Cybersicherheit in Industrieanlagen

bei

 / 10. July. 2020

Mit der Digitalisierung steigt auch die Vernetzung in Industrieanlagen und diese geraten somit immer mehr in das Blickfeld von Hackern. Die meisten Anlagen wurden bereits vor langer Zeit installiert, als Cybersicherheit noch kein großes Thema war. Dies wird den meisten nun zur Bedrohung, denn Cybersicherheit hat mittlerweile hohe Priorität für jede erfolgreiche Industrie-4.0-Strategie.

Mit Cybersicherheit den neuen Herausforderungen standhalten

In der Vergangenheit waren die IT und die OT örtlich vollständig voneinander getrennt, das bedeutet, dass jeder Bereich eigenständig arbeitete und über eigene Kommunikationsprotokolle verfügte. Ein Cyberangriff von innen oder außen war praktisch nicht durchführbar. Heute ist aus Effizienz- und Kostengründen (IoT, Industrie 4.0) eine fortgeschrittene internetprotokollbasierte Vernetzung von ICS-Systemen zu beobachten (z. B. IT, Service Provider), was dazu führt, dass Cyberangriffe sowohl von innen als auch von außen viel wahrscheinlicher werden. Die Herausforderung besteht nun darin, trotz steigender Digitalisierung das zuverlässige Produzieren der Industrieanlagen garantieren zu können und selbst bei Cyberangriffen richtig zu reagieren. Zudem sind sich viele Unternehmen den Gefahren nicht bewusst, welchen ihre Anlagen durch Cyberangriffe ausgesetzt sind. Fehlendes Wissen kann dazu führen, dass Unternehmen ihre Anlagen noch nie auf Angriffe überprüft haben, da es an Sensibilisierung für das erhöhte Risiko von Angriffen und deren potenzielle Auswirkungen zu mangeln scheint. Dies bietet die Gelegenheit sich mittels unterschiedlicher Angriffsarten, sei es gezielt oder ungezielt, Zugriff auf das System zu verschaffen, um die Produktion zu stören, ganzheitlich lahmzulegen oder interne Daten abzufangen oder zu verschlüsseln, mit der Absicht, Unternehmen zu erpressen. Die Herausforderung für die OT, welche in die neue Welt der IT eingedrungen ist, besteht nun darin, diese zu verstehen und ihr Wissen von eingespielten Systemen nun mit der „wackligen Komponente“ IT zu verbinden; denn dort passieren die Angriffe. In Zukunft wird es immer mehr digitale Fabriken geben, in denen alles miteinander vernetzt sein wird. Um die Funktionalität dieser garantieren zu können, ist ein ausgereiftes Cybersicherheitssystem absolut notwendig, da die Gefahr von Cyberangriffen stetig steigt und somit ein wirtschaftliches Risiko für Unternehmen darstellt.

Welche Probleme treten auf?

Oft dauert es viel zu lange, bis der Angreifer im Netzwerk bemerkt wird, da keine Vorkehrungen zur Cybersicherheit getroffen werden. Produktionsnetzwerke, welche in den meisten Fällen nur Prozesse und Maschinen anstoßen, sind sobald sie eingerichtet sind, fast frei von menschlichem Zugriff. Dies müsste dazu führen, dass bei einem Cyberangriff auf das System oder die Industrieanlagen, der missbräuchliche Zugriff direkt bemerkt werden kann. Jedoch sind die Systeme in den meisten Fällen nicht in der Lage jene zu erkennen und zu melden, beziehungsweise reagieren sie erst dann, wenn der Angreifer schon längere Zeit im System ist. Die OT beschäftigt sich zwar mit Sicherheit, jedoch liegt hier der Fokus auf dem reibungslosen und sicheren Arbeiten der Anlagen. Denn Industrieanlagen wurden bislang so gebaut, dass Prozesse richtig aufgezogen wurden und die Produktion fehlerfrei funktioniert. Oft wurde der Aspekt der Einbindung eines Cybersicherheitssystems ignoriert, denn eine Schwierigkeit besteht zum Beispiel darin, die Sicherheitsupdates in den Industrieanlagen einzuspielen, ohne dass es zu einem Produktionsausfall kommt. Die Anlagen sind Tag und Nacht in der Produktion im Betrieb, was es erschwert, den richtigen Zeitpunkt der Aktualisierung zu finden, um garantieren zu können, dass alle Komponenten nach dem Update weiterhin reibungslos funktionieren. Angriffe auf Industrieanlagen sind in erster Linie riskant, da dort bei Manipulation oder durch das Eindringen in das System im schlimmsten Fall Menschenleben in Gefahr sein können. Es gilt nicht, sich erst nach einem Angriff Gedanken zur Sicherheit zu machen, sondern sein Unternehmen so aufzustellen, dass es gar nicht erst zu einem erfolgreichen Angriff kommt oder nur zu einem milderen Verlauf. Wenn das Unternehmen eine direkte Meldung bei Eintritt des Angreifers in das System erhält, kann es schneller handeln und den Angreifer im Produktionsnetzwerk lokalisieren und sperren. Ein weiteres Problem, welches das Einspielen eines Cybersicherheitssystems auf bestehende Industrieanlagen erschwert, ist die Tatsache, dass die Maschinen in Realtime laufen müssen, um die Produktion aufrecht zu erhalten.

Die häufigsten OT-Sicherheitsbedrohungen

Durch das Verknüpfen der OT mit der IT kommen auch gleichzeitig weitere Sicherheitsbedrohungen auf die Industrieanlagen zu. Zu den erwähnten Bedrohungen wie dem Eindringen von Malware, durch beispielsweise Hardware oder Wechselmedien, kommt auch menschliches Versagen hinzu, welches durch schlechtes Training, zu schnelles Arbeiten, Missachten der Sicherheitsvorkehrungen oder Trägheit ausgelöst werden kann. Durch die Anbindung an das Internet steht die OT noch weiteren Sicherheitsrisken gegenüber. Unter anderem kommt es vermehrt zu DDoS-Angriffen und Attacken durch IoT-Botnets, welche versuchen, die Industrieanlagen lahmzulegen. Meist besteht die Abwehr dieser Angriffe darin, einen Dienstleister mit der Abwehr zu beauftragen, wenn keine eigenen Cybersicherheitssysteme in den Anlagen installiert sind. Cyberkriminelle nutzen IoT-Botnets vermehrt für ihre Angriffe, um eine Vielzahl an Bots, mithilfe von C&C-Software (Command and Control), mit für gewöhnlich schädlichen Aktionen zu beauftragen. Durch IoT-Botnets muss der Angreifer nicht mehr länger über Fachwissen verfügen, um eigene Botnets aufzubauen, sondern kann stattdessen für seine Cyberangriffe auf bereits verfügbare Botnets zurückgreifen. Neben dem bereits bekannten Eindringen von Malware durch externe Hardware und Wechselmedien, kommt es durch die Internetanbindung auch zur Bedrohung durch Malware Injection. Dies kann sowohl vom Internet als auch dem eigenen Intranet ausgehen. Eine weitere OT-Sicherheitsbedrohung sind kompromittierende Cloud-Komponenten, auf die unberechtigt zugegriffen wird, um dort gespeicherte Daten und Prozessabläufe auszuspähen oder zu manipulieren. Neben den bereits genannten Bedrohungen gibt es selbstverständlich noch eine Vielzahl mehr, welche Unternehmen vor Herausforderungen stellen. Sowohl die Wahrnehmung als auch die Annahme, bereits ausreichende Sicherheit zu gewährleisten, führt dabei oft zu einer dramatischen Fehleinschätzung, wie beherrschbar die Risiken rund um das Industrial Internet of Things, innere Bedrohungen oder das steigende Wissen und die wachsenden Fähigkeiten der Angreifer sind. Als Beispiel mag Stuxnet dienen, ein bösartiger Computerwurm, welcher 2010 erstmals entdeckt wurde und sich vermutlich seit mindestens 2005 in der Entwicklung befindet. Stuxnet zielt auf Überwachungs-, Kontroll- und Datenerfassungssysteme ab und wird für die Verursachung beträchtlicher Schäden am iranischen Atomprogramm verantwortlich gemacht.

Die Herausforderung der IT/OT-Konvergenz

Das primäre Ziel eines industriellen Steuerungssystems ist seine Verfügbarkeit und Funktionalität. Während die IT sich auf die transaktionale Interaktion zwischen Mensch und Anwendung fokussiert, beschäftigt sich die OT weitestgehend mit der ereignisbasierten Interaktion zwischen Bedingungen und Prozesssystemen. Bislang konzentrierte sich die IT nicht darauf, die Reaktionszeiten auf Millisekunden zu reduzieren, da menschliche Prozesse in der Regel Prozessverzögerungen tolerieren. Die OT hingehen, welche Regelkreise erzeugt, kann durch eine Verzögerung von Millisekunden schon eine Prozessverzögerung hervorrufen und somit im schlimmsten Fall ein Menschenleben aufs Spiel setzen. Die Herausforderung der IT/OT-Konvergenz ist es, eine geeignete Cybersicherheitstrategie zu entwickeln, um das gemeinsame Funktionieren sicher zu gestalten. Denn um die Fabriken von morgen sicher zu gestalten, gilt es nun, die unterschiedlichen Sicherheitsanforderungen, einerseits das Unterstützen menschlicher Arbeitskräfte und ihrer Aktionen und andererseits das Senden direkter Steuerungsbefehle an industrielle Prozesse, zu kombinieren. Fehlende Eigenverantwortung und mangelndes Management von Cyberrisiken stellen Unternehmen vor eine neue Herausforderung. Denn die mangelnden Kenntnisse über Cybersicherheit, fehlendes allgemeines Cyberbewusstsein von Mitarbeitern und ein Mangel an Secure-By-Design bei Produkten und Ökosystemen erschweren es Unternehmen, durch das Zusammenführen von IT und OT eine risikoangepasste Cybersicherheitslösung zu implementieren. Neben einer unzureichenden OT-Cybersicherheit und ungenügenden Datenschutzressourcen, einer fehlenden Überwachung der Identifizierung von Sicherheitsereignissen und dem unzureichenden Anlageninventar und Systemlebenszyklusmanagement, wird die OT vor neue Herausforderungen gestellt. Die fehlende Identifizierung und das Management von Schwachstellen sind eines der Hauptprobleme, wenn es um die Eindämmung des Risikos von Cyberangriffen auf Industrieanlagengeht.

Eine Architektur zur Identifizierung der Sicherheitskontrollen und -muster

Eine Sicherheitsarchitektur ist in erster Linie die Praxis des Entwurfs von Computersystemen zur Erreichung von Sicherheitszielen. Durch diese wird die Störung eines Systems erschwert und die Erkennung einer Kompromittierung der Anlage erleichtert.

Eine logische Architektur für ein OT-Netzwerk, die zur Identifizierung der Sicherheitskontrollen und -muster verwendet werden sollte, besteht aus vier verschiedenen Zonen – der Sicherheitszone, Zellen-/Bereichszone, Herstellungszone und Unternehmenszone. Das sogenannte Purdue Model liefert einen anschaulichen Überblick über das komplizierte Automatisierungsnetz. In der Unternehmenszone läuft der unterstützende (Geschäfts-)Betrieb eines Unternehmens ab, welcher aus der Sicht des Anlagennetzes als äußerst unsicher gilt. Darunter folgt die Herstellungszone. Diese umfassen den Herstellungsbetrieb und die Herstellungskontrolle vor Ort. Hierzu gehören unter anderem das Bereitstellen jeglicher Systeme, Dienste und Anwendungen, die für das Industrienetz notwendig sind. In der Zellen-/Bereichszone befinden sich die Systeme, die zur Überwachung und Steuerung der speziellen Prozessführung verantwortlich sind. Sie beinhaltet außerdem auch die Systeme, welche unmittelbaren Einfluss auf die Ausführung und Steuerung des physischen Prozesses haben, Diese arbeitet in Echtzeit, wodurch eine Störung auf dieser Stufe zu einer direkten Beeinträchtigung des automatisierten Prozesses führt. In der Sicherheitszone gilt es, den (arbeits)sicheren Betrieb zu gewährleisten.

Unterschied zwischen IT und OT

Obwohl IT und OT immer weiter zusammenwachsen, gibt es zwischen den beiden jedoch erhebliche Unterschiede. Während sich die IT mit Maßnahmen zum Schutz vor Maleware schon seit Langem beschäftigt und einen hohen Reifegrad erlangt hat, wird die Umsetzung von Schutzmaßnahmen im OT-Umfeld durch die mangelnde Flexibilität beim Ändern der zugrunde liegenden IT-Installationen erschwert und geradezu unmöglich gemacht. Durch regelmäßige technologische Aktualisierungen liegt der Lebenszyklus in der IT bei 3–5 Jahren, während die OT der Industrieanlagen mit einer Lebensdauer von 10–25 Jahren teilweise sehr alte Sicherheitslücken, ohne jegliches Sicherheitskonzept, aufweisen. Diese Sicherheitslücken entstehen oftmals durch das „Einfrieren“ des verwendeten IT-Betriebssystems, ohne die Möglichkeit der Durchführung von (Sicherheits)Updates. Die Anforderungen an Verfügbarkeit und Funktionalität eines industriellen Steuerungssystems erschweren so die Verwaltung von Änderungen, da die Maschinen kontinuierlich und in Echtzeit arbeiten und jede Millisekunde entscheiden ist. Dies ist auch der Fall, um das Risiko des Verlusts von Menschenleben zu verringern und den reibungslosen Produktionszyklus garantieren zu können. Im Vergleich ist die Umsetzung von Schutzmaßnahmen in der IT weniger kompliziert, da dort Verzögerungen und Auszeiten toleriert werden und die Kenntnisse zum Schutz vor Angriffen deutlich weiter ausgebaut sind. In der IT ist die Wahrscheinlichkeit, dass Menschenleben in Gefahr gebracht werden, geringer, denn das Risiko bezieht sich in erster Linie auf den Verlust von Daten und die Verletzung der Vertraulichkeit.

Wirksamer Schutz vor Cyberbedrohungen

Die Vernetzung von Sensoren, Maschinen und Fahrzeugen bietet eine weite Angriffsfläche für Cyberkriminelle. Angreifer schleusen beispielsweise ein Gerät in eine IIoT-Infrastruktur ein, welches vorgibt zu diesem Netz zu gehören, da dort Maschinen und Anlagen der Produktion unverschlüsselt über WLAN kommunizieren. Durch das eingeschleuste Gerät lässt sich das System manipulieren, Daten sammeln oder im schlimmsten Fall die Produktion stören.

Durch eine Public Key Infrastrucute (PKI) kann die notwendige Sicherheitstechologie für den Austausch sicherer Daten in einer vernetzten Umgebung bereitgestellt werden. Die PKI schafft eine Vertrauensbasis in OT- und IIoT-Umgebungen und stellt sicher, dass nur autorisierte Komponenten im Netzwerk agieren können. Um einen wirksamen Schutz vor Cyberbedrohungen aufzubauen, sind im Allgemeinen folgende fünf Säulen für Sicherheitsanforderungen im Industrieumfeld zu beachten.

  1. Governance und Strategie: Der Aufbau und die Führung eines Cybersicherheitssystems kann mithilfe des Plan-Do-Check-Act-Zyklus die kontinuierliche Verbesserung von Produkten und Prozessen herbeiführen. Das Modell dient zur Umsetzung von Veränderungen und ist eine wichtige Voraussetzung für die kontinuierliche Verbesserung von Prozessen, denn das Unternehmen kann hierdurch wiederkehrende Fehler vermeiden und somit Prozesse optimieren.
  2. Risikomanagement: Um effektives Risikomanagement betreiben zu können, verfolgt die zweite Säule der OT-Cybersicherheit das Prinzip „Accept-Treat-Tolerate-Transfer“ (Akzeptieren-Behandeln-Tolerieren-Übertragen). Um Risiken korrekt einschätzen zu können, gilt es, diese in unterschiedliche Stufen einzuordnen. Beispielsweise kann die Fähigkeit, etwas gegen manche Risiken zu unternehmen, eingeschränkt sein oder die Kosten für das Ergreifen der Maßnahmen stehen in keinem Verhältnis zum gewonnenen Nutzen. In diesem Fall ist „Tolerate“ ein wichtiger Faktor, mit dem das Risiko von Angriffen oder Ähnlichem konsequent überwacht wird, sodass das Management bereit ist zu reagieren, falls es zu einer Eskalation kommt. Hier werden sogenannte Toleranzniveaus bestimmt, um die Ausmaße des jeweiligen Risikos auf den einzelnen Ebenen festzulegen und abzuschätzen, wie die Entscheidungen diese beeinflussen können. Die meisten Risiken fallen jedoch in den Bereich „Treat“. Hier handelt es sich um den Einsatz von Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und nicht unbedingt um die Vermeidung eines Risikos. Der Schaden soll so auf ein akzeptables Maß begrenzt werden. Um in Zukunft auf ähnliche Risiken vorbereitet zu sein, ist es daher wichtig, über das bereits Gelernte zu reflektieren und festzustellen, was geändert werden muss, und diese Erkenntnisse dann auf ähnliche oder gleiche Risiken zu übertragen, um diese zu beseitigen.
  3. Sicherheitsintegration: Cybersicherheit ist die Summe aus Sicherheit und Zuverlässigkeit. Aus diesen beiden Komponenten gilt es, eine erfolgreiche Cybersicherheitsstrategie in bereits bestehende Industrieanlagen zu integrieren, ohne den laufenden Prozess zu unterbrechen oder im schlimmsten Fall lahmzulegen, um einen wirtschaftlichen oder menschlichen Schaden für das Unternehmen zu vermeiden.
  4. Sicherheitsimplementierung: Die erfolgreiche Implementierung eines Sicherheitskonzeptes funktioniert nur durch eine holistische Betrachtung des Gesamten. Erst das Einbeziehen von Menschen, Prozessen und Technologie in die Sicherheitsimplementierung ermöglicht es, alle Komponenten abzudecken, um eine Industrieanlage gegen Angriffe zu schützen. Der Menschenteil der Gleichung repräsentiert die Bedürfnisse der Benutzer – auch wenn diese nur einen geringen Zugriff auf die verwendeten Prozesse haben, dürfen sie nicht vergessen werden. Prozesse beziehen sich in diesem Zusammenhang auf Geschäftsziele, die berücksichtigt werden müssen, um erfolgreiche Veränderungen im Unternehmen voranzutreiben. Die Technologie steht für die Implementierung, welche die höchsten Kosten verursacht, dabei jedoch den geringsten Ertrag für das Unternehmen liefert, allerdings bei einem Angriff die notwendigen Maßnahmen bereitstellt, um größere Schäden zu vermeiden. Menschen, Prozesse und Technologie müssen deshalb aufeinander abgestimmt sein, damit eine effektive und ganzheitliche Sicherheitsimplementierung erfolgen kann.
  5. Sicherheitsoperation: Die fünfte Säule folgt dem Muster „Erkennen-Antworten-Wiederherstellen“. Je nach aufkommendem Risiko wird der Angriff erkannt, es wird mit der geeigneten Sicherheitsoperation reagiert und am Ende zu einem Normalzustand zurückgekehrt, um den Regelbetrieb wiederherzustellen.

Die Cybersicherheit der zukünftigen Industrieanlagen:

Die Digitalisierung und Verbindung aller Komponenten untereinander – vom Lieferanten bis zum Kunden – wird in Zukunft Realität sein. Durch die gegenseitige Verbindung wird ein Cyberangriff von innen oder außen erhebliche Auswirkungen auf die gesamte Lieferkette und gleichzeitig einen großen Einfluss auf die Wirtschaftlichkeit von Unternehmen haben, da bei einem Angriff oder einer Manipulation nicht nur der Produktionszyklus, sondern die gesamte Lieferkette gestört werden kann. Um dies weitestgehend einzudämmen, sollen die einzelnen Komponenten in Zukunft mit der Fähigkeit ausgestattet werden, beispielsweise ihre Log-Daten an ein zentrales System (z. B durch Integration in ein SCADA) zu schicken, das dann auf Vorfälle reagieren kann. Dies, zusammen mit einer durchdachten IT-/OT-Sicherheitsarchitektur wie oben skizziert, ermöglicht es, Angriffe auf die OT früh genug erkennen und schadensminimierend reagieren zu können. Bis dahin kann der Weg ein weiter sein.

 

 

Dirk Loomans ist Diplom Physiker und besitzt langjährige Erfahrung in der Beratung mittelständischer, international agierender Industrieunternehmen. Zudem lehrt er als Professor für Wirtschaftsinformatik an der Hochschule Mainz und arbeitet als Gutachter für die Europäische Kommission im Förderprogramm HORIZON 2020.

 

Marko Vogel ist Diplom-Ingenieur und berät seit über 18 Jahren Industriekunden zu Cyber-Sicherheitsthemen. Er verantwortete zahlreiche Cyber-Transformationsprogramme, um den Schutz kritischer Informationen zu verbessern und die Reaktionsfähigkeit auf einen Cyberangriff zu optimieren.