Plattform unterstützt die Teilnehmer bei der Bewältigung entdeckter oder von Dritten gemeldeten Schwachstellen. Sie bringt dazu Kunden, Partner und andere Firmen der Zielgruppe sowie von anderen CERTs und weiteren vertrauenswürdigen Partnern aus Wissenschaft und Forschung zusammen.

Mehr als 40 Automatisierungshersteller und Maschinenbauer beteiligen sich mittlerweile aktiv im CERT@VDE. Das vereinfacht es Anwendern die Warnmeldungen (Advisories) verschiedener Hersteller zu finden, anstatt auf über 40 Webseiten zu suchen. „Was das einzelne Unternehmen nicht leisten kann, leistet CERT@VDE durch Kompetenz und Vernetzung, lautet die Devise“, so Andreas Harner, Leiter des CERT@VDE.

Kommunikation zwischen Herstellern, Meldern und Betreibern

CERT@VDE unterstützt zudem bei der Kommunikation zwischen Herstellern, Meldern und Betreibern, um qualitativ hochwertige Advisories gemeinsam mit den Partnern zu veröffentlichen. CERT@VDE ist seit 2020 eine durch MITRE (USA) benannte CVE Numbering Authority (CNA). Das stellt sicher, dass Schwachstellen schnell in die zentrale NVD-Datenbank bei NIST in den USA gelangen und dadurch weltweit bekannt werden.

„Neben der Erstellung von Advisories werden wir und unsere Partner Prozesse automatisieren und Advisory Formate maschinenlesbar machen“, kündigt Andreas Harner an. Auch hier unterstützt CERT@VDE seine Partner durch die zentrale Bereitstellung eines entsprechenden Software-Frameworks, womit die Partner Zugang zum Common Security Advisory Framework (CSAF) erhalten.

Andreas Harner, CERT@VDE
Zitat

Security wird spätestens mit dem CRA der EU endgültig zum Chef-Thema. Daher muss die Industrie, sofern noch nicht geschehen, dieses Thema umsetzen, und zwar jetzt!“, sagt Dipl.-Ing. (TU) Andreas Harner, Abteilungsleiter CERT@VDE & DKE Cybersecurity.

(Bild: VDE)

Basis für leichtgewichtige Security: OT Asset Management

Aus Anwendersicht sind PSIRT und CERT wichtige Ergänzungen, aber ein systematischer Schutz der Fertigung erfordert mehr. „Du kannst nur schützen, was Du kennst“, lächelt Max Weidele, Geschäftsführer der SI | Sichere Industrie GmbH. Das Ingenieurbüro hat sich als eines der wenigen in Deutschland komplett auf OT-Sicherheit fokussiert. „Ein systematisches OT-Asset Management ist die entscheidende Basis für alle weiteren Schutzmaßnahmen.“

Es reicht aus seiner Sicht nicht, Excel-Listen anzulegen, die jedes Jahr neu ausgefüllt werden müssen. Ein gutes OT-Asset Management erfasst, teilweise automatisiert, die mehreren zehntausend OT-Assets einer Fertigung. „Der entscheidende Schritt ist die Zuordnung, welche OT-Assets Teil kritischer Prozesse sind, und das erfordert ein tiefes Verständnis für die Produktionsprozesse“, betont Weidele.

Max Weidele, SI | Sichere Industrie GmbH
Zitat

Du kannst nur schützen, was Du kennst", sagt Max Weidele, Geschäftsführer der SI | Sichere Industrie GmbH.

(Bild: SI l Sichere Industrie)

Tausende Schwachstellen möglich

Bei einer Erstaufnahme können auf einen Schlag mehrere tausend Schwachstellen sichtbar werden. Das ist aber kein Grund zur Panik. „Nicht jede Schwachstelle muss sofort behoben werden, es geht vielmehr um Priorisierung entlang der kritischen Prozesse“, beschreibt der Geschäftsführer das Vorgehen. Eine Schwachstelle am Barcode-Drucker am Ende einer Linie ist beispielsweise definitiv kritisch, weil ohne Barcode keine Produkte ausgeliefert werden können.

Ein OT-Asset Management liefert auch ein erstes Schwachstellenmanagement, zeigt die Daten für eine Netzwerksegmentierung und ermöglicht erst weitere OT-Security Projekte. „Wichtig, Security ist dabei oft nur ein Nebenprodukt eines OT-Asset Managements“, betont Max Weidele. „Einmal aufgesetzt, profitieren Engineering, Instandhaltung und sämtliche Digitalisierungsprojekte enorm, denn sie bekommen einen Überblick über Hard-/Softwareversionen, End of Life-Assets, Schnittstellentransparenz und erkennen auf einen Blick Abhängigkeiten zu kritischen Produktionsprozessen.“

Aktuelle Meldungen aus der Industrie

Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie in unserem News-Blog. Hier klicken!

Von der Kür zur Pflicht: NIS-2 und Cyber Resilience Act kommen

Um die Cybersicherheit europaweit deutlich zu verbessern, hat die Europäische Union eine ganze Reihe von Richtlinien und Gesetzen beschlossen, die nun nach und nach in nationales Recht umgesetzt werden. Schon in wenigen Wochen tritt in Deutschland die NIS-2-Richtlinie in Kraft. Das Fraunhofer-Institut für Produktionstechnologie IPT in Aachen schätzt, dass sie in Deutschland 30.000 bis 40.000 Unternehmen betreffen wird. Diese Unternehmen müssen ein Risikomanagement für Cybersicherheit aufbauen: Angefangen vom Nachweis einer Risikoanalyse über Sicherheit der Lieferkette bis hin zu sicherer Notfallkommunikation.

Mit dem Cyber Resilience, der ebenfalls in nationales Recht umgesetzt werden wird, dürfen in der Europäischen Union nach einer Übergangszeit nur noch vernetzbare Gerät in den Verkehr gebracht werden, die nach Secure by Design entwickelt wurden. Hersteller sind dann verpflichtet, kostenlos Sicherheitsupdates über die typische Lebensdauer zur Verfügung zu stellen. Das wird noch ein paar Jahre dauern, aber schon jetzt helfen PSIRT, CERT und ein OT-Asset Management, den Schutz vor Cyberangriffen in der Industrie auf ein deutlich höheres Niveau zu heben.

überarbeitet von: Dietmar Poll

Aktuelle Meldungen aus der Industrie

Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie in unserem News-Blog. Hier klicken!

Sie möchten gerne weiterlesen?