Was Hacker mit Piraten gemein haben

Daten werden mittlerweile wahlweise als Rohstoff oder Gold eines Unternehmens gewertet. Unter dem Aspekt, dass sich demzufolge aus einem illegalen Erwerb (sogar) von Produktionsdaten sowohl echte Wettbewerbsvorteile als auch reale Gewinne generieren lassen, ist es erklärbar, dass aktuell der Hang zum Freibeutertum wieder genauso verbreitet ist wie damals – also vom 15. bis zum 19. Jahrhundert. Damit endet dann, meiner Meinung nach, die Analogie aber schon wieder. Denn zu jener Zeit waren die Seeräuber gut beobachtbar und konnten aus diesem Grund irgendwann mit fortschrittlichen, und daher sehr effektiven, Mitteln bekämpft werden: moderne dampfbetriebene Kanonenboote, die schneller waren als die bisherigen Fregatten, mit denen ein effizienter Küstenschutz bei Wind und Wetter realisierbar war und zusätzlich ein dichtes Netz von Zollkontrollen. So war es den Kaperern innerhalb relativ kurzer Zeit aufgrund ihrer veralteten Ausstattung nicht mehr möglich, ihre Beutezüge erfolgreich absolvieren zu können.

Der heutige Freibeuter hingegen achtet jedoch im Regelfall auf eine gute Tarnung, von daher sind seine Übergriffe nicht mehr leicht zu detektieren – im Gegenteil, mit den heutigen Waffen gelingt es ihm oftmals geräuschlos in ein Unternehmen einzudringen und, teilweise über einen langen Zeitraum, unbemerkt dort am Werk zu sein. Eine weitere Herausforderung ist zudem, dass es sehr viele unterschiedliche Möglichkeiten gibt, um einen Angriff durchzuführen. In erster Linie sind hier, meiner Erfahrung nach, die IT-Systeme immer noch das bevorzugte Ziel, um ein Unternehmen großflächig zu attackieren. Etwa, indem das Notebook eines Administrators mit einem infizierten E-Mail-Anhang kompromittiert wird und sich darüber dann eine Schadsoftware im Netzwerk ausbreiten kann. Auf diesem Wege ist es letztendlich auch möglich, Ransomware oder andere Schadfunktionen in die OT-Netzwerke einzuschleusen. Dies stellt insbesondere für Deutschland, eines von zehn Ländern mit der größten Anzahl an IT-/OT-Netzwerken mit ICS-Endpunkten, eine Herausforderung dar.

Warum? Ich sehe einen der Gründe dafür darin, dass industrielle Steuerungssysteme grundsätzlich schwer abzusichern sind – sie verfügen überwiegend nicht über das hinreichende Sicherheitsniveau, das wir aus der klassischen IT kennen. Zum Beispiel ist es bei Bekanntwerden von Sicherheitslücken in diesen Systemen sehr häufig nicht möglich, zeitnah den notwendigen Patch einzuspielen. Oder, noch schlimmer, Patches werden von den Verantwortlichen bewusst nicht aufgespielt, getreu dem Motto „never touch a running system“.

Um Ihre Produktionsumgebung gegen Angriffe zu schützen ist es somit erforderlich, flankierende Sicherheitsmechanismen zu ergreifen. Grundsätzlich empfehlenswert ist hier, die Maschinen in der Fertigung und Produktion durch eine stringente Segmentierung der Netzwerke so weit wie möglich zu isolieren. Darüber hinaus spielen bei der Etablierung des Schutzniveaus zwei Faktoren eine Rolle: Der Einsatz von Sicherheitshardware sowie die Einbeziehung der Mitarbeiter. Nachfolgend einige gute Maßnahmen dazu:

OT-Netzwerke absichern – Sicherheitshardware

Gelingt es einem Angreifer in ein Office/IT-Netzwerk einzudringen, so ist es darüber möglich, direkt oder mit einem Folgeangriff in das OT-Netzwerk vorzudringen. Dies können Sie gut abwehren, indem

• Sie für den Austausch von Daten beispielsweise zwischen dem MES (Manufacturing Execution System) und den Maschinen in der Produktion eine dedizierte Firewall einsetzen.

• Sie bei der Wahl Ihres Industrierouters, der als Verbindung zwischen der IT Ihres Unternehmens und dem Maschinennetz einen zentralen Bestandteil darstellt, darauf achten, dass dieser mit einer entsprechenden Firewall ausgestattet und unter Beachtung aller sicherheitsrelevanten Aspekte adäquat eingestellt ist.

• Sie – noch besser – den WAN-seitigen Anschluss des Fernwartungsrouters über eine DMZ (Demilitarized Zone) mit dem Internet verbinden.

OT-Netzwerke absichern – Mitarbeiter

Das Sicherheitsbewusstsein der Mitarbeiter kann unterschiedlich ausgeprägt sein. Von daher ist es sinnvoll, Maßnahmen zu ergreifen, um Ihr angestrebtes Sicherheitsniveau auch mithilfe der Mitarbeiter durchsetzen zu können. Dies lässt sich unter anderem umsetzen, indem

• Sie eine granulare Zugriffskontrolle etablieren, um die Berechtigung der Nutzer exakt festlegen zu können – dies ist vor allen sinnvoll, um den Zugriff auf Industrie-PCs in Maschinennetzwerken zu reglementieren. Zusätzliche Sicherheit bietet darüber hinaus eine 2-Faktor Authentifizierung.

• Sie Ihren Mitarbeitern regelmäßig Schulungen anbieten, um sie beispielsweise bezüglich aktueller Schadsoftware- oder Social-Engineering Angriffe zu sensibilisieren, damit Sie das Risiko dieses Angriffsvektors minimieren können. Übrigens, meine Erfahrung hierzu: ein Knackpunkt ist immer noch der berüchtigte USB-Stick – den Mitarbeiter von Zuhause mitbringen oder eben Lieferanten, die schnell mal etwas zeigen wollen – der mit Schadsoftware verseucht sein kann. Dieser Aspekt sollte definitiv, auch wenn es trivial klingt, ein Teil der Sensibilisierungskampagne sein.

Mein Fazit: Das Risiko eines Cyber-Angriffs auf Ihre Produktion besteht, keine Frage. Dieses lässt sich jedoch minimieren – dazu gehört natürlich im ersten Schritt erst einmal, dass Sie eine Erhebung Ihres aktuellen Sicherheitsniveaus vornehmen (lassen), um so Ihren Schutzbedarf zu ermitteln. Darauf basierend kann dann die Konzeption der erforderlichen Schutzmaßnahmen entwickelt werden. Empfehlenswert ist hier, zum Beispiel bei der Auswahl der dedizierten Firewall oder des Industrierouters, jeweils den Stand der Technik zu berücksichtigen.

Noch ein Gedanke zum Schluss: Piraten waren bis zum 19. Jahrhundert so erfolgreich, da bis dato ihre Schiffe in der Konstruktion immer auf dem höchsten Stand der Technik waren, oftmals diesem sogar voraus. Der Niedergang begann mit Aufkommen der Dampfboote, denn plötzlich fehlten ihnen die entscheidenden Mittel, um Schritt halten zu können – in erster Linie auch, weil die hierfür erforderlichen gut ausgebildeten Ingenieure für den Bau von Piratenschiffen unvermittelt nicht mehr zur Verfügung stehen wollten. Wünschenswert wäre, wenn sich die – eingangs erwähnte – Analogie in dieser Weise fortsetzen würde.