18.04.2017 Die Bedrohungen werden nicht kleiner

Industrie 4.0: Zunehmende Vernetzung, mehr Einfallstore

Von: Paula Hansen

Markus Edel ist Leiter des neuen Bereiches Cyber-Security bei VdS, einem Institut für Unternehmenssicherheit, das u.a. alle 30 DAX-Konzerne prüft. Von dem Security-Experten wollten wir wissen, wie die gerade entstehenden großen Netzwerke geschützt werden können, wenn sich nicht einmal Mittelständler ausreichend absichern können.

  • Markus Edel, VdS

    „Ständig lesen wir von Cyber-Angriffen, die weite Teile des Internets lahmlegen. Das erklärte Ziel der Politik ist es, nun die gesamte deutsche Industrie ans Netz zu bringen – tja, was kann da denn schon schiefgehen?“ Markus Edel

ITM: Herr Edel, technologisch führende Mittelständler sind tagtäglich Cyber-Attacken ausgesetzt. Wo sehen Sie die Unternehmen derzeit hinsichtlich ihrer IT-Sicherheit?
Markus Edel:
Die Produktionsabläufe sind heute nicht nur im Mittelstand generell extrem optimiert – und, leicht paradox, gerade dadurch oft nicht mehr auf dem nötigen neuesten Sicherheitsstand. Immer wieder hören wir von Produktionsleitern, dass wichtige Sicherheits-Updates nicht installiert werden, weil die wenigen Minuten zum Einspielen und vor allem ein oft nötiger Neustart der Systeme den Betriebsablauf zu sehr stören.

Unsere Cyber-Risikobegehungen zeigen viel zu häufig: Gerade Automatisierungssysteme, die im 24/7-Betrieb laufen, haben seit Windows XP, in einigen Fällen sogar seit noch längerer Zeit, kein Update mehr gesehen. Damit stehen die digitalen Tore sperrangelweit offen für alle Cyber-Kriminellen, die jahrelang Zeit hatten, ihre Angriffsmechanismen weiterzuentwickeln. Ohne regelmäßige Updates gilt leider: Der imperiale Todesstern trifft auf einen Luke Skywalker im Grundschulalter. Da würde auch die Krieg der Sterne-Saga nicht gut ausgehen.

ITM: Also ein rein technisches Problem?
Edel:
Nein. Denn noch problematischer sind in der Praxis Mängel beim ganzheitlichen Management-Ansatz bezüglich der Cyber-Sicherheit und auch die IT-Organisation selbst. Beide hinken ebenfalls ziemlich hinterher. Der Erfüllungsgrad der Cyber-Security wurde von den Teilnehmern unseres Quick-Checks, mit dem auf www.vds-quick-check.de schnell und kostenlos der Status der eigenen IT-Sicherheit bestimmt werden kann, zwar bezüglich der technischen Aspekte am besten beurteilt. Allerdings war die Auswertung der technischen Sicherheitsinstrumente mit durchschnittlich 62 Prozent Schutzfaktor bestenfalls befriedigend.

Organisation und Prävention lagen mit im Durchschnitt 58 Prozent noch ein wenig schlechter, der ganzheitliche Management-Ansatz für optimale Sicherheit wurde mit 29 Prozent als mangelhaft bewertet. Dabei kann man gerade hier mit wenigen Mitteln viel erreichen. Bereits sehr kostengünstig und mit geringem Aufwand umsetzbare Kleinigkeiten erzielen hier große Wirkung.

ITM: Was wären solche Kleinigkeiten?
Edel:
Ganz wichtig sind z.B. eine klare Informationssicherheitsleitlinie, die vom Topmanagement verabschiedet und entsprechend im Unternehmen kommuniziert wird, mit präzisen Vorgaben auch für die private Nutzung der Unternehmens-IT und vor allem auch für externe Mitarbeiter – beides zwei gravierende Einfallstore bei Cyber-Angriffen. Ein kleiner Schritt mit großer Wirkung für die Unternehmenssicherheit ist auch, dass administrative Zugänge ausschließlich den Administratoren der Firma vorbehalten sind und dass diese administrativen Zugänge regelmäßig nach einem festgelegten Turnus auf ihre weitere Notwendigkeit hin überprüft werden.

Ganz wichtig ist weiterhin, Zugänge zu den verschiedenen Bereichen der IT-Infrastruktur nur dann zu gewähren, wenn sie für die Aufgabenerfüllung notwendig sind. Dies blockt von vornherein zahl-reiche Möglichkeiten der Cyber-Kriminellen, einem Unternehmen Schaden zuzufügen. Und: Für jedes IT-Outsourcing- sowie für jedes Cloud-Computing-Vorhaben gilt es, die notwendigen Anforderungen an die Sicherheit definieren. Der Vertrag mit jedem Dienstleister sollte präzise Sicherheitsanforderungen enthalten und den Vertragspartner zu deren Erfüllung verpflichten.

Sie lesen einen Artikel aus unserer aktuellen Ausgabe. Bestellen Sie kostenfrei ein Ansichtsexemplar >>>

ITM: Im Rahmen von Industrie 4.0 wird gemeinhin eine weitreichende Vernetzung angestrebt; zunächst im Rahmen der firmeneigenen Anbindung der Produktionsanlagen und später auch mit anderen Unternehmen, Zulieferern, Kunden etc. Wie sichert man diese großen Netzwerke ab?
Edel:
Ständig lesen wir von Cyber-Angriffen, die weite Teile des Internets lahmlegen. Das erklärte Ziel der Politik ist, nun die gesamte deutsche Industrie ans Netz zu bringen – tja, was kann da denn schon schiefgehen? Unsere Unternehmen müssen sich schützen, und zwar schnell.

Zum Glück sichern hier bereits einfache, leicht umsetzbare Basismaßnahmen ein hohes Sicherheitsniveau. Neben den klassischen Absicherungsaktivitäten wie einem umfassenden und vor allem regelmäßig aktualisierten Schutz vor Schad-Software, Patchmanagement und dem Einsatz von Firewalls/DMZs durch konsequente Beschränkung des Netzwerkverkehrs und der Zugriffsmöglichkeiten sind das vor allem die Sensibilisierung der Mitarbeiter für digitale Bedrohungen und die ganz wichtige Netzwerksegmentierung.

Die für den Erfolg des Unternehmens besonders kritischen IT-Systeme verlangen natürlich darüber hinaus nach zusätzlichen Maßnahmen. Und das Ganze gilt auch für die grundsätzlich anfälligere mobile IT des Betriebs.

ITM: Die Digital-Enthusiasten träumen gar von Smart Cities und Smart Grid. Wenn sich Stand heute selbst kleinere Organisationen wie Unternehmen nicht ausreichend schützen können, wie sollen sich dann ganze Städte inklusive Energie- und Wasserversorgung absichern können?
Edel:
Das ist noch Zukunftsmusik. Doch früher oder später werden diese Totalvernetzungen kommen. Ein effizientes Smart Grid könnte schließlich die auch heute trotz aller Erfindungen noch gravierenden Energieprobleme lösen. Ganz klar gilt für diese Entwicklungen: Da ist noch viel zu tun.

Grundsätzlich ist der zu gehende Weg derselbe wie in Ihrer gerade eben gestellten Frage: Risiken müssen analysiert, ihre Eintrittswahrscheinlichkeit abgewogen werden und darauf muss dann mit dem Einsatz von angemessenen Gegenmaßnahmen reagiert werden.

ITM: Zurück zu den Unternehmen und Industrie 4.0: Wo setzt man bei der Absicherung der vernetzten Produktion an und wie geht man beim Aufbau von Sicherheitsarchitekturen strategisch vor?
Edel:
Ein ganz wichtiges Mittel für alle Arten der Schadenverhütung, also bei Weitem nicht nur die Cyber-Security, ist eine Betriebsunterbrechungsuntersuchung. Die Verantwortlichen in den Firmen, dies sind für Cyber-Risiken meist der Leiter Risikomanagement, IT- und Automationsverantwortliche sowie Produktionsleitung, auf Wunsch gern auch die Dienstleister des VdS-Risikomanagements, müssen bestimmen, wo genau die Wertschöpfung des Unternehmens eigentlich stattfindet. Und wo sie gegenüber möglichen externen Datenmanipulationen bzw. Datenverlusten exponiert ist. In unserer produzierenden Industrie haben meist die Fertigungsmaschinen und deren Steuergeräte einen entscheidenden Einfluss für mögliche Cyber-Schadenszenarien.

Ein konkretes Beispiel: Untersuchungen in Branchen mit Schmelzöfen ergaben: Branchenbedingt müssen bei einer Risikoanalyse auch die Möglichkeiten der Produktveränderung sowie die Eigenschadenproblematik berücksichtigt werden. Es zeigte sich u.a., dass bei den Schmelzöfen schon ein minimaler Temperaturanstieg außerhalb der Vorgaben gewisse chemische Rückstände härter als Beton werden ließe, was dieses für die Unternehmensleistungen entscheidende Produktionsmittel irreparabel beschädigen würde. Die Bestell- und Aufbauzeit für einen neuen Ofen liegt bei mehreren Monaten. Das Unternehmen könnte also mindestens so lange nicht mehr liefern – wir können also stark davon ausgehen, dass schon eine solche relativ dezente Sabotage das Ende für den Betrieb bedeuten würde! Obendrein kämen mögliche Vertragsstrafen wegen ausbleibender Lieferung hinzu. Deswegen haben wir gemeinsam mit den Firmenentscheidern bestimmt, wo genau digitale Angriffe welche Funktionen an dem Gerät lahmlegen können. Der Fall ist übrigens ganz aktuell, weil kürzlich bei einem Stahlhersteller die Steuerung eines Hochofens gekapert wurde. Massive Beschädigungen an der Anlage waren die Folge.

ITM: Wie gehen Sie bei der Risikobewertung vor?
Edel:
In einem Betriebsrundgang mit den Verantwortlichen des jeweiligen Unternehmens werden kritische Cyber-Szenarien durchgesprochen. Dieser Vor-Ort-Termin ist bereits aufwandminimierend optimiert, da wir uns im Vorfeld anhand dreier Fragebögen – für die Office-IT und die Produktions-IT der Firma sowie speziell für die Betriebsunterbrechungsproblematik, analysiert anhand eines Produktionsflussdiagramms und mit Daten zu bestehenden FBU- und MBU-Versicherungen – in die spezielle IT-, Cyber- und Betriebsunterbrechungssituation des Auftraggebers eingearbeitet haben.

Auch nicht in den direkten Produktionsprozess eingebundene Teile der Wertschöpfungskette werden einbezogen: Wird die Lagerverwaltungs-Software im Unternehmen selbst oder bei einem schlechter gesicherten, aber wichtigen Zulieferer sabotiert, so kann auch dies den gesamten Wertschöpfungsprozess drastisch lahmlegen.

Die wichtigsten Schutzmaßnahmen, sobald eine solche Gefahr erkannt wurde, sind: Identifikation der absolut notwendigen Zugriffsmöglichkeiten und Abtrennung aller anderen. Die Zugriffsmöglichkeiten beschränken und die Methoden hierfür verschärfen. Auch die vorhandenen Netzwerkbereiche sollten, wo immer möglich, voneinander getrennt werden. Aus Sicht der für digitale Sicherheit Verantwortlichen empfehlen sich kleine, unabhängige Automationsbereiche. Die unvermeidlichen Netzwerkübergänge sind durch besondere Maßnahmen zu sichern, welche im Zuge der Risikoanalyse ermittelt werden. Üblicherweise sind dies Verkehrsbeschränkungen, die Dokumentation aller Einstellungen und die Protokollierung des Datenverkehrs. Wichtig ist generell auch immer der organisatorische Schutz, also z.B. das Schulen und Sensibilisieren der Mitarbeiter.

ITM: Wie oft muss man denn Neubewertungen vornehmen?
Edel:
Eine besondere Herausforderung ist die Schnelllebigkeit des Internets – ständig kommen neue Bedrohungen hinzu, die Kriminellen finden immer neue Wege. Deswegen sollte die Cyber-Risikoanalyse ein regelmäßiger Prozess sein, integriert ins unternehmerische Risikomanagementsystem. Spätestens alle zwölf oder 18 Monate sollten die Zuständigen, bestehend aus Verantwortlichen aus Produktion, Automation und IT, diese Risiken erneut durchdenken und überarbeiten. Bekanntermaßen ändern sich auch innerhalb einer Firma u.a. die Produktion, die Stückzahlen, die Zuliefer- und Abnehmerstruktur etc. Auch diese Themen müssen berücksichtigt werden. Das Ergebnis der Aktivitäten: Schadenshöhen werden reduziert und begrenzt, ihre Eintrittswahrscheinlichkeiten werden minimiert.

ITM: Wie erkennen Unternehmen „erfolgreich“ gegen sie gefahrene Attacken?
Edel:
Aktuell leider erst im Schnitt nach 200 Tagen, die Kriminellen haben also genug Zeit, die digitalen Sicherheitsmechanismen zu manipulieren, bis sie erfolgreich im System sind. Ein optimaler Schutz hiergegen besteht u.a. in einer Netzwerkprotokollierung und der Auswertung der Protokolldateien. Das schnelle Erkennen von Attacken setzt ein gut aufgebautes Informationssicherheitsmanagement voraus, dazu die erforderlichen implementierten technischen Systeme sowie den Einsatz von IT-Experten, die die individuelle Cyber-Umgebung des Unternehmens kennen.

Aus diesen Komponenten lässt sich ein umfassendes Schutznetzwerk aufbauen, um Cyber-Angriffe schnell und erfolgreich zu erkennen, zu analysieren und darauf zu reagieren. Geschulte Mitarbeiter, Threat Intelligence, aktuelle Abwehrtechnologien wie Präventionssysteme, klar geregelte Zugriffe, nachvollziehbare Dokumentationen und Echtzeit-Monitoring, hier z.B. SIEM, sind mögliche technische und organisatorische Maßnahmen, um Attacken sofort zu erkennen.

Bildquelle: Thinkstock / iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH