Cybersicherheit in der OT: Was ist wichtig bei der Absicherung von Industrieanlagen?

Die Digitalisierung, das IoT und die Industrie 4.0 ermöglichen eine immer umfassendere Vernetzung von Maschinen und Anlagen. Der technische Fortschritt ermöglicht nicht nur völlig neue Anwendungsfelder – sondern bringt auch bis dato unbekannte Cyberbedrohungen mit sich. Die meisten Anlagen und Maschinen wurden in einer Zeit installiert, als Cyberangriffe noch kein Thema waren – entsprechend niedrig ist das verfügbare Sicherheitslevel. Der Industrial Security wurde bisher nur unzureichend Aufmerksamkeit gewidmet. Eine echte Einladung für Cyberkriminelle!

Der Unterschied zwischen IT und OT

Zwischen den beiden „Ökosystemen“ IT und OT bestehen immer noch große Unterschiede, auch wenn die Bereiche im Zuge der Industrie 4.0 immer weiter zusammenwachsen. Die IT ist in Sachen Cyberbedrohungen schon seit langem trainiert – während die Realisierung von Sicherheitsmaßnahmen im OT-Umfeld durch fehlende Flexibilität beim Ändern der grundlegenden IT-Architekturen nahezu unmöglich gemacht wird. In der IT liegt der Lebenszyklus der eingesetzten Hard- und Software bei 3 – 5 Jahren. Die OT der Maschinen- und Anlagenbetreiber muss sich hingegen mit einer deutlich längeren Lebensdauer der einzelnen Komponenten – stellenweise bis zu 25 Jahren – auseinandersetzen. Somit muss die OT sehr alte Sicherheitslücken handhaben – für die keinerlei Sicherheitskonzepte bestehen. Die meisten Sicherheitslücken im Sektor der Industrial Security entstehen durch veraltete IT-Betriebssysteme, die ohne die Möglichkeit von Updates oder Sicherheitspatches auskommen müssen. Änderungen an den Systemen sind nicht einfach umzusetzen, da Maschinen rund um die Uhr und in Echtzeit arbeiten – wobei jede einzelne Sekunde Laufzeit die Wirtschaftlichkeit beeinflusst. In der IT hingegen sind Ausfallzeiten durch Einspielen von Updates tolerierbar, da diese Systeme eine wesentlich flexiblere Zeitgestaltung erlauben. Ein großer Unterschied zwischen IT und OT besteht auch in Sachen Sicherheit. Bei Cyberangriffen auf die IT sind Datenverluste, Verletzungen der Vertraulichkeit oder Erpressungen zu erwarten. Bei Cyberangriffen auf Anlagen und Maschinen können Menschenleben in Gefahr gebracht werden.

Ein paar Zahlen aus der Industrial Security

• 6 von 10 Industrieunternehmen mit mehr als 100 Mitarbeitern nutzen Anwendungen der Industrie 4.0
• 67 Prozent der Industrieunternehmen sehen die Anforderungen an den Datenschutz und die Datensicherheit als größte Herausforderung für die digitale Transformation
• 58 Prozent aller Industrieunternehmen sehen den Mangel an Spezialisten für Industrie 4.0 und IoT als großes Hemmnis

Eine der größten Herausforderungen der digitalen Transformation

In der Vergangenheit waren die IT (Information Technology) und die OT (Operations Technology) vollständig voneinander getrennt. Die IT verfügte über andere Kommunikationsprotokolle wie die OT und beide Bereiche hatten keinerlei Berührungspunkte zueinander. Cyberangriffe auf Maschinen oder Anlagen waren schlichtweg nicht möglich – entsprechend gering war das Interesse der Cyberkriminellen. Heute sieht die Bedrohungslage hingegen völlig anders aus. Im Zuge der Industrie 4.0 und der Vernetzung von Maschinen und Anlagen untereinander (IoT) steigen die Anforderungen an Effizienz und Wirtschaftlichkeit, was sich unter anderem an einer fortgeschrittenen, internetprotokollbasierten Vernetzung von Industrial Control Systems (ICS) äußert. Diese Vernetzung bietet neben all ihren Vorteilen für den Arbeitsalltag auch eine große Herausforderung: Cyberangriffe von innen und außen werden wesentlich wahrscheinlicher. Produzierende Unternehmen stehen jetzt vor der großen Aufgabe, eine zuverlässige Produktion und die digitale Transformation unter einen Hut zu bringen – und bei Cyberangriffen schnell, effektiv und korrekt zu reagieren. Allerdings sind viele der „klassischen“ Industrieunternehmen sich den Gefahren noch nicht bewusst, die Cyberbedrohungen aller Art mit sich bringen. Das fehlende Wissen rund um Cyberbedrohungen führt dazu, dass die Industrial Security im produzierenden Gewerbe (noch) keine große Rolle spielt. Entsprechend gering ist die Sensibilisierung für das Risiko von Cyberangriffen. Was dem einen nicht bewusst ist, freut den anderen. Cyberkriminellen bieten sich unzählige Gelegenheiten, Zugriffe auf die Systeme zu verschaffen. Einmal im Unternehmens-Netzwerk eingeklinkt, können Hacker die Produktion stören oder lahmlegen – und natürlich wertvolle Daten abgreifen. Eine andere Cyberbedrohung zeigt sich in sogenannter Ransomware. Diese Programme verschlüsseln Daten – und die Cyberkriminellen geben die Daten nur nach Zahlung eines Lösegeldes frei.

Die große Herausforderung für die OT besteht nun darin, die neuen Formen der Kriminalität zu verstehen – und eine Industrial Security zu implementieren, die die digitalen Fabriken der Zukunft vor Cyberbedrohungen aller Art zu schützen. Denn nur so lässt sich die stetig steigende Bedrohungslage abmildern. Und das wirtschaftliche Risiko für die Unternehmen senken.

Welche Probleme zeigen sich aktuell im Zuge der Industrie 4.0?

Die OT ist derzeit noch nicht umfassend in der Lage, Cyberangriffe in angemessener Zeit aufzudecken. Somit dauert es häufig viel zu lange, bis Cyberkriminelle in den Netzwerken der produzierenden Unternehmen entdeckt werden - mit möglicherweise fatalen Folgen. Produktionsnetzwerke, die zumeist nur Maschinen steuern und Prozesse anstoßen, sind zumeist frei von menschlichem Zugriff. Das bedeutet, dass diese Systeme nicht darauf ausgelegt sind, Cyberbedrohungen zu erkennen und zu melden. Im besten Falle reagieren die Produktionsnetzwerke mit einiger Verzögerung auf Unregelmäßigkeiten – was für Cyberkriminelle ausreichend Zeit bietet, ihren Machenschaften nachzugehen. Die IT Sicherheit der Industrie ist zwar in der OT keine Unbekannte, allerdings liegt der Fokus in Sachen Sicherheit auf dem zuverlässigen Arbeiten und einer reibungslosen Funktionalität der Maschinen und Anlagen. Eine der heutigen Bedrohungslage angemessene Industrial Security wurde in vielen Produktionsbetrieben bisher vernachlässigt. Zum einen, weil bis vor wenigen Jahren kein Bedarf an Sicherheitsmaßnahmen gegen Cyberbedrohungen bestand, zum anderen, weil sich die Einbindung von Cybersicherheitssystemen in der Produktion hochkomplex und schwierig gestaltet. Als Beispiel soll hier die Implementierung von Sicherheitsupdates dienen. Produktionsanlagen sind zumeist rund um die Uhr und 365 Tage im Jahr in Betrieb. Es ist immens schwierig, hier einen optimalen Zeitpunkt für die Aktualisierung zu finden, ohne dass es zu Produktionsausfällen kommt. Auch muss die OT garantieren, dass alle Anlagenkomponenten und Maschinen nach einem Update weiterhin reibungslos funktionieren.

Welche Gefahren bedrohen die IT Sicherheit der Industrie?

Wir sind bereits daran gewöhnt, dass Cyberangreifer regelmäßig in Netzwerke von Behörden oder Unternehmen eindringen und dort Daten entwenden. Auch gestohlene und dann im Netz veröffentlichte Kundendaten oder Erpressungen durch Ransomware sind längst Alltag. Bei Cyberangriffen auf die Industrie kann aus der alltäglichen Bedrohungslage aber leicht eine Gefahr für Leib und Leben werden. Denn auch Unternehmen aus dem Bereich der Kritischen Infrastruktur, Gas- und Wasserversorger, Energieproduzenten, das Gesundheitswesen, die Finanzbranche oder das Transportwesen, sind mittlerweile im Zuge der Industrie 4.0 und dem IoT vernetzter als je zuvor. Und damit Ziel unterschiedlichster Hackergruppierungen. Niemand von uns will sich vorstellen, was ein Cyberangriff auf ein Atomkraftwerk für Folgen hätte – oder was passieren würde, wenn Cyberkriminelle den Strom flächendeckend abstellen würden. Doch was genau bedroht die IT Sicherheit der Industrie aktuell?

Was ist wichtig für die Absicherung von Industrieanlagen?

Mit Blick auf die Bedrohungslage muss es das erklärte Ziel eines jeden Anlagenbetreibers sein, die Industrial Security durch Minimierung von Eintrittswahrscheinlichkeiten über das IoT sicherzustellen. Nur durch kontinuierliche Überprüfung und die sorgsame Umsetzung von Sicherheitsmaßnahmen seitens der Anlagenbetreiber kann ein ausreichendes Schutzniveau im Sektor der Industrial Security sichergestellt werden. Bei allen Maßnahmen kann es sich aber nicht nur um technische Lösungen handeln – denn Cybersicherheit und damit auch die Industrial Security kann man nicht als fertiges Produkt von der Stange kaufen. Vielmehr sind umfassende Konzepte gefragt, die möglichst alle Gefahrenszenarien abdeckt. Die IT Sicherheit der Industrie sollte im Optimalfall aus mehreren Security Layern bestehen – auf der einen Seite die passiven Layer wie Firewalls oder Antivirensoftware, auf der anderen Seite aktive Layer wie Threat Hunting- oder Incident Response Services. Spezialisierte Dienstleister können mit Ihrem Service schnell, zuverlässig und unbeeinträchtigt vom Fachkräftemangel und Divergenzen zwischen IT und OT die IT Sicherheit der Industrie gewährleisten. Active Cyber Defense beispielsweise, oder kurz ACD, analysiert die komplette Kommunikation innerhalb eines Netzwerkes von Innen nach Außen und sucht gezielt nach Anomalien. In vielen Unternehmen mit angeschlossener Produktion sind die Netzwerke oft nicht segmentiert beziehungsweise voneinander getrennt. Auch ist der Netzwerktraffic über bestimmte Protokolle und Ports in den meisten Betrieben nicht geregelt. So fällt nicht auf, dass OT Systeme eine Verbindung zu Servern im Internet aufbauen – und so ganz still und heimlich von Cyberkriminellen kompromittiert werden.

Mit ACD kann jede IP-basierte Kommunikation aus der OT-Infrastruktur heraus auf Anomalien analysiert werden. ACD funktioniert unabhängig von den eingesetzten Betriebssystemen, ist agentenlos einsetzbar und ermöglicht Industriebetrieben die Prüfung, ob OT Systeme unbemerkt eine Verbindung zu Diensten im Internet aufbauen. Insbesondere der agentenlose Einsatz von ACD stellt einen großen Vorteil für die Industrial Security dar. Denn die Installation von Agenten auf Endgeräten ist häufig technisch nicht umsetzbar oder durch die Hersteller nicht zugelassen. Alle Analysetätigkeiten der ACD basieren auf IP-Protokollen und nicht auf spezialisierter Anlagenkommunikation. Dies vereinfacht die Integration der Services in die Industrial Security eines Unternehmens deutlich – und ermöglicht einen zuverlässigen Rundum-Schutz vor aktuellen und zukünftigen Cyberbedrohungen.