IT-Sicherheit in der Produktion – Risiken und effektive Lösungen

Produzierende Unternehmen stehen vor neuen Herausforderungen. Durch die zunehmende Vernetzung von Automatisierungsanlagen müssen verstärkt Sicherheitsmaßnahmen gegen Cyber-Attacken getroffen werden. In diesem Beitrag wird die Problematik leicht verständlich erklärt und effektive Lösungsmöglichkeiten präsentiert.

Kennen Sie die 3 IT-Risiken, die Produktionsanlagen heutzutage bedrohen?

IT-Security bei älteren Produktionsanlagen – 3 Risikoquellen

Zunehmende Vernetzung von Automatisierungsanlagen stellt produzierende Unternehmen zunehmend vor neue Herausforderungen. Meist reichen bereits getroffene Maßnahmen gegen Cyber-Attacken nicht mehr aus. Dieser Beitrag stellt Fachfremden und Interessierten die Problematik verständlich vor und präsentiert effektive Lösungsmöglichkeiten.

Viele Produktionsanlagen sollten anhand von drei wesentlichen Problemstellungen betrachtet werden:

Risiko 1: Erhöhte Vernetzung
Das erste und wesentliche Problem geht mit der Verbindung von Automatisierungsanlagen mit verschiedenen Netzwerke und dem Internet einher, Stichwort “Internet der Dinge” bzw. IIoT (Industrial Internet of Things). Mehrere Produktionsanlagen kommunizieren und agieren miteinander über das Internet. Produktionsprozesse können dadurch intelligenter und effektiver gestaltet werden.

Hinzu kommt, dass immer mehr unterschiedliche Endgeräte mit den Automatisierungsanlagen verknüpft sind. Ein Manager kann z. B. von unterwegs aus über sein Tablet Informationen über den Fortschritt eines bestimmten Produktionsvorgangs abfragen. Die Möglichkeiten, Informationen in Echtzeit abzurufen, sind demnach immens gestiegen.

Allerdings birgt diese Entwicklung auch Schattenseiten. Denn mit dem Fortschritt in der Vernetzung sind meist wichtige Sicherheitsmaßnahmen vergessen worden. Über offene oder nicht ausreichend geschützte Geräte können sich Schadprogramme im Netzwerk einnisten und dort beträchtlichen Schaden anrichten (z. B. die Lahmlegung der Produktion).

Risiko 2: Veraltete Sicherheitsmechanismen
Das Problem ist der Tatsache geschuldet, dass viele Automatisierungsanlagen eine lange Einsatzzeit haben. Die speicherprogrammierbare Steuerung (SPS) ist das Herzstück einer Automatisierungsanlage, da sie die Steuerung aller programmierter Prozesse übernimmt.

Gerade ältere SPS beinhalten nicht die heute gängigen IT-Sicherheits- und Abfragemechanismen, die bei der Anbindung an mobile Endgeräte und schließlich ans Internet nötig wären. Denn über eine Vielzahl von Angriffsmethoden wie APT (Advanced Persistent Threats, hoch komplexe Cyberangriffe) können Angreifer aufgrund unzureichender Internet Security oft unbemerkt ins Unternehmensnetzwerk gelangen und bei Automatisierungsanlagen beträchtlichen Schaden anrichten.

Risikofaktor Mensch
Hinzu kommt, dass in vielen Unternehmen Mitarbeiter nicht (ausreichend) über IT-Security informiert sind. Oft werden Unternehmen aufgrund der Sicherheitslücke “Mensch” Opfer von Social Engineering. Gerade Verantwortliche von Automatisierungsanlagen sollten sich der Gefahren bewusst sein, die das Internet der Dinge mit sich bringt.

Neben den eigenen Mitarbeitern kommen meist weitere ans Netzwerk angeschlossene externe Teilnehmer wie Lieferanten, Dienstleister (z. B. Wartungspersonal) und Kunden hinzu. Jeder dieser Akteure birgt bei unzureichenden Sicherheitsmaßnahmen zusätzliches Risikopotenzial für die eigene IT-Infrastruktur.

Denn der unbedarfte Klick auf einen per E-Mail zugesandten Link oder das Anschließen eines unbekannten USB-Sticks kann schon dazu führen, dass sich Hacker einen unberechtigten Zugang zu einem IT-Netzwerk von Unternehmen verschaffen.

Risiko 3: Sensibilität der Produktionsanlagen
Um eine hohe Verfügbarkeit zu gewährleisten, sollten Unternehmen mit Automatisierungsanlagen ein effektives Sicherheitskonzept (ISMS, Information Security Management System) einführen und permanent weiterentwickeln.

Voraussetzung dafür ist, dass alle Netzwerkteilnehmer bekannt sind und analysiert werden können. Aktive Scan-Vorgänge können jedoch meist die Vorgänge in Automatisierungsanlagen stören. Hierdurch abgestürzte Industrieanlagen verursachen nicht nur wirtschaftliche Schäden, sondern bergen auch hohe Sicherheitsrisiken. Verständlicherweise ist bei produzierenden Unternehmen die Skepsis vor Tools groß, die die Produktionsanlage durch einen aktiven Scan-Vorgang gefährden.

IT-Sicherheit: Wie real ist die Gefährdung?

Es gibt generell zwei Möglichkeiten, wie Sie Ziel einer Cyber-Attacke werden können:

1. Sie sind Ziel eines ungerichteten, flächendeckenden Großangriffs.
2. Jemand möchte speziell Sie attackieren.

Großangriff auf die IT-Security
Wenn man den Zahlen von AV Test Glauben schenkt, hat sich seit 2012 die Anzahl an registrierter Malware versiebenfacht. Täglich erhöht sich die Anzahl anerkannter Schadsoftware um 250.000 (etwa 3 pro Sekunde). Dass dabei nun eine Schadsoftware existiert, die sich über den Stick eines Mitarbeiters, ein heruntergeladenes Programm, eine infizierte PDF-Datei oder ähnliches, quasi “zufällig” in Ihr System einschleicht, ist nicht abwegig.

Unzureichende IT-Sicherheit in Unternehmen – ein Beispiel
Bei Ihnen hat sich der alte “Bundestrojaner” eingenistet und sperrt nun den Zugang zu einem Rechner. Wenn es Backups der Daten gibt, setzen Sie das System zurück, tadeln Ihren Mitarbeiter und der normale Betrieb geht weiter. Selbst die “Entsperrungsgebühr” von 50-100€ wäre ein annehmbarer Schaden.
Somit nicht weiter schlimm, das Schadprogramm hat nicht erkannt, in welchem Umfeld es war und welch immensen wirtschaftlichen Schaden es Ihnen hätte bereiten können.

Wäre dies nun eine Ransomware wie z.B. Petya gewesen, die sich zunächst bedeckt gehalten und nur über Netzwerklaufwerke und Ähnliches verbreitet hätte, um dann auf einen Schlag große Teile Ihres Systems zu verschlüsseln, wäre der Schaden ein anderer.

Die Ausfallzeit und ggf. fehlende Daten zwischen dem Zeitpunkt der Verschlüsselung und dem letzten Backup könnten einen hohen wirtschaftlichen Verlust bedeuten.

Heutzutage gibt es viele Bot-Netzwerke, die eigenständig nach Schwächen im Internet suchen, seien es offene Zugänge zu Webservern, oder eben auch andere bekannte Schwachstellen. Wenn Sie eine solche Lücke in Ihrem System haben, ist es nur eine Frage der Zeit, bis ein Bot eine Schwachstelle in Ihrem Firmennetzwerk gefunden hat.

Direkte Angriffe – Gefährdung der Informationssicherheit
Nun haben Sie ein echtes Problem. Je nachdem, wie wichtig es Ihrem Angreifer ist und wie viel Aufwand er bereit ist zu betreiben, wird er früher oder später in das System eingedrungen sein.

Sie können es vergleichen mit einem Einbrecher. Wenn die Haustür und die Fenster einem Einbrecher lang genug standhalten gibt er auf und versucht es bei Ihrem Nachbarn, falls er es aber wirklich darauf anlegt, reißt er mit einem Bagger ein Loch in die Wand neben der Tür.

Um die Kernfrage, wie real die Gefahr ist, zu beantworten, lässt sich folgendes sagen: Wenn der Aufwand für einen Angreifer relativ gering gegenüber dem Profit und der Gefahr erwischt zu werden ist, wird es immer einige Hacker geben, die es versuchen werden. Die Gefahr ist somit auf jeden Fall real, verringert sich natürlich umgekehrt exponentiell, je sicherer das System ist.

Wirksame Datensicherheit durch Security Monitoring

Von einem Cyberangriff kann heutzutage jedes Unternehmen getroffen werden. Manchmal ist das Firmennetzwerk bereits seit Monaten infiziert, ohne dass dies bemerkt wird. Einen effektiven Schutz gegen hochkomplexe Angriffe bieten Security Monitoring Tools als Bestandteil eines übergreifenden ISMS.

Eines dieser Tools ist IRMA. IRMA überwacht permanent das firmeninterne Netzwerk, ohne ältere Automatisierungsanlagen durch einen direkten Zugriff zu stören. Außerdem analysiert IRMA mögliche Gefahrenherde und schlägt Alarm, falls eine ernsthafte Bedrohung im Netzwerk auszumachen ist. Durch die Reporting- und Exportfunktionen ermöglicht das System die übersichtliche Darstellung der Analyseergebnisse, sodass die Entscheidungsträger in Management und IT in die Lage versetzt werden, unmittelbar Gegenmaßnahmen einleiten zu können.

Neben umfangreicher Parametrierbarkeit (Wer darf wie und mit wem kommunizieren, wie ist eine Anomalie und an wen zu melden?) bietet IRMA auch Möglichkeiten der Risikoanalyse um, gemäß ISO 9001, die Risiken einzelner Komponenten und Abschnitte im Netzwerk zu bewerten.

IT-Security: 100 %-igen Schutz gibt es nicht

Jedoch kann kein System einen absoluten Schutz liefern, ein gesunder Mittelweg zwischen Sicherheit, Praktizierbarkeit und Effizienz ist ratsam. Durch frühzeitiges Erkennen von potenziellen Sicherheitsvorfällen können Sie unmittelbar reagieren und so die Auswirkungen eines Angriffs minimieren. Außerdem sollten Sie es Angreifern so schwer wie möglich machen, Best-Practice pflegen (Updates, Analysen, Backups, …) und Ihre Mitarbeiter schulen, minimieren Sie Gefährdungen maßgeblich.

Fazit: IT-Sicherheit von automatisierten Produktionsanlagen

Jedes Unternehmen kann heutzutage von einer Cyber-Attacke getroffen werden. Die entscheidende Frage dabei ist, wie gut ein Betrieb vorbereitet ist. In Zeiten immer stärker vernetzter Industrieanlagen mit verschiedenen Anwendern, Endgeräten und Betriebssystemen bedarf es besonderer Sicherheitsvorkehrungen.

Gerade vor dem Hintergrund überholter IT-Sicherheitsmechanismen älterer Automatisierungsanlagen ist die Implementierung eines ISMS in Verbindung mit einem effektiven Monitoring-Tool ratsam. IRMA hat sich mit seinen Alarm- und Analysefunktionen bereits als solches in mehreren Produktionsunternehmen bewährt.