Ein Mitarbeiter bedient per Computer einen Roboter.

Sicherheitslücken in industriellen Steuerungssystemen können oft nicht zeitnah behoben werden. - Bild: Blue Planet Studio - stock.adobe.com

Daten werden mittlerweile wahlweise als Rohstoff oder Gold eines Unternehmens gewertet. Unter dem Aspekt, dass sich demzufolge aus einem illegalen Erwerb (sogar) von Produktionsdaten sowohl echte Wettbewerbsvorteile als auch reale Gewinne generieren lassen, ist es erklärbar, dass aktuell der Hang zum Freibeutertum wieder genauso verbreitet ist wie damals – also vom 15. bis zum 19. Jahrhundert. Damit endet dann, meiner Meinung nach, die Analogie aber schon wieder. Denn zu jener Zeit waren die Seeräuber gut beobachtbar und konnten aus diesem Grund irgendwann mit fortschrittlichen, und daher sehr effektiven, Mitteln bekämpft werden: moderne dampfbetriebene Kanonenboote, die schneller waren als die bisherigen Fregatten, mit denen ein effizienter Küstenschutz bei Wind und Wetter realisierbar war und zusätzlich ein dichtes Netz von Zollkontrollen. So war es den Kaperern innerhalb relativ kurzer Zeit aufgrund ihrer veralteten Ausstattung nicht mehr möglich, ihre Beutezüge erfolgreich absolvieren zu können.

Die Freibeuter von heute haben (noch) die besseren Waffen

Der heutige Freibeuter hingegen achtet jedoch im Regelfall auf eine gute Tarnung, von daher sind seine Übergriffe nicht mehr leicht zu detektieren – im Gegenteil, mit den heutigen Waffen gelingt es ihm oftmals geräuschlos in ein Unternehmen einzudringen und, teilweise über einen langen Zeitraum, unbemerkt dort am Werk zu sein. Eine weitere Herausforderung ist zudem, dass es sehr viele unterschiedliche Möglichkeiten gibt, um einen Angriff durchzuführen. In erster Linie sind hier, meiner Erfahrung nach, die IT-Systeme immer noch das bevorzugte Ziel, um ein Unternehmen großflächig zu attackieren. Etwa, indem das Notebook eines Administrators mit einem infizierten E-Mail-Anhang kompromittiert wird und sich darüber dann eine Schadsoftware im Netzwerk ausbreiten kann. Auf diesem Wege ist es letztendlich auch möglich, Ransomware oder andere Schadfunktionen in die OT-Netzwerke einzuschleusen. Dies stellt insbesondere für Deutschland, eines von zehn Ländern mit der größten Anzahl an IT-/OT-Netzwerken mit ICS-Endpunkten, eine Herausforderung dar.

Warum? Ich sehe einen der Gründe dafür darin, dass industrielle Steuerungssysteme grundsätzlich schwer abzusichern sind – sie verfügen überwiegend nicht über das hinreichende Sicherheitsniveau, das wir aus der klassischen IT kennen. Zum Beispiel ist es bei Bekanntwerden von Sicherheitslücken in diesen Systemen sehr häufig nicht möglich, zeitnah den notwendigen Patch einzuspielen. Oder, noch schlimmer, Patches werden von den Verantwortlichen bewusst nicht aufgespielt, getreu dem Motto „never touch a running system“.

So können Sie Ihre Produktion schützen

Um Ihre Produktionsumgebung gegen Angriffe zu schützen ist es somit erforderlich, flankierende Sicherheitsmechanismen zu ergreifen. Grundsätzlich empfehlenswert ist hier, die Maschinen in der Fertigung und Produktion durch eine stringente Segmentierung der Netzwerke so weit wie möglich zu isolieren. Darüber hinaus spielen bei der Etablierung des Schutzniveaus zwei Faktoren eine Rolle: Der Einsatz von Sicherheitshardware sowie die Einbeziehung der Mitarbeiter. Nachfolgend einige gute Maßnahmen dazu:

 

OT-Netzwerke absichern – Sicherheitshardware

Gelingt es einem Angreifer in ein Office/IT-Netzwerk einzudringen, so ist es darüber möglich, direkt oder mit einem Folgeangriff in das OT-Netzwerk vorzudringen. Dies können Sie gut abwehren, indem

  • Sie für den Austausch von Daten beispielsweise zwischen dem MES (Manufacturing Execution System) und den Maschinen in der Produktion eine dedizierte Firewall einsetzen.
  • Sie bei der Wahl Ihres Industrierouters, der als Verbindung zwischen der IT Ihres Unternehmens und dem Maschinennetz einen zentralen Bestandteil darstellt, darauf achten, dass dieser mit einer entsprechenden Firewall ausgestattet und unter Beachtung aller sicherheitsrelevanten Aspekte adäquat eingestellt ist.
  • Sie – noch besser – den WAN-seitigen Anschluss des Fernwartungsrouters über eine DMZ (Demilitarized Zone) mit dem Internet verbinden.

 

OT-Netzwerke absichern – Mitarbeiter

Das Sicherheitsbewusstsein der Mitarbeiter kann unterschiedlich ausgeprägt sein. Von daher ist es sinnvoll, Maßnahmen zu ergreifen, um Ihr angestrebtes Sicherheitsniveau auch mithilfe der Mitarbeiter durchsetzen zu können. Dies lässt sich unter anderem umsetzen, indem

  • Sie eine granulare Zugriffskontrolle etablieren, um die Berechtigung der Nutzer exakt festlegen zu können – dies ist vor allen sinnvoll, um den Zugriff auf Industrie-PCs in Maschinennetzwerken zu reglementieren. Zusätzliche Sicherheit bietet darüber hinaus eine 2-Faktor Authentifizierung.
  • Sie Ihren Mitarbeitern regelmäßig Schulungen anbieten, um sie beispielsweise bezüglich aktueller Schadsoftware- oder Social-Engineering Angriffe zu sensibilisieren, damit Sie das Risiko dieses Angriffsvektors minimieren können. Übrigens, meine Erfahrung hierzu: ein Knackpunkt ist immer noch der berüchtigte USB-Stick – den Mitarbeiter von Zuhause mitbringen oder eben Lieferanten, die schnell mal etwas zeigen wollen – der mit Schadsoftware verseucht sein kann. Dieser Aspekt sollte definitiv, auch wenn es trivial klingt, ein Teil der Sensibilisierungskampagne sein.

Risiko von Cyber-Angriffen lässt sich minimieren

Mein Fazit: Das Risiko eines Cyber-Angriffs auf Ihre Produktion besteht, keine Frage. Dieses lässt sich jedoch minimieren – dazu gehört natürlich im ersten Schritt erst einmal, dass Sie eine Erhebung Ihres aktuellen Sicherheitsniveaus vornehmen (lassen), um so Ihren Schutzbedarf zu ermitteln. Darauf basierend kann dann die Konzeption der erforderlichen Schutzmaßnahmen entwickelt werden. Empfehlenswert ist hier, zum Beispiel bei der Auswahl der dedizierten Firewall oder des Industrierouters, jeweils den Stand der Technik zu berücksichtigen.

Noch ein Gedanke zum Schluss: Piraten waren bis zum 19. Jahrhundert so erfolgreich, da bis dato ihre Schiffe in der Konstruktion immer auf dem höchsten Stand der Technik waren, oftmals diesem sogar voraus. Der Niedergang begann mit Aufkommen der Dampfboote, denn plötzlich fehlten ihnen die entscheidenden Mittel, um Schritt halten zu können – in erster Linie auch, weil die hierfür erforderlichen gut ausgebildeten Ingenieure für den Bau von Piratenschiffen unvermittelt nicht mehr zur Verfügung stehen wollten. Wünschenswert wäre, wenn sich die – eingangs erwähnte – Analogie in dieser Weise fortsetzen würde.

Über den Autor

Kolumnist Siegfried Müller, CEO und Gründer der MB connect line GmbH. - Bild: Siegfried Müller

Siegfried Müller ist geschäftsführender Gesellschafter der MB connect line GmbH. In seinen ersten Berufsjahren als Steuerungstechniker für den Maschinenbau hat er den Nutzen von Fernwartung erkannt. Im Alter von 25 Jahren gründete er MB connect line. Unter seiner Leitung entwickelte sich das Unternehmen zum Technologieführer in den Bereichen Fernwartung, Datenerfassung und Industrial Security.

Seit über 20 Jahren treibt Siegfried Müller mit viel Engagement und Leidenschaft die Entwicklung neuer Produkte und Lösungen für die sichere industrielle Kommunikation über Internet voran. Als Stratege und Experte zur Cybersicherheit im industriellen Umfeld bringt er sein Wissen auch in nationalen und internationalen Arbeitskreisen ein – beispielsweise beim Cluster Mechatronik & Automation Bayern e.V., beim TeleTrusT – Bundesverband IT-Sicherheit e.V. und in der European Cyber Security Organisation (ECSO). Die wichtigen wirtschaftlichen Themen adressiert er als Senator im internationalen Wirtschaftssenat (IWS).

Kostenlose Registrierung

Newsletter
Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

*) Pflichtfeld

Sie sind bereits registriert?