zapp2photo - stock.adobe.com

Industrie 4.0: Vernetzte Produktionsanlagen richtig absichern

IT und OT (Operational Technology) wachsen in Industrie-4.0-Umgebungen zusammen, wodurch Produktionsanlagen von außen angreifbar werden. Wie lassen sich Angriffe abwehren?

Hacker dringen in vernetzte Produktionsanlagen ein – zum Beispiel über Fernwartungszugänge, die nicht richtig abgesichert sind. In der Top-Ten-Liste der Bedrohungen (PDF) für Industrial Control Systems (ICS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) stand dieser Angriffsvektor bereits 2016 auf Platz 4, Bedrohungspotenzial steigend. Das Risiko in der Fernwartung senken Unternehmen, wenn sie die Kommunikation verschlüsseln und über sichere Protokolle abwickeln sowie geeignete Authentisierungsmechanismen für Benutzer und genutzte Geräte einsetzen.

Eine weitere Schwachstelle liegt häufig in Backup-Netzen, die nicht in allen Bereichen durchgehend abgesichert sind. Zu den klassischen Angriffsvektoren zählen unter anderem mitgebrachte USB-Sticks und Wartungsnotebooks. Im Trend liegt zudem Malware für Krypto-Jacking, die zwar hauptsächlich im IT-Umfeld ihr Unwesen treibt, aber auch schon den Weg in Produktionsanlagen gefunden hat – das ergaben Bedrohungsanalysen verschiedener Sicherheitsexperten.

So berichtet McAfee in seinem Threat Report vom Juni 2018 (PDF), dass diese Schädlingskategorie im ersten Quartal 2018 um enorme 629 Prozent auf über 2,9 Millionen verschiedene Exemplare angestiegen ist. Im vierten Quartal 2017 waren es noch 400.000. Beim Krypto-Jacking infizieren Cyberkriminelle Systeme mit Malware, um sie zu kapern und für Krypto-Mining zu nutzen, zum Beispiel um Bitcoin zu schürfen. Da dies im Hintergrund passiert, merken die Opfer, zumindest in der IT, oft nichts davon. Wo aber übliche IT-Systeme, wie zum Beispiel Bürorechner, Laptops oder Server, in der Regel hohe Leistungsreserven haben, sind Systeme in der OT von Ihren Leistungsdaten gegebenenfalls nur auf die vorgesehene konkrete Verwendung konzipiert. In der OT (Operational Technology) besteht also durchaus die Möglichkeit, dass ein infiziertes System die Produktion lahmlegt.

Weshalb das Absichern von Industriesystemen herausfordert

Ein großes Problem in Industrieanlagen besteht darin, dass die eingesetzten SCADA-Systeme (Supervisory Control and Data Acquisition) häufig von verschiedenen Herstellern stammen und nicht nur neue, moderne Systeme zum Einsatz kommen. Viele alte Systeme stammen aus einer Zeit, in der sich die Hersteller noch keine Gedanken über Sicherheit gemacht haben und in der man noch nicht an Industrie 4.0 gedacht hat. Die Systeme verfügen daher nicht über die nötigen Sicherheitsfunktionen und haben zahlreiche Schwachstellen. Dazu kommt, dass es schwierig ist, alte Systeme zu patchen und upzudaten. Das liegt zum einen daran, dass die Hersteller nur selten bis gar keine Patches (mehr) für die alten Systeme zur Verfügung stellen. Zum anderen lassen sich diese nicht ohne Weiteres einspielen. Denn wenn die Produktion nicht unterbrochen werden kann oder darf, dann gibt es bis zum nächsten Wartungsfenster kaum eine Möglichkeit, Patches einzuspielen, was häufig einen Neustart der betroffenen Geräte mit sich bringt.

Auch wenn es vielleicht keine perfekte Lösung gibt, können die Systeme zumindest deutlich sicherer gemacht werden, indem man zum Beispiel sichere und unsichere Segmente voneinander abschottet. Nur notwendige und autorisierte Kommunikation kann hinein und hinaus. Entsprechende Maßnahmen lassen sich auf Netzwerkebene umsetzen – gegebenenfalls durch Hinzunahme spezieller Gateways, die gerade für alte OT-Systeme die Sicherheit abbilden können.

Granularer lassen sich die Sicherheitsmaßnahmen gestalten, wenn man zusätzlich Cyber-Visibility-Systeme zur Anomalieerkennung einsetzt. Solche Systeme erkennen Anomalien in Produktionsanlagen, indem sie dort permanent Daten sammeln und so das Verhalten der Anlage lernen, diese überwachen und modellieren. Dadurch lassen sich zum Beispiel auch die Attribute von Steuerungsbefehlen in die Überwachung mit einbeziehen. In der Folge kann dann nicht nur die Anlage an sich, sondern möglicherweise der gesamte Produktionsprozess abgesichert werden. Alle Aktionen lassen sich protokollieren und in einen Threat Intelligence Feed einspeisen, der über mögliche Gefahren für die Produktion und die gesamte Organisation informiert.

Weitere relevante Sicherheitsvorkehrungen betreffen Audits und zusätzliche Schwachstellenscans, Client Security, Network Access Control (NAC), Security Information and Event Management (SIEM), Network-Traffic-Analyse und Asset Management. So etwas wie völlige Sicherheit und keinerlei Risiko gibt es nicht. Um auch während und nach einem existenzbedrohenden Vorfall wie zum Beispiel einem Hackerangriff, einem Feuer, einer Überschwemmung etc. möglichst schnell Daten und Prozesse wiederherstellen, weiter arbeiten und Kunden weiter bedienen zu können, benötigen Unternehmen einen guten Business Continuity Plan inklusive Backup und Disaster Recovery Plan (DRP).

Ein Sicherheitskonzept entwickeln und umsetzen

Alle Maßnahmen müssen sich in ein Sicherheitskonzept fügen, das immer individuell auf die jeweilige Umgebung abgestimmt sein muss. Zunächst ist es wichtig, eine Bestandsaufnahme der aktuellen Situation zu machen und den Bedarf zu ermitteln:

  • Welche Systeme gibt es und auf welchem Stand befinden sie sich? Welche sind besonders unsicher?
  • Wer muss unbedingt mit wem kommunizieren?
  • Wo hätte ein Sicherheitsvorfall die größte Auswirkung?

Daraus ergibt sich, wie man die Netzwerke in der Produktion segmentieren und sichere Inseln schaffen kann. Dabei muss auch die Umgebung und Verkabelung berücksichtigt werden. Wo müssen die Sicherheitslösungen stehen? Vielleicht ist es erforderlich, eine Firewall direkt an ein Produktionssystem in der Werkshalle anzuschließen.

„Es ist nur eine Frage der Zeit, bis auch Industrieanlagen verstärkt ins Visier von Angreifern geraten. Es besteht also akuter Handlungsbedarf.“

Eric Dreier, Axians Deutschland

Auch die organisatorische Seite darf nicht vernachlässigt werden. Unternehmen brauchen ein Information Security Management System (ISMS), ein abgestimmtes Bündel aus Prozessen, Verfahren, Regeln und Verantwortlichkeiten. Dazu gehört zum Beispiel, Berechtigungskonzepte aufzustellen und Sicherheitsrichtlinien zu definieren. Zudem sollten Unternehmen genau dokumentieren, wer für was zuständig ist und wie die Prozesse und der Kommunikationsfluss im Falle eines Sicherheitsvorfalls ablaufen. Für Organisationen, die unter die kritischen Infrastrukturen fallen, ist ein ISMS gesetzlich vorgeschrieben. Auch wer sich nach ISO 27001 zertifizieren lassen möchte, braucht es zwingend.

Bewusst handeln

Cybersicherheit im Industrie-4.0-Umfeld zu etablieren, ist eine anspruchsvolle Aufgabe. Erschwert wird sie durch veraltete, unsichere Systeme und dadurch, dass die Produktion rund um die Uhr funktionieren muss. Zudem entsteht in der OT erst nach und nach das nötige Bewusstsein für die aktuellen Sicherheitsanforderungen. Auf der anderen Seite werden Cyberkriminelle immer gewiefter. Mit den neuen Möglichkeiten, die sich heute bieten, ist es nur eine Frage der Zeit, bis auch Industrieanlagen verstärkt ins Visier von Angreifern geraten. Es besteht also akuter Handlungsbedarf.

Über den Autor:
Eric Dreier ist Business Development Manager bei
Axians Deutschland.

Nächste Schritte

Industrie 4.0: Die größten Bedrohungen für die Sicherheit

IoT in der Industrie: Drei Erkenntnisse für den Erfolg

Gratis-eBook: Wo Industrie 4.0 und IIoT bereits Realität sind

Erfahren Sie mehr über Netzwerksoftware