Foto: metamorworks - shutterstock.com
Im Zuge der Digitalisierung des industriellen Sektors implementieren Wirtschaftsunternehmen Cloud Computing und vernetzen über (I)IoT-Infrastrukturen ihre Maschinen und Fertigungsanlagen. Die Folge: OT und IT verschmelzen immer mehr, was Unternehmen einige Vorteile verschafft.
Diese bestehen nicht nur in effizienteren Geschäfts- und Produktionsprozessen, sondern begünstigen unter anderem eine höhere Mitarbeiterproduktivität sowie eine kürzere Time-to-Market, was wiederum das allgemeine Produktionsniveau anhebt. Eine umfassende Vernetzung sämtlicher Systeme ermöglicht darüber hinaus ein ebenso umfassendes und zentrales Echtzeit-Monitoring. Doch mit diesen Vorteilen halten gleichzeitig auch Risiken Einzug in die Produktionsumgebung.
Industrie im Visier von Cyberkriminellen
Laut der Bitkom-Studie über den Wirtschaftsschutz in der digitalen Welt stieg der Anteil der von Sabotage, Spionage und Cyberkriminalität betroffenen Wirtschaftsunternehmen innerhalb von zwei Jahren von 53 auf 75 Prozent. Sowohl die hohe Dichte an vernetzten Anlagen, als auch ihr komplexes Netzwerk von Zulieferern, Partnern und Kunden machen Unternehmen des industriellen Sektors dabei zu einem vielversprechenden Ziel für Cyberkriminelle und Saboteure.
Auch die Tatsache, dass Maschinen die Daten mittlerweile in die Cloud übertragen, vergrößert die Angriffsfläche. Ein Beispiel für ein erhöhtes Sicherheitsrisiko ist die Just-in-time-Produktion, auf die viele Unternehmen zur Reduzierung von Lagerflächen umgestellt haben. Diese Produktionsweise hat zur Folge, dass die OT-Umgebungen mit den Produktionsdatenbanken verknüpft werden müssen, um feststellen zu können, welche Teile wann und wo gebraucht werden.
Grundsätzlich unterscheiden sich Cyberangriffe auf heterogene Produktionsumgebungen und die OT nicht sonderlich von jenen, die auf andere IT-Systeme verübt werden. Gelingt es Saboteuren, Ransomware in das Unternehmensnetzwerk zu schleusen, verschlüsseln sie wichtige Daten und verlangen für die Freigabe immense Lösegeldbeträge. Durch Malware können sie nicht nur persönliche Daten oder geistiges Eigentum abgreifen, sondern auch kritische Prozesse manipulieren und dauerhaft lahmlegen.
Neben Erpressung sorgen laut dem BSI vor allem Produktionsausfälle, Beschädigung von Anlagen und Patentdiebstahl für massive finanzielle Schäden. In diese Liste reihen sich seit dem Inkrafttreten der DSGVO Bußgelder aufgrund von datenschutzrechtlichen Verstößen. Neben dem möglichen Verlust von Daten sowie den finanziellen Einbußen sind auch Reputationseinbrüche eine nicht zu unterschätzende Folge von erfolgreichen Cyberattacken.
Im Rahmen der Just-in-time-Produktion ermöglicht die Verbindung von Produktionsabläufen und IT den Cyberkriminellen einen Eingriff in das Produktionsgeschehen. Wenn beispielsweise jemand in die Cloud eindringt und dort die Produktionsmenge verändert, kann es passieren, dass von einem Produkt eine zu hohe oder zu niedrige Menge hergestellt wird. Wenn also die Schnittstellen zwischen IT und OT nicht ausreichend vor derartigen Angriffen geschützt sind, kann das zu erheblichen finanziellen Schäden im Unternehmen führen.
Externe und interne Schwachstellen
Im Gegensatz zur IT-Infrastruktur von Büroumgebungen stößt man in Produktionsumgebungen häufig auf Legacy-IT, die vor mehr als zehn Jahren zum Einsatz kam – in einer Zeit, in der von Industrie 4.0 und Cybersicherheit noch keine große Rede war. Das liegt vor allem daran, dass Maschinen und Anlagen oftmals eine wesentlich höhere Langlebigkeit aufweisen als andere Technik, wie zum Beispiel Desktop-PCs und Laptops. Dieses Problem kann auch bereits bei Produktionsanlagen auftreten, die erst wenige Jahre alt sind. Ein Beispiel dafür sind Anlagen, die ein Betriebssystem nutzen, das vom Hersteller nicht mehr unterstützt wird.
Lesetipp: Patch-Management-Prozess - Problemlöser Virtual Patching
Trotzdem können bestehende Produktionsanlagen nicht einfach ausgetauscht werden. Es muss ein entsprechendes Security-Konzept entworfen werden, das auch in Fällen greift, wo der technische Support des Herstellers beendet wurde. Dazu kommt, dass Anlagen nicht in der gleichen Regelmäßigkeit gewartet werden können, wie Updates auf einem Laptop durchgeführt werden. Da dafür die Produktion angehalten werden muss, findet eine Wartung nur durchschnittlich alle sechs bis zwölf Monate statt.
Das Prinzip lässt sich gut an einem bekannten Beispiel illustrieren: 2017 breitete sich die WannaCry-Ransomware weltweit aus. Diese Malware war zwar nicht speziell auf OT-Umgebungen ausgelegt, hat dort aber dennoch große Schäden hinterlassen. Der Grund dafür lag im Betriebssystem. Während die meisten Firmen in IT-Umgebungen die aktuellsten Versionen nutzen, wurden in der Produktion noch viele veraltete Systeme eingesetzt.
Firmen können in solchen Situationen auch nicht immer direkt die verfügbaren Updates und Patches installieren, da dafür die Anlagen abgeschaltet werden müssten. Deswegen ist es wichtig, dass funktionierende Security-Strategien bereits vor der Inbetriebnahme der Anlagen durchdacht und implementiert werden, um im Falle eines Cyberangriffs geschützt zu sein.
Ein weiteres Sicherheitsrisiko stellen die eigenen Mitarbeiter dar: Einerseits profitieren sie von zentral verfügbaren und einfach zu teilenden Daten. Andererseits können dem Unternehmen diese Vorteile zum Verhängnis werden, wenn Mitarbeiter Opfer von Social Engineering sind, fahrlässig handeln oder dem Betrieb mutwillig schaden wollen. Indem Mitarbeiter ungeschützte Cloud-Links versenden, gefährden sie dieses wertvolle Gut. Aber auch das Herunterladen infizierter E-Mail-Anhänge oder der Einsatz von nicht autorisierter Hard- und Software öffnen Cyberkriminellen die Türen zum Unternehmensnetzwerk.
- Stefan Buchta, AXIANS IT Security
In vielen Fällen sind die Home-Offices nicht ausreichend abgesichert worden. Zusätzlich wurde nicht genug für die Awareness getan. Zahlreiche Phishing-Mails rund um Corona stellen eine Gefährdung dar. - Dr. Michael von der Horst, Cisco
Die Auswirkungen der Corona-Krise auf die Security ist stark abhängig von der Branche. Sinkende Umsätze im Handel / Luftfahrt & Transport, sowie Produktion/ Automotive haben Security-Projekte verlangsamt oder gestoppt. In den Bereichen Verwaltung, kritische Infrastrukturen (vor allem Gesundheitswesen) sind viele, neue Security-Projekte angelaufen. - Frank Kölmel, Cybereason
Endpoint Detection and Response (EDR), Identity and Access Management (IAM) und Virtual Private Networks (VPN) sind nun wichtiger als zuvor. Aber ich denke auch an den Fachkräftemangel. Wer soll die ganzen Lösungen bedienen? Deshalb sehe ich Automatisierung, KI und Managed Security Services (MSS) als Trends. - Rüdiger Trost, F-Secure
Durch die Entwicklung hin zu den Home-Offices gibt es keine physische Sicherheit mehr, die ein Unternehmen leisten kann. Es kommt nun verstärkt auf Verschlüsselung an, wenn man zum Beispiel an Diebstahl und Verlust von Endgeräten denkt. Die Unternehmen müssen stärker auf EDR und Threat Hunting setzen. - Tim Berghoff, G DATA
Ich sehe die Gefahr, dass Unternehmen das während der Corona-Krise schnell entworfene Business Continuity-Konzept dauerhaft nutzen wollen, da es sich ja in der Praxis bewährt hätte. Aber ein Provisorium bleibt ein solches. Es kann zwar sicher gut als Ausgangspunkt für eine dauerhafte Lösung dienen, sollte aber nicht selbst zur Dauereinrichtung werden - vor allem, wenn Sicherheit nicht von Anfang an Bestandteil des Konzeptes war. - Sven-Torsten Scherz, Matrix42
Für eine Reihe von Unternehmen war die Nutzung von Home-Offices komplett neu. Für einige Unternehmen lag dabei die erste Priorität nicht auf Security, aber ein stärkeres Interesse an IT-Sicherheit ist deutlich spürbar. Die Nachfrage nach Services ist gestiegen. - Stratos Komotoglou, Microsoft
Wir sprechen seit mehreren Jahren über Zero Trust. Jetzt muss die Umsetzung auf breiter Basis kommen. Wichtig ist auch die Zwei-Faktor-Authentifizierung als Schutz gegen die Phishing-Attacken. - Christian Koch, NTT
Business Continuity Management wurde in manchen Unternehmen bisher nicht ernst genug genommen. Durch die Corona-Krise ist es zu einem Erwachen gekommen, wie wichtig Business Continuity Management ist, um den Geschäftsbetrieb aufrechtzuerhalten. - Sergej Epp, Palo Alto Networks
Der Wechsel ins Home-Office musste sehr schnell gehen. Diese Geschwindigkeit ist ein Problem, das Business prescht vor, die Security muss folgen. Viele Unternehmen waren auf den Digitalisierung-Schub durch Corona nicht vorbereitet. - Ibrahim Koese, Spike Reply
Durch die erhöhte Nutzung des Home-Offices mussten die Netzwerk-Kapazitäten deutlich erhöht werden. Das muss auch in der Netzwerk- und Endpoint-Sicherheit berücksichtigt werden, und insbesondere müssen die Mitarbeiter sensibilisiert werden. Siehe Zunahme der Phishing Angriffe.
IT und OT schützen
Da die veralteten Systeme seit langem zuverlässig ihren Dienst leisten, scheuen sich viele Wirtschaftsunternehmen vor einem umfangreichen Systemaustausch ihrer Produktionsumgebung. Dieser würde nicht nur einen hohen Kostenaufwand nach sich ziehen – oftmals sind Security-Produkte für Legacy-Anlagen nicht erhältlich. Würde man hier eine Umstellung wagen, führt dies womöglich zu verheerenden Produktionsausfällen. Demnach gilt es, technische Alternativen zur Modernisierung zu finden. Grundsätzlich unterscheiden sich die erforderlichen Security-Maßnahmen für OT-Umgebungen auch nicht wesentlich von denen für IT-Umgebungen.
Mithilfe von Application Whitelisting sind IT-Administratoren in der Lage, die Nutzung bestimmter Codes und Anwendungen einzuschränken. SIEM- (Security Information and Event Management) sowie DLP-Lösungen (Data Loss Prevention) überwachen das gesamte System. IT-Sicherheitsmitarbeiter können hierüber die Nutzung bestimmter Anwendungen oder externer Hardware eingrenzen und Nutzungsprivilegien verteilen.
Eine weitere Strategie, um größere Schäden durch Eingriffe von Cyberkriminellen verhindern zu können, ist die Netzwerksegmentierung. Sollte Malware in die IT- oder OT-Umgebung eingeschleust werden, kann sie so nicht ungehindert alle Systeme schädigen und von IT-Mitarbeitern schneller entdeckt werden. Sobald ein Unternehmen Cloud-Dienste im Einsatz hat, müssen Sicherheitsregeln, die von DLP-Lösungen on-prem gewährleistet werden, auch auf die Cloud übertragen werden. Dafür sorgen Cloud Access Security Broker (CASBs): Mit ihnen können IT-Administratoren den Datentransfer zwischen spezifischen Anwendungen und Anwendern in Echtzeit überwachen und eingreifen, sobald sich eine potenzielle Bedrohung bemerkbar macht.
Seit Einzug des IoT in das produzierende Gewerbe, gibt es für Wirtschaftsunternehmen eine zusätzliche Komponente, die vor Außeneinflüssen abgesichert werden muss. Um dies auch bei geringen Ressourcen gewährleisten zu können, greifen viele Unternehmen auf Prozessautomatisierung zurück. Künstliche Intelligenz analysiert die Systeme hin auf Muster, wodurch IT-Teams wichtige Einblicke erhalten. Auf Grundlage dieser Erkenntnisse werden Bedrohungen schneller identifiziert und behoben. Dahinter steckt das Konzept des Human Machine Security Teaming – die enge Zusammenarbeit zwischen Mensch und Maschine.
Wirtschaftsunternehmen weltweit wollen von der Verschmelzung von OT und IT profitieren. Doch kann dieser Fortschritt erst sein volles Potenzial ausschöpfen, wenn er auch ausreichend geschützt wird. Hierfür bedarf es einer ganzheitlichen Sicherheitsstrategie, die sämtliche Systeme mit einbezieht – vom Büro bis zum Maschinenpark. Teil dieser Strategie sollten zum einen technische Lösungen und Tools sein, die die Legacy-Umgebung modernisieren, ohne eine Komplettumstellung in die Wege leiten zu müssen. Andererseits sollten auch sämtliche Mitarbeiter regelmäßig über die Gefahren von Cyberkriminalität sowie Schatten-IT geschult werden. (mb)