Wer Kontakte einschränkt, erhöht die Cybersicherheit

Wir waren eigentlich nie ein Aussteller, den der Messebesucher klassischerweise auf der it-sa erwartet. Denn bislang – so unsere Erfahrung – war deren Ziel vorrangig, sich rund um den bestmöglichen Schutz ihrer Office-IT zu informieren. Trotzdem haben wir uns dafür entschieden erneut an der größten IT-Sicherheitsmesse Europas teilzunehmen, als Anfang des Jahres verkündet wurde, dass die Messe in Nürnberg zum ersten Mal seit zwei Jahren wieder ihre Tore öffnet.

Eine sehr gute Entscheidung. Denn in diesem Jahr konnten wir feststellen, dass mittlerweile nicht nur ein weitaus größeres, sondern auch tieferes Interesse bezüglich Maßnahmen zur Erhöhung der (Cyber-)Sicherheit in der Produktion besteht. Ganz anders als bei unserem ersten Messeauftritt in 2018.

Aber neben dieser positiven Resonanz gab es noch einen zweiten Aspekt, der bemerkenswert war: Es hat sich deutlich gezeigt, dass der persönliche Kontakt wertvoll und für alle Beteiligten sehr gewinnbringend sein kann. Nicht zuletzt, weil ab und zu - gerade für den Austausch (vertraulicher) Informationen, beispielsweise zu Beginn einer Kooperation - ein Gespräch von Angesicht zu Angesicht wesentlich besser geeignet und eben auch effektiver ist.

Doch es kann auch ein Zuviel an Informationsaustausch geben. Diese Aussage mag Sie im ersten Moment vielleicht überraschen, aber das klärt sich gleich: Die meisten Ihrer Mitarbeiter haben jeden Tag viel Kontakt - vielleicht nicht unbedingt persönlichen, aber bestimmt zu einer großen Menge an Daten. Dies sind zum Beispiel in produzierenden Unternehmen solche zu Produktionsanlagen, internen Absprachen und Berechnungsgrundlagen, oder manchmal eben sogar zu Entwicklungsplänen.

Diese Art der Interaktion ist dann nicht mehr grundsätzlich positiv. Vor allem unter dem Aspekt, dass insbesondere in Fertigungsunternehmen ein gravierendes Ausmaß an internen und sensiblen Daten vorhanden ist auf die Mitarbeiter tatsächlich zugreifen können - Schätzungen zufolge sind dies im Durchschnitt sechs Millionen Daten, 27.000 davon sensibel.

Das birgt insgesamt Risiken: Zum einen in Hinblick auf eine mögliche Kompromittierung des Unternehmens verursacht durch den Diebstahl sensibler Daten – zum anderen durch die illegale Nutzung der unternehmenskritischen, wodurch beispielsweise die Sabotage eines Bediensystems zur Steuerung der Produktionsabläufe realisierbar wäre. Dies macht deutlich, dass aus den bestehenden Zugriffsrechten potenzielle Schwachstellen resultieren und somit die Produktionshalle zu einem lohnenden Ziel für Angreifer machen.

Wo Abhilfe geschaffen werden muss

Doch, obwohl das Schadenspotential hoch ist – im Schnitt verursachen einzelne Datenvorfälle in Fertigungsbetrieben Kosten in Höhe von 4,25 Millionen Euro – wird häufig immer noch nicht ausreichend in die Absicherung der Produktionsanlagen investiert. Einerseits verständlich, da eine Investition in die Sicherheit erst einmal keine erkennbare Verbesserung der Leistungsfähigkeit bringt und das Budget für ein Risiko eingesetzt werden muss, ohne dedizierte Kenntnisse über Eintrittswahrscheinlichkeit und Schadensfolgen zu haben.

Andererseits nehmen die gezielten Angriffe zu, weil das vorhandene Schutzniveau nicht ausreichend ist. Denn: Fakt ist, dass die IT-Sicherheit der Systeme in der Produktion originär bei der Entwicklung nicht im Vordergrund stand. Fakt ist auch, dass es in der Produktion Systeme mit einem extrem langen Lebenszyklus gibt, teilweise bis zu 25 Jahre - das bedeutet, im Gegensatz zu den IT-Systemen im Büro ist es bei diesen nicht möglich, sie zeitgleich an die jeweils aktuellen Anforderungen im Bereich Cyber-Sicherheit zu adaptieren.

Von daher gilt es, strategisch alle Schwachstellen zu betrachten, um entsprechende Sicherheitsmaßnahmen dagegen zu entwickeln. Ein Schlüsselfaktor hierbei sind die Zugriffsrechte. Wie bereits erwähnt – es werden zu vielen Personen zu viele Zugriffsrechte gewährt. Natürlich ist die Organisation der Zugriffsrechte für viele Unternehmen eine große Herausforderung, da jedem Mitarbeiter der Zugriff auf genau die Informationen zur Verfügung gestellt werden muss, die er für seine Arbeit benötigt. Dies stellt insbesondere in der Produktion ein Problem dar, weil dort per se keine Benutzerzuordnung vorgesehen ist - allein aus dem Grund, dass die Funktionalität höchste Priorität hat.

Die Funktionalität spielt auch im Zusammenhang mit Passwörtern eine wichtige Rolle. Obwohl bekannt ist, dass die unzureichende Qualität ebenso einen Risikofaktor darstellt, wie das zu häufige Nutzen desselben Passworts oder die bewusste Weitergabe durch Teilen mit mehreren Kollegen – was ja vor allem in der Produktion oftmals in der Tagesordnung ist – wird diese Schwachstelle zu selten berücksichtigt. Dabei hat sich mittlerweile herausgestellt, dass insgesamt 81 Prozent aller Datenverletzungen aufgrund gestohlener oder zu schwacher Passwörter entstehen. Denn speziell zeitlich unbegrenzte Passwörter bieten Cyberkriminellen ausreichend Gelegenheit für ihre Angriffe.

Meine Empfehlung: Mit organisatorischen Sicherheitsmaßnahmen anfangen, die Angriffsfläche in der Produktion verringern

1. Asset-Management: Erfassen Sie die Komponenten in Ihrer Netzwerk-Topologie inklusive aller installierten Software- und Firmware-Versionen. Dies ist aufgrund der zunehmenden Vernetzung der Produktionsanlagen notwendig, auch unter dem Aspekt, dass immer häufiger ein Fernzugriff auf Maschinen und Anlagen gewährt wird. Die Erstellung eines Sicherheitskonzepts, in dem unter anderem das Patch- oder Zugriffs-Management definiert wird, setzt die Kenntnis voraus, was installiert ist.
2. Daten-Management: Kategorisieren Sie Ihre Daten in der Produktion. Nicht alle sind sensibel oder unternehmenskritisch – aber Sie müssen genaue Kenntnisse darüber haben, welche schützenswert sind und wer im Einzelnen darauf Zugriff hat.
3. Zugriffsberechtigung: In Hinblick auf Zugriffsrechte sollte generell das Minimal-Prinzip eingeführt werden - das bedeutet, den Zugriff auf Bediensysteme beschränken, also nur Mitarbeitern zu gewähren, die tatsächlich fachlich/disziplinarisch eine Berechtigung haben.
4. Passwort-Management: Passwörter sind immer noch eine relevante Schwachstelle. Ändern Sie die Standard-Passwörter an Ihren Maschinen – wobei hierbei darauf zu achten ist, dass die neuen eine ausreichend hohe Qualität haben und dass nicht an allen Systemen die gleichen verwendet werden. Die unbewusste Passwortweitergabe ist ein weiteres Risiko – von daher, entfernen Sie jedes Post-It in der Produktion, auf dem das aktuelle Passwort steht. Grundsätzlich gilt: Passwörter dürfen nur den befugten Personen bekannt sein.

Fazit

Den Schutz der Systeme in der Produktion über das Minimal-Prinzip zu erreichen ist nicht trivial – denn bestimmte Einschränkungen können den Ablauf beeinträchtigen – aber realisierbar. Dies verlangt jedoch eine sorgfältige Abwägung und Planung zwischen notwendigem Schutzniveau und geforderter Funktionalität. Letzteres darf jedoch kein Grund dafür sein, auf eine Absicherung weitestgehend zu verzichten. (Übrigens: Detaillierte Informationen zum Stand der Technik in Bezug auf „Bewertung und Durchsetzung starker Passwörter“ sowie „Fernwartung“ finden Sie in der Handreichung vom TeleTrusT).

Wir sind in einem Monat wieder in Nürnberg – auf der SPS – und freuen uns darauf, unsere Erfahrung im persönlichen Gespräch weiterzugeben. Sie finden uns in Halle 5, Stand 351.