Arbeiten von zu Hause ist in den vergangenen Monaten für viele zum Normalzustand geworden. Die Verwaltung war im Homeoffice, genauso wie Service-Techniker. Der Grund, warum das alles relativ reibungslos funktionieren konnte, sind interne Netzwerke. Diese Verknüpfungen haben aber auch Nachteile, denn durch sie entstehen für Firmen größere Sicherheitslücken. Dazu kommt: Auch die Maschinen sind immer mehr miteinander verknüpft. Ein Cyber-Angriff legt so im schlimmsten Fall also gleich die ganze Produktionsstätte lahm.
Einer der Sicherheitslücken hat jetzt das Cybersicherheitsunternehmen Claroty entdeckt. Die Experten haben in den vergangenen Monaten mehrere Schwachstellen bei der Remote-Codeausführung in VPN-Implementierungen gefunden. Diese werden besonders für den Fernzugriff auf OT-Netzwerke genutzt, also zum Beispiel bei der Wartung von Geräten.
Angreifer können laut Claroty diese Sicherheitslücken nutzen, um direkten Zugang zu diesen Geräten oder auf das gesamte interne Netzwerk zu erhalten und dadurch Schäden zu verursachen.
Die Sicherheit digitaler Infrastrukturen und damit der Schutz der digitalen Souveränität von Nutzern sei deshalb wichtiger denn je, sagte Ralf Wintergerst, Vorsitzender des Beirats Allianz für Cyber-Sicherheit und CEO von Giesecke+Devrient bei einer Online-Sitzung. Der Präsident des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, geht noch einen Schritt weiter: Er erklärte, der Schutz der IT in den Unternehmen und Betrieben sei systemrelevant.
Cyber-Angreifer verhalten sich so unauffällig wie möglich
Wie können sich Unternehmen vor Angriffen, wie sie jetzt entdeckt wurden, schützen? Galina Antova, Mit-Gründerin und Chief Business Development Officer von Claroty hat drei Tipps:
- Defizite erkennen: Nur, weil bislang kein Schaden festgestellt wurde, heißt das nicht, dass die Unternehmens-Netzwerke bisher noch nicht angegriffen wurden. „Jeder Angreifer – dies gilt für IT- und OT-Systeme gleichermaßen – versucht sich so unauffällig wie möglich zu verhalten und möglichst lange unentdeckt zu bleiben“, sagt Antova auf Anfrage von PRODUKTION.
- Grundlagen schaffen: Die Empfehlung der Expertin: „Überprüfen Sie die Segmentierung Ihres Netzwerks.“ Gerade eine solide Segmentierung sei eine der wichtigsten Dinge, die Asset-Besitzer durchführen können, um ihre OT-Umgebung zu schützen. Dabei gehe es auch um eine Segmentierung innerhalb der Netzwerkumgebung. Allerdings sei nicht nur die Segmentierung zwischen IT- und OT-Netzwerken gemeint, sondern auch die innerhalb der OT-Netzwerkumgebung. Denn: Dieses Vorgehen erschwert Angreifern den Zugang zum OT-Netzwerk und macht es ihnen schwieriger, sich seitlich (lateral) im OT-Netzwerk zu bewegen, sobald sie eingedrungen sind.
Neue Zielgruppe für ihre Produkte gesucht?
Handwerker entdecken aktuell das Potenzial von Automatisierung. Warum sich Robotik und Co für diese Zielgruppe eignen und wo künftige Einsatzgebiete liegen, erfahren Sie in diesem Beitrag auf unserem Schwesterportal 'Kollege Roboter'.
- Für Transparenz sorgen: Eine Security-Binsenweisheit lautet: Man kann nur das schützen, was man sieht und kennt. „Gerade in OT-Netzwerken fehlt es jedoch häufig an Transparenz“, sagt Antova. Viele Betreiber wüssten oftmals nicht, welche Assets überhaupt an das Netzwerk angeschlossen seien und wie und mit wem sie kommunizieren. Nur durch breite und tiefe Transparenz könne das Netzwerk effektiv geschützt werden. Diese Klarheit müsse sich über alle Ebenen des OT-Netzwerkes erstrecken und sollte in eine OT-spezifische Bedrohungserkennung integriert werden.
Firewalls schützen Maschinen und Netzwerk
Für Frank Merkel vom Elektrotechnikunternehmen Phoenix Contact haben Firmen die gleichen Sicherheitsprobleme, die man auch aus den Office-Netzwerken kennt. Er erklärt in einem Webinar, dass nicht nur Hacker, die Produktionsnetzwerke angreifen wollen, eine Bedrohung sind, sondern auch Fehler von Mitarbeitern oder Fehlfunktionen von Netzwerkkomponenten.
Auch er rät zu einer Segmentierung, um sich gegen Malware und unberechtigte Zugriffe zu schützen. Um Maschinen und Anlagen jeweils einzeln zu segmentieren, könne an den jeweiligen Maschinen jeweils eine Firewall nachjustiert werden.
So könne ein Service-Techniker, der eine lokale Wartung durchführen möchte, nur eine Maschine erreichen und nicht das gesamte Netzwerk. Denn man wisse schließlich nicht, ob sich auf dem Laptop des Technikers nicht ohne dessen Wissen eine Schadsoftware befinde, so Merkel.
Mit einem Schalter kann die Firewall aus- und angeschaltet werden
Um Fernwartungen über VPN besser zu schützen, rät der Phoenix-Experte zu einer Conditional Firewall. Das heißt, dass mit Hilfe eines Schalters eingestellt werden kann, ob die Firewall eine Fernwartung blockiert oder diese erlaubt. In letzterem Fall wird die betroffene Maschine dann automatisch vom Netz getrennt beziehungsweise die Kommunikation wird auf das nötige Maß reduziert, um das Netzwerk zu schützen. „Die Maschine ist dann eine Insel im Produktionsnetzwerk“, erklärt Merkel.
Eine andere Möglichkeit ist – ebenfalls mit Hilfe eines Schalters – VPN zu erlauben oder auszuschalten. Auch dadurch kann gesteuert werden, wann ein Techniker per Fernwartung Zugriff auf die Maschine hat.
Es sei einfach wichtig, eine Basissichtbarkeit in der Anlage zu bekommen, um zum Beispiel Malware-Angriffe zu erkennen, erklärt außerdem Klaus Mochalski, Geschäftsführer des Softwareunternehmens Rhebo.
Noch mehr Tipps: So können Firmen vor Cyber-Angriffen geschützt werden
Michael Scheffler, Country Manager DACH vom Softwareunternehmen Varonis Systems, beschäftigt sich ebenfalls mit Cybersecurity. Er hat folgende Hinweise:
- Antiviren- und Endpunktschutzsoftware stets auf dem neuesten Stand halten: Angreifer nutzen oft Schwachstellen in Software und Betriebssystemen aus, um sich lateral in Unternehmen zu bewegen und Daten zu stehlen. Eine Aktualisierung mit Patches reduziert das Risiko von Bedrohungen erheblich.
- Mitarbeiter für Cyberrisiken sensibilisieren: Dies gilt insbesondere auch für Phishing-Mails, die nach wie vor der beliebteste Weg für zahlreiche Angriffe sind.
- Zero-Trust/Least-Privilege-Modell nutzen: Die Begrenzung der Zugriffe nach dem „Need-to-know“-Prinzip, bei dem Mitarbeiter nur auf die Daten zugreifen können, die sie auch tatsächlich für ihre Arbeit benötigen, reduziert das Risiko und den potenziellen Schaden auf das Minimum, erklärt der Experte.
- Abnormale Datenzugriffe überwachen: Ein Angreifer wird höchstwahrscheinlich versuchen, sensible Daten aus dem Unternehmen zu exfiltrieren oder Daten zu verschlüsseln. Durch die intelligente Analyse des Nutzerverhaltens (UBA) kann abnormales Verhalten identifiziert und automatisiert gestoppt werden.
- Den Netzwerkverkehr überwachen: Durch die Verwendung einer Firewall oder eines Proxys ist es möglich, bösartige Kommunikation mit C&C-Servern zu erkennen und zu blockieren, so dass der Angreifer keine Befehle ausführen oder Daten extrahieren kann.
- Notfallpläne bereithalten: Scheffler rät, für die wahrscheinlichsten Angriffe Notfall- und Reaktionspläne zu erstellen, um im Schadensfall effektiv und ruhig reagieren zu können.