Am ersten Juliwochenende startete einer der größten Hackerangriffe der vergangenen Jahre. Durch den Angriff auf den US-amerikanischen IT-Dienstleister Kaseya, dessen Software den Angreifern als Einfallstor zu weltweit über 1.000 Unternehmen diente. In Schweden mussten daraufhin 800 Supermarktfilialen für mehrere Tage schließen.

Wieder wenige Tage darauf, am 6. Juli 2021, attackierten Kriminelle das Computersystem eines Landkreises in Sachsen-Anhalt und legten das gesamte IT-System und damit kritische kommunale Arbeitsbereiche lahm. Unter anderem konnten keine Sozialleistungen mehr ausbezahlt werden. Daraufhin wurde zum ersten Mal in der Geschichte Deutschlands in einem Landkreis der Katastrophenfall aufgrund eines Cyberangriffs ausgerufen.

Und auch in diesem Jahr bezahlte das amerikanische Versicherungsunternehmen CNA Financial laut US-Nachrichtenagentur „Bloomberg“[1] die bisher größte bekannte Ransomware-Zahlung aller Zeiten – 40 Millionen Dollar.

Die drei Beispiele aktueller Cyber-Vorfälle sind aus mehreren Gesichtspunkten interessant. Sie sind nur die Spitze des Eisbergs, denn der Großteil der Angriffe findet statt, ohne dass die Öffentlichkeit jemals davon erfährt. Nach dem Report „Status Quo von Ransomware 2021“[2] des britischen IT-Security-Anbieters Sophos ist mehr als jedes dritte Unternehmen (37%) im letzten Jahr von Ransomware-Angriffen betroffen.

Einige andere Zahlen gefällig? Wie der Antivirus-Anbieter Emsisoft[3] berichtet, ist die durchschnittliche Lösegeldforderung von gerade einmal 5000 US-Dollar im Jahr 2018 auf rund 200.000 US-Dollar im Jahr 2020 gestiegen; die durchschnittliche Ausfallzeit nach einem Angriff stieg gegenüber dem dritten Quartal 2020 um 11% und beträgt laut des amerikanischen Ransomware-Spezialisten Coveware[4] 21 Tage.

Cyber-Bedrohungen sind also im Bewusstsein der breiten Bevölkerung angekommen und werden in den nächsten Jahren noch sehr viel stärker in den Vordergrund rücken. Bei Unternehmen mit breiter IT-Nutzung stellen IT-Risiken schon seit langem eine immer größer werdende Herausforderung dar. Nun scheint es, sind vor allem hochautomatisierte und stark vernetzte Produktions- und Industrieunternehmen ins Fadenkreuz der Angreifer gerückt. Werden sensible und geschäftskritische Produktionsstätten angegriffen und beeinträchtigt, fällt es vielen Unternehmen umso schwerer den Lösegeldforderungen der Kriminellen etwas entgegenzusetzen.

Und auch zukünftig ist kein Ende abzusehen: Wir schätzen, dass die weltweiten Gesamtkosten für Unternehmen als Folge dieser Attacken in diesem Jahr 15 Milliarden Euro übersteigen werden. Die Corona-Pandemie hat zudem dazu geführt, dass Remote-Worker Hauptangriffsziel von Ransomware-Attacken sind und ggf. als Einfallstor für Unternehmen und Produktionsanlagen dienen.

Doch was kann man dagegen tun? Wir möchten im Nachfolgenden auf einige mögliche Maßnahmen hinweisen, die wir in diesem Jahr ausführlich in unserem „Industrial Cyber Security Handbook“[5] beschrieben haben:

1. Denken Sie vielschichtig

Verstehen Sie Defense-in-Depth als zentrales Konzept, das Sie überall einsetzen können und sollten. Sei es im Einsatz unterschiedlicher Sicherheitslösungen in den unterschiedlichen Technologieschichten, in Form von Segmentierung und Zoning der einzelnen Netzwerke und Assetklassen oder indem Sie Ihr Sicherheitskonzept möglichst breit denken und aufstellen. Dies reicht vom physikalischen Schutz Ihrer Gebäude, Produktionslinien und Einzelkomponenten, über die zahlreichen technischen Möglichkeiten, bis hin zu Prozessen und Menschen in Form von Guidelines, Trainings und regelmäßigen Überprüfungsszenarien.

2. Zentralisierung, Standardisierung und Automatisierung

Die meisten Unternehmen stehen vor dem Problem, für den operativen Betrieb mit immer weniger Personal auskommen zu müssen. Dagegen hilft aus meiner Sicht nur eine Strategie: Versuchen Sie so viel wie möglich zu zentralisieren und zu standardisieren. Je weniger individuelle Prozesse, Tools und Tätigkeiten, desto mehr Zeit, Geld und Nerven sparen Sie. Der Aufwand und die Kosten für Cyber-Security Ihrer Produktionsstandorte darf sich nicht mit der Anzahl der Standorte multiplizieren, sondern muss effizient und zentral verwaltet werden können. Auch eine genaue Transparenz über externes Wartungspersonal und Lieferanten ist zwingend notwendig. Für diese und viele andere Herausforderungen gibt es bereits Standardtools, die einen guten Überblick, zentrales Management sowie maximale Transparenz und Nachvollziehbarkeit bieten.

3. Konfigurations- und Asset-Management

Ein tragfähiges Konfigurations- und Asset-Management zählt zu den wichtigsten Aspekten, wenn es um Themen wie strukturierte Weiterentwicklung und Absicherung von Leit- und Automatisierungstechnik geht. Gerade bei größeren und komplexeren Umgebungen stößt eine Verwaltung mittels Excel oder eine, die rein auf manueller Erfassung basiert, schnell an ihre Grenzen oder skaliert schlichtweg nicht mehr. Noch dazu sind die Vorteile einer detaillierten und permanent aktuellen System- und Konfigurationsdokumentation nicht nur wichtig bei der Absicherung der Systeme. Auch Regeltätigkeiten wie Systemwartung, notwendige Ausbauten und erste Schritte in Richtung Industrie 4.0 sind ohne diese Daten-Basis nur schwer oder mit großem Risiko zu bewältigen. Wie die eingangs beschriebenen Cyber-Angriffe deutlich machen, bauen komplexere, cyber-physikalische Angriffe immer auf nicht-autorisierte Konfigurationsänderungen auf. Dabei sind oft nicht einmal Sicherheitslücken notwendig, sondern es wird Standardfunktionalität der Automatisierungstechnik quasi für ursprünglich nicht so vorgesehene Anwendungsfälle missbraucht. Wer also solche nicht-autorisierten Konfigurationsänderungen erkennen oder verhindern kann, kann sich auch vor solchen Angriffen wirksam schützen.
Moderne, auf Leit- und Automatisierungstechnik spezialisierte Konfigurations- und Asset-Management-Lösungen, bieten neben dem automatisierten Erkennen von unautorisierten Konfigurationsänderungen oder dem Einbringen von nicht autorisierter Hardware in das überwachte Netzwerk, auch noch viele andere Features an. So werden zum Beispiel auch ungewöhnliche Zugriffe oder Datenflüsse auf Komponenten des Steuerungssystems gemeldet oder es können Wartungszugriffe von außerhalb, detailliert überwacht und eingeschränkt werden.

4. Systematisch pragmatisch

Da sich Technologien, Infrastrukturen und damit einhergehende Angriffsmöglichkeiten permanent weiterentwickeln, muss ein nachhaltiges Sicherheitskonzept ebenso kontinuierlich verbessert und auf vielen Ebenen angepasst werden. Zahlreiche Normen und Sicherheitssysteme wie die IEC 62443 oder das allgemeinere ISO 27001 adressieren genau diese Herangehensweise, der ganzheitlichen und kontinuierlichen Verbesserungszyklen, sind aber relativ aufwändig in der Umsetzung, wenn man die enthaltenen Empfehlungen und Vorgaben in der vollen Breite mit praktischer und noch dazu betriebswirtschaftlicher Sinnhaftigkeit umsetzen möchte. Wie bei vielen anderen Ansätzen zeigt sich auch hierbei, dass eine Kombination von langfristiger und systematischer Planung, mit pragmatischem, betriebswirtschaftlich sinnvollem Vorgehen am effizientesten ist.
Damit ist gemeint, dass Zeit und Geld primär dort einsetzt werden sollte, wo gemäß der 80/20 Regel am schnellsten die größtmögliche Verbesserung an Sicherheit geschafft werden kann. Bestenfalls lässt sich diese Verbesserung dann sogar quantitativ oder qualitativ messen. Gleichzeitig sollen diese Einzelmaßnahmen, sich gegenseitig ergänzend, gut in ein nachhaltiges Gesamtkonzept passen.

5. Personelle Verantwortung und dediziertes Budget

Der letzte und vielleicht sogar wichtigste Tipp ist: Richten Sie eine dedizierte personelle Verantwortung für die Cyber-Sicherheit Ihrer Produktionsstätten ein. Wo diese Person oder dieses Team organisatorisch angesiedelt ist, ist dabei nicht so wichtig wie die Anforderung, dass sie unbedingt, zumindest grundlegende Kenntnisse in der Leit- und Automatisierungstechnik mitbringen muss. Darüber hinaus sollte es sich um eine dedizierte Stelle handeln, das heißt um jemanden, der 100 % seiner verfügbaren Zeit dieser Tätigkeit widmen kann.

Eine Implementierung aller oder eines Großteils der beschriebenen Maßnahmen und konkreten Schutzmechanismen verhindert mit hoher Wahrscheinlichkeit die am Anfang des Beitrags beschriebenen Maßnahmen.

Zusammenfassen bleibt daher noch einmal folgendes Fazit festzuhalten:

Die meisten Angriffe, auch auf Industrieanlagen, sind weit weniger komplex als angenommen und mit weit weniger Fachwissen und Ressourcen ausgestattete Attacken. Gegen solche Gefahren ist man auch mit Basismaßnahmen, wie sie etwa die CIS Security Controls empfehlen, schon recht gut abgesichert.

Da sich ein individuelles Security Konzept in jedem Fall immer erst Schritt für Schritt entwickeln und vor allem auch weiterentwickeln muss, ist die Kombination von Basismaßnahmen, auf die dann entsprechend fortgeschrittenere Methoden aufgebaut werden können, ein sinnvoller Ansatz.

Das Wichtigste aber ist: Setzen Sie einen ersten Schritt und bleiben Sie dran!

Quellen und Referenzen

[1] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[2] https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf

[3] https://www.nsi.org/2021/02/15/employee-cyber-security-awareness-ransomware-wave/

[4] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[5] https://besecure.bearingpoint.com/ics/