Aufrufe
vor 5 Monaten

Industrielle Automation 4/2019

  • Text
  • Automation
  • Industrielle
Industrielle Automation 4/2019

INDUSTRIELLE

INDUSTRIELLE KOMMUNIKATION Cybergefahren in der Industrie IIoT: Sicherheitsbedrohungen analysieren und digitale Risiken abwehren Das IIoT bietet nicht nur Perspektiven, sondern stellt Hersteller, Zulieferer und Anwender von Anlagen und Geräten auch vor Herausforderungen in der Absicherung vernetzter Infrastrukturen. Denn jedes in ein Netzwerk integrierte Gerät oder System wirkt sich auf Sicherheit des jeweiligen Netzwerks aus. Lesen Sie, wie Erpressungsangriffe auf Unternehmens- und IIoT-Infrastrukturen verhindert werden können. Von vielen Experten wird der Aufstieg des Industrial Internet of Things (IIoT) und seine enge Beziehung zur Operational Technology (OT) als einer der wichtigsten Business-Trends des frühen 21. Jahrhunderts betrachtet. Eine Vielzahl von Geräten, Sensoren und Equipment lassen sich mit dem Internet verbinden – und das in Kombination mit Machine-to-Machine (M2M-) Kommunikation und Automatisierung. Die Aussicht auf integrierte Lieferketten, Echt- Im Gespräch: Jörg Schuler über Möglichkeiten kritische Industrieanlagen vor Cyberangriffen zu schützen Jörg Schuler ist OT Security Portfolio Manager bei Airbus CyberSecurity. Das Unternehmen gilt als europäischer Experte für Cyber-Sicherheit und unterstützt u. a. Industrie-Unternehmen, Behörden, Regierungen und kritische nationale Infrastrukturen dabei, sich vor Cyber-Bedrohungen zu schützen. Als Experte für den Bereich Safety und Security sprachen wir mit Jörg Schuler über die Gefahren von Sicherheitslücken und Möglichkeiten einer zuverlässigen Absicherung von kritischen Industrieanlagen. Herr Schuler, wie könnten sich Angriffe auf Unternehmensnetzwerke entwickeln? Cyberangriffe basieren auf einer Kombination aus technischen Mitteln – der Schwachstelle, die ausgenutzt wird, um in ein Zielnetzwerk einzudringen – und der kriminellen Absicht, dies ohne Rücksicht auf Risiken und Kosten zu tun. Jüngste Vorfälle zeigen, dass dabei das häufigste Vorgehen für Angriffe wahrscheinlich die gezielte Cyber-Extortion (= Erpressung) ist. Ein warnendes Beispiel, wie gefährlich dies werden kann, gab der Vorfall im März 2018 in der Stadt Atlanta. Wie mittlerweile fast jede große Stadt weltweit sind auch Atlanta und seine Bürger auf Online- Dienste angewiesen wie z. B. einfache Anwendungen wie Parken oder Bill Payment. Unter Verwendung einer Hacking-to-Ransomware-Plattform namens SamSam drangen Angreifer in das Netzwerk der Stadt ein, um eine Reihe von Anwendungen zu verschlüsseln. Die Lösegeldforderung von 51 000 USD (ca. 45 000 EUR) wurde zwar anscheinend nicht erfüllt. Trotzdem kostete der Angriff schließlich 2,6 Mio. USD, um ihn zu bereinigen. Dies zeigte auf, dass derartige Vorfälle in jeder Institution oder in kritischen Infrastrukturen wie Fabriken, industrielle Prozesse oder Lieferketten geschehen können. Verfügen aber nicht schon die meisten Unternehmen über entsprechende Software zum Schutz vor unbefugtem Zugriff? Zum großen Teil ja. Dennoch besteht eine zusätzliche Gefahr, da viele IIoT-Systeme immer noch über keine effizienten Sicherheitsstrategien oder ausgereiften Sicherheitsmodelle verfügen. Hinzu kommt, dass industrielle Netzwerke, die IIoT unterstützen, in der Regel nicht von Grund auf neu aufgebaut werden, sondern von der etablierten Netzwerksicherheit und den Protokollen einer Organisation abhängen. Ein grundlegendes Problem dabei ist, dass IIoT und OT naturgemäß die Anzahl der Geräte erhöhen, die über Internetprotokolle kommunizieren und so die Angriffsfläche vergrößern. Angreifer müssen dann nur einen Schwachpunkt oder ein Protokoll finden von dem aus sie einen tieferen Einbruch in das Zielnetzwerk aufbauen können. 44 INDUSTRIELLE AUTOMATION 4/2019

INDUSTRIELLE KOMMUNIKATION zeit-Rückmeldungen über Prozesse, Vorhersagen über mögliche auftretende Defekte an Maschinen und vorhandene Warenbestände, bei denen selbst die kleinsten Elemente eines industriellen Prozesses Informationen untereinander austauschen, scheint dabei erfolgsversprechend. Die Effizienz wird so erheblich gesteigert und Probleme und Fehlermeldungen verringert, da sich alle an einem Prozess beteiligten Systeme selbst organisieren. Das IIoT wird also zur Plattform für jene Branchen, von denen die digitale Wirtschaft letztlich abhängt. Digitale Sicherheitsrisiken in Betracht ziehen Bei all den positiven Entwicklungen und der Nutzbarkeit des IIoT, stellt die flächendeckende Verbreitung von IIoT und OT aber auch ein neues Feld digitaler Sicherheitsrisiken dar. Nicht nur für Sicherheitsskeptiker dürfte dabei klar sein: Je mehr Geräte, Equipment, Sensoren und Anwendungen miteinander vernetzt werden, desto größer ist die gegenseitige Abhängigkeit und Empfindlichkeit gegenüber Störfällen. Die Entwicklung der Cyberkriminalität in den letzten 20 Jahren zeigt, dass mit den Nutzern des IIoT und OT analog auch die potenzielle Zahl von Angreifern steigt. Da sich Industrie 4.0 und IIoT aber noch im Aufbau befinden und viele Technologien und Standards noch nicht final implementiert sind, sind auch potenzielle Schwachstellen für Cyberangriffe nicht immer offensichtlich. Ein Beispiel dafür sind smarte Logistikanwendungen, die es ermöglichen, einzelne Werkzeuge oder bestimmte Vorgänge im Werk zu lokalisieren. Solche Anwendungen sind in der Regel auch an ein Intranet angebunden und können so durch Cyber-Angriffe gezielt kompromittiert werden. Noch besorgniserregender ist, dass ICS-Fertigungsmaschinen zunehmend direkt im Internet eingebunden sind, um Status- Updates zur vorausschauenden Instandhaltung zu senden und damit steigen auch hier die Cyber-Risiken. Jüngste Cyberangriffe auf Fertigungsanlagen zeigen definitiv, dass Anlass zur Sorge besteht. Laut dem letzten Data Breach Investigations Report (DBIR) von Verizon, der die Zahlen von 2017 analysierte, zählte das verarbeitende Gewerbe 42 bekannte Verstöße und 389 Cybervorfälle verschiedener Art. Damit liegt es direkt hinter Sektoren wie Gesundheitswesen, Finanzen und Einzelhandel. Etwa 90 % davon gehen eher von externem Hacking aus als von einer internen Kompromittierung oder einer Fehlkonfiguration. Verizon weist zudem darauf hin, dass 86 % gezielte Angriffe waren, die speziell für die Penetration bestimmter Unternehmen entwickelt wurden. „Die überwiegende Mehrheit der Angriffe unterstreicht, dass Kriminelle bestimmte Produktionsstätten mit einem ganz bestimmten Zweck verfolgen“, heißt es im Bericht. Auf welche Weise lassen sich dennoch Sicherheitslücken verhindern? Eine wichtige Frage, die sich Unternehmen stellen müssen: „Wie können sie das erforderliche Sicherheitsniveau ermitteln und wie können sie dieses erreichen und damit Risiken minimieren? Da die Bedrohung zumeist technologischer Natur ist, ist die Versuchung groß, nur nach einer technologischen Antwort zu suchen. Gleichzeitig können IT-Sicherheitsansätze aber nicht einfach auf OT- und IIOT-Architekturen übertragen werden. Zwischen diesen beiden Welten sind immer noch viele unterschiedliche Aspekte zu berücksichtigen. Verantwortliche müssen also eine gute Balance finden, zwischen einem umfassenden und ganzheitlich-risikobasierten Ansatz und einer Implementierung von kurzfristigen Best Practices. Woran können sich also Unternehmen orientieren, um das erforderliche Sicherheitsniveau zu ermitteln? Eine wichtige Grundlage ist zunächst das Verständnis der bestehenden Sicherheitsbestimmungen (z. B. der NIS-Richtlinien) und der bestehenden Normen und Richtlinien (ISO 27001, IEC 62443), die für ein bestimmtes Industriesegment gelten. Ein weiteres wichtiges Tool ist der Maturity Check, der sich auf die Faktoren Mensch, Prozess und Technologie konzentriert. Mit diesem Ansatz erschließt sich ein umfassenderes Bild des gesamten Sicherheitsstatus. Neben den technischen Möglichkeiten spielt aber doch sicher auch der Mitarbeiter eine wesentliche Rolle? Für den Faktor „Mensch“ ist eine einfache, aber wichtige Maßnahme, das Sicherheits- Bewusstsein zu erhöhen. Mitarbeiter, die einen externen USB-Stick (nicht gescannt) an einen Computer anschließen, der auf ICS-Rechner innerhalb der Fabrik zugreift, können nur dann eduziert werden, wenn sich jeder der Risiken bewusst ist. Hinzu kommen die jeweiligen Zugriffsberechtigungen auf Industrie-PCs. Denn nicht jeder Mitarbeiter sollte die Legitimation besitzen, Automatisierungsprozesse zu steuern und Anwendungen auf einem System zu starten oder sogar zu ändern. Hier spielen Authentifizierungs- und Autorisierungsrichtlinien eine ganz wesentliche Rolle. Auch das Thema Fernzugriff sollte genau unter die Lupe genommen werden. Technische und persönliche Maßnahmen sind das eine – aber reicht das? Nein. Parallel zur Umsetzung der beschriebenen Schnellmaßnahmen muss eine Organisation auch an einem breiter orientierten, risikobasierten Ansatz arbeiten. Der erste Schritt besteht darin, festzustellen, welche operativen Prozesse für die wichtigsten Unternehmensziele essenziell sind, beispielsweise bei der Herstellung eines Produkts oder der Erbringung einer Dienstleistung. In beiden Fällen müssen diese Produktionsprozesse mit hoher Sicherheit, Zuverlässigkeit und Verfügbarkeit laufen. Des Weiteren muss analysiert werden, welche Assets an dieser Wertschöpfungskette beteiligt sind und wie diese in IT, OT oder IIOT-Welt eingebunden sind. Im nächsten Schritt müssen die damit verbundenen Cyber-Schwachstellen und Bedrohungsszenarien analysiert werden. Erst wenn hierüber Klarheit besteht, können Anwender mit Planung und Implementierung von Sicherheitsmaßnahmen beginnen. Nicht zuletzt ist eine nach haltige Cyber Security Risk Mitigation ein wichtiger Prozess im Unternehmen. Dieser überwacht Umgebungen mit kritischen Assets kontinuierlich und hält Sicherheitskontrollen auf dem neuesten Stand. Unternehmen fragen oft: Wo soll man anfangen? In der sich schnell verändernden Welt der Cybersicherheit kostet die Neuerfindung des Rades zu viel Zeit. Unternehmen müssen auf Partner vertrauen können, die langfristige Unterstützung bieten. Mit einem solchen Partner können die gewonnenen Erkenntnisse domänenübergreifend ausgetauscht werden, um die Cyberresistenz für morgen zu erhöhen. Das ist eine fordernde, aber spannende Reise, und wir sind alle mittendrin. Bilder: Aufmacher Fotolia, sonstige Airbus CyberSecurity www.airbus-cyber-security.com/de INDUSTRIELLE AUTOMATION 4/2019 45

AUSGABE