Steigende Angriffe auf Fertigungssektor: Warum jetzt mehrschichtige Cyber-Verteidigungssysteme unverzichtbar werden!
von Svenja Koch
Der Fertigungssektor weltweit ist mittendrin in der vierten industriellen Revolution. Die digitale Transformation im Zuge der Industrie 4.0 vernetzt Maschinen und Anlagen miteinander, macht Produktionsprozesse schlanker und ermöglicht neue Optionen wie die vorrausschauende Instandhaltung oder das standortunabhängige Monitoring der Produktionsmaschinen. Während die Fertigungsbetriebe umfassend in die notwendige digitale Infrastruktur für das IIOT (Industrial Internet of Things) investieren, bleibt die IT Security zumeist auf der Strecke. IT-Sicherheitsmaßnahmen gegen Cyberbedrohungen und unterschiedlichste Cyberangriffe beruhen viel zu häufig noch auf veralteten Sicherheitskonzepten. Diese Schwachstelle ist natürlich auch Cyberkriminellen bekannt – entsprechend oft wurden Fertigungsbetriebe in der jüngsten Vergangenheit Opfer von Cyberangriffen. Warum mehrschichtige Cyber-Verteidigungssysteme jetzt unabdingbar werden und wie sich durch Threat Hunting und Active Cyber Defense die IT Security in einem Produktionsbetrieb deutlich erhöhen lässt, erfahren Sie in diesem Beitrag.
2020: Das Jahr der komplexen Cyberbedrohungen und umfangreichen Cyberangriffen
Der Falcon-Overwatch 2020 Threat Hunting Report hat sich dem Thema der Cyberbedrohungen angenommen. Die Erkenntnisse der Studie sind erschreckend. Nahezu zeitgleich mit dem Beginn der weltweiten Corona-Pandemie nahmen Cyberangriffe auf Fertigungsbetriebe drastisch zu. Dabei ist auffällig, dass nicht nur die reine Anzahl der Cyberangriffe gestiegen ist, sondern auch deren Komplexität. Neben der Fertigungsindustrie hat es in 2020 auch die Lebensmittelbranche und das Gesundheitswesen „erwischt“ – ein deutliches Indiz dafür, dass sich Cyberangreifer an die Pandemie und die sich dadurch verändernden Bedingungen angepasst haben. Auch Telekommunikations-Unternehmen stehen seit 2020 unter Dauerbeschuss. Hier ist es weniger die Cyberkriminalität rund um Ransomware und Co., die die Angriffe durchführt. Vielmehr sind es nationalstaatliche Angreifer aus China, die Spionageangriffe und Datendiebstähle durchführen. Die kritische Infrastruktur scheint also zum bevorzugten Ziel von Hackergruppen und Einzeltätern zu werden. Woran liegt das?
Veraltete Technologie trifft auf den Faktor Mensch
Jeder Technologiesprung bringt neue Herausforderungen mit sich. So natürlich auch die Industrie 4.0: Im Zuge der digitalen Transformation werden nicht nur Maschinen und Anlagen miteinander vernetzt, sondern diese zusätzlich noch mit Systemen aus dem administrativen Bereich verbunden. Erstmalig im industriellen Zeitalter verschmilzt Informationstechnologie mit operationeller Technologie. Dadurch können Produktionsdaten, beispielsweise Stückzahlen, Stillstands- oder Rüstzeiten, in Echtzeit und standortunabhängig verarbeitet und analysiert werden. Künstliche Intelligenz macht aus Big Data ein mächtiges „Werkzeug“ für die Verschlankung von Prozessen und Optimierung der Qualität. Ohne Umwege können Fertigungsaufträge, Zeichnungen und Maschinenprogramme aus dem Büro in die Produktionshallen übertragen werden, während dank „Predictive Maintenance“ eine Maschine Defekte erkennt, bevor sie geschehen. Zweifelsfrei hat die digitale Vernetzung Vorteile gegenüber der bisherigen Arbeitsweise. Leider nicht nur für Produktionsbetriebe, sondern auch für Cyberkriminelle aller Art.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Low Tech in der Werkhalle
Ein üblicher Büroarbeitsplatz ist mit einem PC ausgestattet, dessen Lebenszyklus ungefähr 5 Jahre beträgt. In den Steuerungen von Fertigungsmaschinen hingegen arbeiten Hard- und Softwareprodukte, deren Lebensdauer 10, 20 oder mehr Jahre beträgt. Relevant hier war bis dato nicht die Sicherheit des Netzwerks, sondern eine hohe Verfügbarkeit und Zuverlässigkeit. Beides wird durch erprobte und bewährte Systeme sichergestellt. Entsprechend veraltet sind hier die Betriebssysteme – und in Kombination mit fehlenden Updates oder Patches ergibt sich eine zwar hoch funktionable, aber auch an Schwachstellen reiche Technologie-Umgebung. Eine Umstellung auf moderne Systeme wäre zwar prinzipiell möglich, wird aber von vielen Unternehmen abgelehnt. Denn während sich ein PC durch ein paar einfache Handgriffe von Windows 7 auf Windows 10 upgraden lässt, bedeutet ein modernes IT-System an einer Dreh- oder Fräsmaschine, an Spritzgussanlagen oder Extrudern so gut wie immer ein umfangreiches Retrofitting, eine hohe Investition und unkalkulierbare Ausfallzeiten.
Einfallstor Mensch
Auch wenn Erpressungen mit Ransomware durchaus auch Produktionsbetriebe treffen, geht es bei Cyberangriffen hier vielmehr um Sabotage, Spionage oder Lahmlegen des Produktionsbetriebes. Eine beliebte Strategie der Cyberangreifer ist der Zugang zur betriebsinternen IT-Infrastruktur über unzureichend geschulte oder allzu unbedarfte Mitarbeiter. Insbesondere Social Engineering wird als Einfallstor genutzt, aber auch Phishing oder mit Trojanern verseuchte Mail-Anhänge stehen hoch im Kurs bei den Cyberkriminellen. Doch selbst dann, wenn ein Unternehmen die Zugänge zur Cloud und/oder den Produktions-Systemen mit hohem Aufwand und somit vermeintlich zuverlässig absichert, gibt es noch einen Zugangspunkt, den die IT Security kaum überwachen kann: Die Schatten-IT. Dieser Begriff meint beispielsweise private Smartphones, Tablets oder die darauf installierten Apps, deren Anwendung von der IT-Abteilung weder genehmigt noch abgesichert sind. Der Bediener, der die Zeit, in der seine Maschine automatisiert arbeitet, mit Video- oder Audio-Streams überbrückt und dafür auf das WLAN des Unternehmens zugreift, öffnet unbewusst „Tür und Tor“ für Hacker – und macht Cyberangriffe somit extra einfach.
Die Cyberangreifer passen sich an – Unternehmen müssen reagieren!
Die eingangs erwähnte Studie zeigt eines ganz deutlich auf: Cyberangriffe passen sich den aktuellen wirtschaftlichen und geopolitischen Gegebenheiten schnell und flexibel an. Mit höchster Agilität machen Hackergruppen weltweit neue Ziele ausfindig, richten ihre Angriffsstrategien an ihren „Zielgruppen“ aus und nutzen jede sich bietende Chance für einen maßgeschneiderten Cyberangriff. Dabei müssen die Cyberkriminellen immer weniger Fachwissen vorweisen. Ransomware-as-a-Service, eine Art Mietmodell für Schadsoftware, erlaubt es jedermann (und jederfrau) mit ausreichend krimineller Energie, für stellenweise weniger als 50 Dollar Malware auf Unternehmen, Organisationen oder Regierungen loszulassen.
In 2020 kam noch die Besonderheit der pandemischen Lage hinzu. Ganz zielgerichtet haben sich Cyberangreifer hier die Branchen rausgepickt, die durch die völlig neuen, nicht planbaren Veränderungen in den Lieferketten oder der Nachfrage besonders verwundbar waren. So wie Fertigungsbetriebe – die nicht nur mit fehlenden Rohmaterialien und wegbrechenden Aufträgen zu kämpfen hatten, sondern gleichzeitig mitten in der digitalen Transformation steckten. Und als wäre dies noch nicht Herausforderung genug, mussten so viele Betriebe wie niemals zuvor ihre Mitarbeiter ins Homeoffice schicken. Die Konsequenz: Noch mehr Sicherheitslücken in der IT, eine ausgedünnte IT Security, noch mehr Gelegenheiten für Social Engineering – und ein gefundenes Fressen für Cyberkriminelle.
Auch wenn die Pandemie (vorerst) an Intensität eingebüßt hat: Die Fertigungsunternehmen sind dringend aufgerufen, ihre IT Security an die neuen Anforderungen anzupassen. Damit dies gelingt, sind nicht nur Firewalls und Antiviren-Software zu installieren. Vielmehr müssen Fertigungsbetriebe ihre gesamte IT Security neu denken: ganzheitlich, mehrschichtig und proaktiv.
SOC und SIEM: Mit preisintensiven Strategien gegen Cyberbedrohungen
Die Implementation einer Security Information and Event Management Lösung (SIEM) ist ein wirkungsvoller Ansatz, um den Herausforderungen durch moderne Cyberbedrohungen zu begegnen. Das Security Management System ermöglicht es, in Echtzeit auf Cyberbedrohungen zu reagieren, in dem es kontinuierlich Daten sammelt, automatisch kategorisiert und analysiert. SIEM ist in der Lage, riesige Datenvolumina in Sekundenbruchteilen zu erfassen – was insbesondere für Fertigungsbetriebe relevant ist. Denn bereits eine einzige Werkzeugmaschine kann 1 Terabyte Daten generieren – pro Stunde! So werden Echtzeit-Einblicke in die IT-Infrastruktur ermöglicht, die als Grundlage für weitere Abwehrmaßnahmen dienen. SIEM wird häufig ergänzt mit einem Security Informationen Management (SIM) und/oder einem Security Event Management (SEM). Mittels SEM werden Analysen und Berichte in Echtzeit erstellt, während SIM sicherheitsrelevante Daten erfasst und Logs verwaltet. So wirkungsvoll die drei genannten Ansätze sind – ohne menschliche IT Security Experten bringt das umfangreichste Datensammeln nichts. Daher benötigen Unternehmen zusätzlich zu den Methoden und Tools spezialisierte Fachkräfte, die Erkenntnisse aus den Daten ziehen und für Abwehrmaßnahmen einsetzen. Diese Experten werden gebündelt im SOC, dem Security Operations Center. Im Idealfall entsteht so ein vielschichtiges Schutzschild, dass interne und externe Cyberangriffe abwehrt, dabei gleichzeitig Risiken minimiert und das für erhöhte Security Intelligence sorgt. Die vollständige Implementation eines SOC in ein Unternehmen - und dessen kontinuierliche Aufrechterhaltung - erfordert Investitionen und produziert fortlaufende Kosten in nicht unbeträchtlicher Höhe. Kosten, die insbesondere kleine und mittlere Unternehmen nicht oder nur schwer stemmen können.
Die Alternative zu hohen Kosten: Active Cyber Defense
Eine hochgradig wirkungsvolle Alternative zu einem unternehmenseigenen Security Operations Center stellt der Active Cyber Defense Service dar. Bei dieser schlanken, kostengünstigen und sicheren Lösung werden die Aktivitäten eines SOCs „outgesourct“ und eine 24/7 Absicherung der IT-Infrastruktur erzielt. Auffälligkeiten und Unregelmäßigkeiten werden zuverlässig aufgedeckt, so dass Angriffsaktivitäten bereits in der Frühphase des Angriffs unterbunden werden. Active Cyber Defense macht SOCs, SIEMs und Forensiken überflüssig – und entlastet das unternehmensinterne IT Security Team damit deutlich. Neben Kostenvorteilen bietet eine Active Cyber Defense einen weiteren großen Pluspunkt – gerade für Fertigungsbetriebe. Denn während bei SIEM Projekten oftmals monatelange Konfigurations- und Anpassungsphasen zu erwarten sind, kann die Active Cyber Defense abhängig von der Betriebsgröße in der Regel in drei bis sieben Tagen implementiert werden.
Proaktiv jagen – anstatt der Gejagte zu sein!
Die effizientesten Cyberangriffe sind leider die, die erst spät oder gar nicht erkannt werden. Aktuell vergehen durchschnittlich sechs Monate, bis eine Kompromittierung im Netzwerk erkannt wird. Klassische, reaktive Schutzmaßnahmen stellen für die neue Generation der Cyberkriminellen eventuell noch ein lästiges Ärgernis dar – von ihrem Tun abhalten lassen sich die Hacker dadurch allerdings nicht mehr. Daher ist das aktive Threat Hunting Teil des Active Cyber Defense Services. Beim Threat Hunting gehen spezialisierte IT-Sicherheitsteams aktiv in den Netzwerken auf die Jagd, rund um die Uhr und 365 Tage im Jahr. Threat Hunting minimiert die „toten Winkel“ in der IT-Infrastruktur und macht es Eindringlingen so deutlich schwerer, ihre Malware zu verstecken. Der Managed Service der Active Cyber Defense ergänzt die dringend notwendige, ganzheitliche IT Security für die Fertigungsbranche – und ist dank Kostenkontrolle und flexibelster Skalierbarkeit in Sachen Leistungsumfang auch für kleinere Unternehmen einsetzbar.
Fazit
Die vierte industrielle Revolution ist im vollen Gange und die Industrie 4.0 in wenigen Jahren etablierter Standard. Die involvierten Fertigungsunternehmen sehen sich im Zuge der digitalen Transformation völlig neuen Cyberbedrohungen ausgesetzt – und einer Hacker-Generation, die so dreist wie niemals zuvor Ihre Opfer attackiert, erpresst oder sabotiert. Mit schlanken, kosteneffizienten und wirksamen Maßnahmen wie der Advanced Cyber Defense oder dem Threat Hunting verfügen allerdings auch kleine und mittelständige Fertigungsbetriebe über eine wirkungsvolle Waffe im Kampf gegen die Bedrohung aus dem Netz.