Cybersecurity in der Industrie: "Abstecken ist keine Lösung"

Mit der Corona-Krise ist das Thema Cybersicherheit zuletzt wieder stärker in den öffentlichen Fokus gerückt. Berichte von Phishing-Versuchen und gefälschten Botschaften im Design der Weltgesundheitsagentur zeigen, dass Kriminelle jede Gelegenheit nutzen, um Zugang zu fremden Rechnern zu erhalten. Bei vielen Firmen sei das Bewusstsein dafür noch wenig ausgeprägt, meinen die Cybersecurity-Experten Adrian Pinter und Lukas Gerhold von Siemens. Sie beraten Industrieunternehmen bei der Verbesserung ihrer Sicherheitsmaßnahmen.

Unangetastete Altsysteme

Als besondere Herausforderung betrachten sie die Absicherung von Produktionsprozessen. Die operative Technologie (OT) war lange Zeit von der Informationstechnologie (IT) in Unternehmen klar getrennt. Mit der zunehmenden Digitalisierung verschmelzen OT und IT. Dadurch ergeben sich zusätzliche Angriffsflächen. "Das Problem in der OT ist, dass wir viele Altsysteme drin haben", meint Lukas Gerhold. Diese "Legacy-Systeme" sind etwa Maschinen und Computer, die bereits lange im Einsatz sind und die Produktion vermeintlich zuverlässig am Laufen halten. "Für die Fertigung ist die Verfügbarkeit das allerwichtigste. Da gilt oft das Motto: Rühr ein funktionierendes System nicht an", meint Adrian Pinter.

Netzwerkschichten durchforstet

Das Problem daran: Für einen alten Windows-XP-Rechner sind etwa keine Patches mehr verfügbar. Solche Legacy-Systeme auszutauschen stellt für manche Unternehmen dennoch keine Option dar. Gerhold schildert, wie die Produktion von Industrieunternehmen dadurch beeinträchtigt werden kann: "In den vergangenen Jahren ist zum Beispiel klassisch, über Phishing-Mails, die Schadsoftware Emotet verbreitet worden. Die gibt es zwar schon seit 2010, sie ist aber laufend verbessert worden."

Fand die Malware Schwachstellen in einem Unternehmensnetzwerk, wurde ein weiteres Angriffsprogramm heruntergeladen. "Angreifer haben sich von Netzwerkschicht zu Netzwerkschicht durchgehantelt, um an produktionsnahe Informationen zu kommen. Die wurden dann mit Ransomware verschlüsselt und das Unternehmen wurde erpresst."

Mehrere Einfallstore

Was großen Unternehmen wie dem Aluminiumhersteller Norsk Hydro widerfuhr, kann anderen Firmen auch passieren, warnen Gerhold und Pinter. Die Angriffe können auf verschiedenen Wegen erfolgen. Neben Phishing-Botschaften an Mitarbeiter sei etwa das Ausnutzen von Schwachstellen bei Fernwartungssystemen weit verbreitet. Eines der größten Einfallstore für Kriminelle seien aber infizierte externe Datenquellen wie USB-Sticks. Die kämen oft genau dann zur Anwendung, wenn die vermeintlich beste Absicherung gegen Cyberangriffe gewählt wird: Nämlich Systeme vom Firmennetzwerk völlig zu trennen (Air Gapping). Pinter: "Einfach abstecken ist keine Lösung."

Eine weitere Gefahrenquelle ist das Internet der Dinge (IoT). Ein Beispiel dafür sind kleine Schwingungssensoren an Maschinen, die drahtlos über WLAN mit dem Firmennetzwerk verbunden sind. Gerhold: "IoT und Edge Computing sind eine tolle Sache. Man bekommt dadurch sehr viele Informationen aus der Produktion und kann die sowohl für die Analyse von Prozessen als auch beispielweise für das Training von künstlicher Intelligenz nutzen. Aber natürlich öffnen wir damit einen weiteren Kommunikationskanal aus der OT. Und jeder Kommunikationskanal birgt das Risiko, dass er Schwachstellen hat und angreifbar ist."

Analyse und Aufrüsten

Um Industrieunternehmen vor Cyberangriffen zu schützen, müsse man laut Gerhold auf zwei Ebenen vorgehen. "Erstens muss man analysieren, welche Cybersecurity-Prozesse bereits implementiert sind. Hat der Kunde ein proaktives Risikomanagement? Wo ist eine bestimmte Maschine aufgestellt, wer hat Zugang dazu? Macht er Backups, und wenn ja, wie?" Organisatorisch sei es maßgeblich, betriebsinterne Kompetenzen zu erweitern. "Mitarbeiter, die in der Produktionsebene arbeiten, sind hauptsächlich Instandhalter. Das Know-how für Cybersecurity muss man oft erst ins Unternehmen reinbringen."

Die zweite Ebene sei das technische Nachrüsten. Dabei gehe es darum, ein sicheres Netzwerkdesign zu schaffen. "Um Altsysteme muss man Komponenten errichten, die sicher sind. Das System an sich ist unsicher, aber jeder Zugriff darauf muss sicher erfolgen", meint Gerhold. Sowohl bei der physischen Zutrittskontrolle, als auch bei der Netzwerksicherheit und bei einzelnen Maschinen gelte es, "Hardening" zu betreiben, also quasi die Abwehrkräfte gegen Angriffe zu stärken.

Ein Beispiel dafür sei etwa die Segmentierung von Netzwerken. "Wenn sich ein Servicetechniker etwa Malware auf einem USB-Stick eingefangen hat, den er für das Einspielen von Updates verwendet, breitet sich diese dadurch zumindest nicht weiter aus", schildert Pinter. Ein anderes Beispiel sei das "Whitelisting". Damit wird genau festgelegt, welches Programm in welcher Version ausgeführt werden darf. Pinter: "Das kann auch in Windows XP etabliert werden."

Von Anfang an mitbedenken

Ein allgemein gültiges Rezept zur Absicherung gegen Cyberangriffe gebe es nicht. "Man muss von Fall zu Fall unterschiedliche Maßnahmen setzen", meint Pinter. "Antivirensoftware allein reicht jedenfalls nicht." Es sei aber wichtig, sich früh darüber Gedanken zu machen. Gerhold: "Schon bevor eine Anlage beim Hersteller gebaut wird, ist es wichtig, mitzuteilen, welche Security-Anforderungen der Kunde hat." Maschinenhersteller hätten ihrerseits noch kaum erkannt, dass man Kunden mit einem laufenden Patch-Management einen Mehrwert bieten könnte. "Cybersecurity wird noch zu wenig als Geschäftszweig gesehen. Dabei wäre das eine große Gelegenheit."

Dienstleister können helfen

"Vor Cybersecurity muss man sich nicht fürchten", meint Pinter. "Wenn man gut vorbereitet ist, gibt es gute Lösungen." Dass sich nicht alle Unternehmen eigenes Cybersecurity-Personal leisten können, sei klar. Gerade für kleine und mittelgroße Unternehmen (KMU) treffe dies zu. Dafür gebe es Dienstleister wie Siemens. "Wir sind extrem gut aufgestellt bei Security-Themen und können helfen", sagt Pinter. "Unser Vorteil ist, dass wir Informationen von vielen Unternehmen erhalten, was uns dabei hilft, Anomalien besser und schneller zu erkennen."

Bei der Analyse von Bedrohungen für Industrieunternehmen arbeite Siemens eng mit dem Computer Emergency Response Team (CERT) zusammen. Mit der Cybersecurity-Organisation werden etwa neueste Informationen über Schwachstellen ausgetauscht und gemeinsam Lösungen entwickelt. "Unsere Kunden finden dann bei uns im Siemens ProductCERT eine Auflistung aller Vulnerabilities. Zu jeder dort veröffentlichten Schwachstelle gibt es ein Dokument, das die Schwachstelle beschreibt und auch die Vorgehensweise zur Minderung oder Behebung der akuten Bedrohung beinhaltet."

Dieser Artikel entstand im Rahmen einer Kooperation von Siemens und der futurezone.