Best Practices der OT-Sicherheit in der Automobil-Industrie

Die Automobilindustrie durchläuft gegenwärtig eine umfassende digitale Transformation. Vorangetrieben wird diese durch die Integration fortschrittlicher Technologien. Gemäß dem 2024 veröffentlichten Bericht State of Smart Manufacturing: Automotive Edition gaben mindestens 81 Prozent der Befragten an, bereits Netzwerk-Hardware, Industrie-Computer sowie vernetzte Geräte, darunter Sensoren und Aktoren, eingeführt zu haben oder die Einführung in den nächsten Jahren zu planen.

In den vergangenen Jahren war die Branche jedoch mit Störungen in der Lieferkette, einem Mangel an Halbleitern sowie einer Zunahme von Cyber-Angriffen konfrontiert worden. Zudem steckte die Automobil-Industrie bereits davor in Schwierigkeiten, denn sie musste gleichzeitig die hohen Ansprüche an Qualität und Rentabilität erfüllen. Gegenwärtig ist die Methode des Smart Manufacturing für Hersteller ein möglicher Ausweg. Der integrierte Ansatz verbindet die Überwachung der Produktion, das Qualitätsmanagement und Manufacturing Execution Systems (MES) zu einem hochgradig effizienten System. Ihr Einsatz basiert auf der Nutzung von Echtzeitdaten zur Steuerung der Produktion sowie zur Behebung von Qualitätsmängeln, bevor diese den Betriebsablauf beeinträchtigen können. Dieser pragmatische Ansatz findet bei führenden Herstellern Anwendung, um Kosten zu optimieren und die Rentabilität zu steigern, ohne dabei Kompromisse hinsichtlich der Qualität oder Datensicherheit der Kunden eingehen zu müssen.

Somit ist die digitale Transformation unabdingbar, doch hat die Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) dazu geführt, dass Cyber-Kriminelle eine erheblich vergrößerte Angriffsfläche vorfinden. Dies stellt die Cyber-Sicherheitsleute der Automobil-Industrie vor eine große Herausforderung.

Dieser Artikel widmet sich nun der Untersuchung von Risiken, denen die Automobil-Branche und ihre Lieferkette ausgesetzt sind, sowie der Analyse von Regularien. Aus diesen Erkenntnissen lassen sich Best Practices für die OT-Sicherheit in der Automobil-Industrie ableiten.

Sicherheitsherausforderungen in der Automobil-Produktion

Die Integration von industrieller Automatisierung, cyber-physischen Systemen (CPS) und fortschrittlichen Kommunikationsnetzwerken hat zu einer Revolution in der Automobil-Produktion geführt, die gemeinhin als Smart Manufacturing bezeichnet wird. Diese Transformation bringt zwar enorme Effizienz mit sich, erweitert jedoch die virtuelle Angriffsfläche erheblich, was vermehrte Risiken für die Produktionskontinuität und die Produktintegrität mit sich bringt. Fortschritte in der Automatisierung und Vernetzung erhöhen somit die Produktivität und Qualität, schaffen jedoch ein hochgradig vernetztes System innerhalb der Produktionsumgebung, das anfällig für ausgeklügelte Cyber-Angriffe ist.

Veraltete Betriebssysteme und Protokolle

Die inhärente Komplexität dieser vernetzten Systeme macht sie zu idealen Zielen für hochqualifizierte Hacker, ob speicherprogrammierbare Steuerungen (PLCs), MES oder Cloud-basierte Datenanalyseplattformen. Die Angreifer nutzen häufig mehrstufige Angriffstaktiken, wobei sie zunächst vermeintlich harmlose Komponenten ins Visier nehmen. Ein aktuelles Beispiel ist eine im Jahr 2024 entdeckte Malware, welche in der Lage war, legitime Befehle an Modbus-Server zu senden. Aufgrund der fehlenden Authentifizierung im Modbus-TCP-Protokoll, das in vielen Fabriken zum Einsatz kommt, konnten Angreifer die Modbus-Kommunikation nutzen, um OT-Systeme zu manipulieren. Herkömmliche Sicherheitswerkzeuge erweisen sich daher als unzureichend, um derartige Angriffe zu identifizieren, da diese Attacken eben auf legitimen Befehlen basieren. Sobald Hacker aber in das Netzwerk eindringen und Zugriff auf PLCs, RTUs, Controller oder andere Geräte erhalten, die ungesicherte Steuerprotokolle verwenden, können sie sich lateral in der industriellen Umgebung bewegen und weiteren Schaden anrichten. Dies kann zur Verschlüsselung kritischer Daten oder zur direkten Manipulation von Produktionsprozessen führen.

Innentäter: Unbeabsichtigter oder absichtlicher Missbrauch von Zugriffsrechten

Die Attacke muss nicht von außen erfolgen, sie kann auch im Inneren starten. Entscheidend ist hier der Einsatz von integrierten Systemen zur Produktionsüberwachung und zum Qualitätsmanagement (QMS). Diesbezüglich gaben 84 Prozent der befragten Hersteller an, derartige Systeme bereits implementiert zu haben oder deren Implementierung zu planen. Diese Systeme sind zwar darauf ausgelegt, Arbeitsabläufe zu optimieren und Produktkonsistenz zu gewährleisten, jedoch können sie bei einem Missbrauch ebenfalls zu einer Gefährdung werden. Ein Beispiel für eine Schwachstelle sind Mitarbeiter, die ihre Zugriffsrechte unbeabsichtigt oder absichtlich zum Schaden der Firma ausnutzen. Dies könnte dazu führen, dass das MES oder PLCs manipuliert werden, was wiederum Produktionsunterbrechungen oder Maschinenausfälle zur Folge haben könnte. Auch besteht die Möglichkeit, dass Mitarbeiter durch unbefugte Systemkonfigurationsänderungen oder die Übertragung von Malware über USB-Geräte unbewusst oder mit böser Absicht einen Schaden verursachen. Solche Angriffe auf diese Plattformen könnten umfassende Störungen im gesamten Produktionslebenszyklus zur Folge haben, wie beispielsweise bei den empfindlichen Echtzeitanpassungen an robotergesteuerten Schweißlinien oder während der Endmontage von Fahrzeugkomponenten.

VPN- und Remote-Protokoll-Schwachstellen in OT-Systemen

Erschwerend kommt hinzu, dass vielfach verwendete, veraltete Sicherheitsparadigmen die Sensoren und einfache Instrumente traditionell als geringes Risiko einstufen. Moderne Angriffsmethoden aber, insbesondere Ransomware-Angriffe und Exploits von Remote-Management-Protokollen (z.B. RDP), können diese angeblich einfachen Geräte leicht infizieren. Dadurch werden diese zu Einfallstoren für größere Angriffe, bei denen Schwächen in der Netzwerk-Segmentierung ausgenutzt werden, um sich im OT-Umfeld auszubreiten. Ransomware-Angriffe auf industrielle OT-Systeme umgehen traditionelle IT-zentrierte Sicherheitsmaßnahmen und nutzen häufig Schwachstellen in OT-ICS-Systemen aus, wie veraltete Betriebssysteme oder unzureichendes Patch-Management, das in vielen Produktionsstätten noch üblich ist. Der berüchtigte WannaCry-Ransomware-Angriff, der die Produktion großer Hersteller, darunter Honda, vollständig zum Erliegen brachte, ist ein Beispiel für diese Bedrohung.

Die zunehmende Abhängigkeit von drahtlosen Verbindungen und Remote-Zugriffslösungen verstärkt diese Risiken. Neue Technologien, wie 5G und Edge Computing, versprechen darüber hinaus zwar schnellere Kommunikation und geringere Latenz für industrielle Anwendungen, eröffnen jedoch zugleich neue Angriffsmöglichkeiten gegen Netzwerke. So könnten Angreifer schlecht gesicherte Remote-Zugriffsgateways, wie veraltete VPN-Lösungen oder ungesicherte RDP-Verbindungen, nutzen, um die Kontrolle über kritische Produktionssysteme zu übernehmen.

Schwachstellen in der Lieferkette der Automobilproduktion

Ein weiteres signifikantes Risiko stellen Schwachstellen in der Lieferkette dar, wie das Einbringen nicht verifizierter Drittgeräte oder Software-Updates in den Produktionsprozess, denn diese Kontaktpunkte können von Angreifern genutzt werden, um in die Fertigungsumgebung einzudringen. Die hochgradig vernetzte Natur der modernen Automobil-Lieferkette, in der Teilelieferanten, Software-Entwickler und Dienstleister innerhalb eines weltweiten Ökosystems interagieren, verschärft dieses Problem. Ein attackierter Lieferant könnte unbeabsichtigt schädlichen Code oder Hardware-Hintertüren in kritische Systeme einführen und dadurch die Produktion in mehreren Werken stören.

Häufige Bedrohungsszenarien und Angriffsmethoden

IT- oder externe Netzwerkangriffe

• Angreifer nutzen Netzwerkschwachstellen, denen ein Patch fehlt, oder exponierte Ports aus, um Angriffe zu starten, die Kontrolle über Systeme zu übernehmen oder durch Lahmlegung von Produktionssystemen die Unternehmer zu erpressen.
• Phishing-E-Mails oder Brute-Force-Angriffe werden genutzt, um in das interne Netzwerk einzudringen. Anschließend erfolgt die seitliche Bewegung, um tiefer in die OT-Systeme vorzudringen.

Veraltete OT-Geräte

• Angreifer nutzen Software-Schwachstellen in industriellen Geräten, wie PLCs aus, was zur Ausführung schädlicher Befehle oder zum Systemausfall führen kann.
• Angriffe auf bekannte Schwachstellen oder ungeschützte Systeme (wie veraltete Firmware von Steuerungen) können zu Ransomware-Angriffen führen.

Unabsichtlicher oder absichtlicher Missbrauch von Privilegien durch Mitarbeiter

• Mitarbeiter können ihre Privilegien ungewollt oder absichtlich missbrauchen, um Produktionssteuerungssysteme (MES) oder PLCs zu manipulieren, was Produktionsausfälle oder Geräteschäden verursacht.
• Mitarbeiter können unbefugte Systemkonfigurationsänderungen vornehmen oder USB-Geräte verwenden, um Malware zu übertragen.

VPN- und Remote-Protokoll-Schwachstellen

• Traditionelle VPNs oder RDPs, die für die Fernsteuerung verwendet werden, können von Angreifern als Einstiegspunkt genutzt werden, um Anmeldeinformationen zu stehlen und die Kontrolle über Produktionssysteme zu übernehmen.
• Unzureichende Sicherheitsmaßnahmen für drahtlose interne Kommunikation ermöglichen es Hackern, drahtlose Schwachstellen auszunutzen, um in Fabriksysteme einzudringen.

Lieferkettenangriffe

• Angreifer dringen über Drittanbietergeräte oder -software in das OT-System der Fabrik ein, indem sie bösartige Programme vor der Implementierung starten.
• Angreifer manipulieren Hardware oder Software-Update-Pakete von Lieferanten und schleusen Malware in das Produktionssystem ein.

Cyber-Sicherheitsvorschriften in der Automobil-Industrie

Die Zukunft der Automobil-Branche wird in erheblichem Maße durch Software geprägt sein. Automobilherstellern (OEM) werden zu den größten Software-Lieferanten und daraus entstehen signifikante Gefahren. Ein Hacker-Angriff gegen die Software kann dazu führen, dass die Cyber-Kriminellen einen Zugang zu den Systemen erlangen und dadurch die Sicherheitsfunktionen gefährden oder die Privatsphäre der Verbraucher verletzen. Dennoch ist anzunehmen, dass sich die Bedrohungslage in absehbarer Zeit wandeln wird. Am 24. Juni 2020 wurden seitens des World Forum for Harmonization of Vehicle Regulations (WP.29), eine Arbeitsgruppe, welche der Wirtschaftskommission für Europa der Vereinten Nationen (UNECE) unterstellt ist, zwei wesentliche Cyber-Sicherheitsvorschriften erlassen: R155 Cyber Security und R156 Over-The-Air Software Update (OTA). Diese traten Anfang 2021 in Kraft.

Beide Sicherheitsvorschriften sind für den Marktzugang und die Typen-Genehmigung von Fahrzeugen in den Mitgliedsstaaten der UNECE WP.29 obligatorisch und enthalten verbindliche Anforderungen für Automobilhersteller sowie deren Tier-1- und Tier-2-Lieferanten. Seit Juli 2022 sind die Anforderungen in den UNECE-Mitgliedsstaaten (abgeleitet aus dem Übereinkommen von 1958) für die Typen-Genehmigung aller neuen Automodelle gültig, seit Juli 2024 sind sie für alle Fahrzeuge verbindlich.

Im Vergleich zur UNECE WP.29 R156 wird im Folgenden die UNECE WP.29 R155 intensiver betrachtet, da sie in engem Zusammenhang mit der Automobil-Produktion steht. Gleichzeitig wird ersichtlich werden, dass zahlreiche Unternehmen die Relevanz der UN R155 nicht nur für Produkte, sondern auch für die Produktentwicklung und Organisationsstrukturen erkannt haben.

UNECE WP.29 R155: Das Cybersecurity-Management-System (CSMS)

Die UN-R155-Verordnung galt bis Juli 2022 verbindlich für neue Fahrzeuge auf dem globalen Markt. Für konventionelle Fahrzeuge wird sie seit 2024 angewendet. Dies erhöht den Druck auf OEM und ihre Lieferketten erheblich, da die Zertifizierung erforderlich ist, um ein Fahrzeug auf dem UNECE-Markt zuzulassen.

Die Typen-Genehmigung für OEM ist in drei Hauptanforderungen unterteilt:

• Implementierung eines Cybersecurity-Management-Systems (CSMS).
• Bereitstellung von Nachweisen, dass das Fahrzeugarchitekturdesign, Risiko-Bewertungsverfahren und die Umsetzung von Cyber-Sicherheitskontrollen für einen bestimmten Fahrzeugtyp ordnungsgemäß durchgeführt wurden.
• Einhaltung der Vorschriften und der Kapitel im Anhang 5.

Die UN R155, eine für die Typen-Genehmigung in 64 Mitgliedstaaten der Wirtschaftskommission für Europa der Vereinten Nationen bindende Verordnung, schreibt vor, dass Fahrzeughersteller ein zertifiziertes CSMS für jedes mit dem Internet verbundene Fahrzeug einführen müssen. Die Einführung eines solchen Systems ist folglich eine obligatorische Voraussetzung für die Erteilung einer Modellzulassung durch die zuständigen Behörden. Die neuen CSMS-Anforderungen etablieren neue Standards für das Management von Cyber-Bedrohungen über den gesamten Lebenszyklus eines Fahrzeugs hinweg. Dies umfasst die Aspekte Security by Design, Schwachstellen-Management, Risiko-Management in der Lieferkette sowie Vorfall-Management. Die Verantwortung für das Management des CSMS über die gesamte Wertschöpfungskette der Automobil-Industrie obliegt den OEM, wobei auch Zulieferer zur Einhaltung der CSMS-Prinzipien verpflichtet sind. Eine Zertifizierung des CSMS ist Voraussetzung für die Genehmigung von Fahrzeugtypen und muss alle drei Jahre erneuert werden. Obwohl UN R155 keine spezifischen Implementierungsrichtlinien bereithält, liefert der ISO/SAE-21434-Standard klare organisatorische, prozedurale und technische Anforderungen an die Cyber-Sicherheit während des gesamten Fahrzeuglebenszyklus.

ISO/SAE 21434: Wegweiser zur Cyber-Sicherheit in der Automobil-Industrie

Die International Organization for Standardization (ISO) und die Society of Automotive Engineers (SAE) haben in Kooperation einen Standard entwickelt, der als einer der fortschrittlichsten in der Automobil-Industrie gilt und von Experten der Branche entworfen wurde. Der Standard bietet umfassende Leitlinien für Cyber-Sicherheit und unterstützt Automobilhersteller durch die Nutzung gemeinsamer Rahmenwerke und Prozesse dabei, die Sicherheit ihrer Produkte zu optimieren. Der Fokus von ISO/SAE 21434 liegt darauf, die Implementierung von UN R155 zu standardisieren, wobei der Schwerpunkt auf der Bereitstellung bewährter Techniken zur Lösung von sicherheitsbezogenen Verifikationen liegt. Die Inhalte umfassen das Management der Cyber-Sicherheit, das vom Projekt abhängige Management der Cyber-Sicherheit, die kontinuierlichen Aktivitäten der Cyber-Sicherheit, Methoden zur Bedrohungs- und Risiko-Bewertung sowie die Cyber-Sicherheit in der Konzept-, Entwicklungs- und Nachentwicklungsphase von Straßenfahrzeugen.

Zusätzlich fordern diese Standards nicht nur von den OEM, sondern auch von Tier-1-Zulieferern und anderen wesentlichen Lieferanten die Einhaltung der Anforderungen an das Netzwerksicherheitsingenieurwesen. Der Fokus dieser Standards liegt hauptsächlich auf den Aspekten der Entwicklungsphase, Produktionsphase und Postproduktionsphase.

Anforderungen an den Produktionskontrollplan (ISO/SAE 21434 Klausel 12)

In der Vergangenheit lag der Fokus in der Forschung vornehmlich auf der Risikobewertungsmethodik der ISO/SAE 21434 (Klausel 8) sowie der Konzeptphase der Entwicklung (Klausel 9). Demgegenüber fand der Bereich der Produktionssicherheit (Artikel 12) bislang weniger Beachtung, was die Aufstellung wichtiger Fragen erforderlich macht. Diese betreffen die Ausgestaltung eines CSMS in der Nachentwicklungsphase sowie die Verhinderung der Öffnung von Sicherheitslücken im Produktionsprozess.

Der nächste Teil des Artikels widmet sich daher der Erörterung der erforderlichen Maßnahmen und Werkzeuge, welche Organisationen in ihre Prozesse integrieren sollten, um die Einhaltung der ISO/SAE 21434 zu gewährleisten.

Tatsächlich fordert Artikel 12.2 der ISO/SAE 21434 ausdrücklich, dass Automobilhersteller „Cyber-Sicherheitsanforderungen in der Nachentwicklungsphase (einschließlich Produktionsphase) anwenden“ und „die Einführung von Schwachstellen im Produktionsprozess verhindern“ müssen. Die spezifischen Anforderungen umfassen:

• [RQ-12-01]: Ein Produktionskontrollplan muss erstellt werden, der die Cyber-Sicherheitsanforderungen für die Nachentwicklung anwendet (einschließlich der Produktions- und Nachproduktionsphase).

• [RQ-12-02]: Der Produktionskontrollplan muss Folgendes beinhalten:

1.     Eine Abfolge von Schritten, welche die Cyber-Sicherheitsanforderungen für die Nachentwicklungsphase anwenden.
2.     Produktionswerkzeuge und -ausrüstung.
3.     Cyber-Sicherheitskontrollen, um unautorisierte Änderungen während der Produktion zu verhindern.
4.     Methoden zur Bestätigung, dass die Cyber-Sicherheitsanforderungen für die Nachentwicklungsphase erfüllt sind.

• [RQ-12-03]: Der Produktionskontrollplan muss umgesetzt werden.

Die ISO/SAE 21434 stellt einen Rahmen bereit, der Automobilherstellern und deren Lieferketten als Orientierung dient, um spezifische Sicherheitspraktiken für ein CSMS während der Fahrzeugentwicklung und -herstellung zu implementieren. Die genannten Praktiken erlauben zudem die Evaluierung und Verifizierung der Konformität mit Sicherheitsstandards bei Drittanbietern, wie etwa Tier-1- und Tier-2-Zulieferern, und tragen somit zu einer umfassenden Verbesserung der Sicherheit in der gesamten Lieferkette bei. Diesbezüglich sei die Einführung verlässlicher Sicherheitstests zwischen OEM und Lieferanten als exemplarisches Beispiel genannt.

Best Practices für die Automobil-Fertigung

Wegen der hohen Vernetzung und Digitalisierung der Produktionsumgebung heutzutage stellt die Gewährleistung der Ausfallsicherheit eine der größten Herausforderungen dar. Führende Unternehmen sehen sich veranlasst, ihre Sicherheitsstrategien zu überdenken. Der folgende Abschnitt beleuchtet Best Practices zur Bekämpfung von OT-Bedrohungen in der Automobil-Fertigung und deren Lieferkette und zeigt, wie diese Praktiken auch für andere Branchen inspirierend wirken könnten.

Durchführung von Sicherheitsinspektionen an Zuliefererausrüstung

Bevor kritische Betriebsmittel, wie neue Maschinen, in die Fabrik oder Anlage gelangen, sollten die Anlagenbesitzer gründliche Sicherheitsprüfungen durchführen, um sicherzustellen, dass keine Schadprogramme oder schwerwiegenden Sicherheitslücken in den Betriebsmitteln vorhanden sind. Dieser Schritt muss im Einklang mit den Richtlinien des CSMS stehen und gleichzeitig ein Sicherheitsprotokoll für die Anlagen erstellen, dass die zukünftige Wartung und Verwaltung erleichtert. Für Ausrüstungsanbieter ist es nämlich nicht einfach, alle Sicherheitslücken zu beheben. Selbst wenn diese bekannten Schwachstellen nicht vollständig gelöst werden können, sollten entsprechende Maßnahmen ergriffen werden, um sicherzustellen, dass sie während der Produktion kein Risiko darstellen.

Integration von Produktionsanlagen in gesicherte Fabriknetzwerke

Um die Sicherheit von Fabriknetzwerken zu gewährleisten, werden diese in der Regel vom Unternehmensnetzwerk und dem Internet isoliert. Dabei kommt üblicherweise eine IT-Firewall zum Einsatz, die eine standardisierte Deny-Regel durchsetzt. Diese Vorgehensweise stellt oft einen grundlegenden Aspekt der Sicherheitsstrategie in vielen OT-Umgebungen dar, ist aber keineswegs eine gute Wahl. Eine IT-Firewall ist nicht in der Lage, die Bedürfnisse der OT-Sicherheit zu erfüllen. Es braucht OT-spezifische Sicherheitslösungen, um die Fabriken zuverlässig zu schützen und das Stichwort lautet stets: Ausfallsicherheit. Diese steht bei der IT nicht im Vordergrund und daher kann es vorkommen, dass eine IT-Firewall die Produktion zum Stillstand bringen kann, weil sie wegen eines Updates einen Neustart durchführt. Das ist inakzeptabel. Außerdem ist sie nicht in der Lage, die spezifische Art des Netzwerkverkehrs einer OT-Umgebung mit ihren hunderten von verschiedenen, oft alten, Industrie-Protokollen zu verstehen. Auch die Durchsetzung einer strengen Allow-List-Politik, welche die Verbindung zum Rechenzentrum wahrt, ist hier nur Augenwischerei und zeitlich sehr aufwändig.

Auf der nächsten Stufe ist die weitere Unterteilung des OT-Segments mithilfe einer Mikro-Segmentierung der Fabriknetzwerke und -systeme von essentieller Bedeutung. Die traditionelle OT-Netzwerksegmentierung, welche hauptsächlich VLANs auf Netzwerkswitches verwendet, um die Auswirkungen attackierter Betriebsmittel zu begrenzen, bietet keine effektive Überwachung, Inspektion oder Segmentierung des Ost-West-Datenverkehrs. Außerdem ermöglicht sie keine Sichtbarkeit des OT-Netzwerkverkehrs von Layer 2 bis Layer 7. Organisationen sollten Next-Generation-OT-Angriffserkennungs- und Präventionssysteme (IDS/IPS) implementieren, um eine bessere Sichtbarkeit und Kontrolle zu erreichen. Dies ermöglicht eine weitere Segmentierung von Sicherheitszonen, die auf spezifischen Sicherheitsanforderungen basiert. Zudem kann der Ost-West-Datenfluss durch die Anwendung von Zugriffskontrolllisten (ACLs) gesteuert werden. Darüber hinaus ermöglicht der Ansatz die Identifikation und Eindämmung netzwerkbasierter Aktivitäten im Zusammenhang mit bösartiger Malware, wie etwa ungewöhnliche SMB-Übertragungen. So kann die seitliche Ausbreitung von Malware oder Viren verhindert werden.

Das primäre Ziel beim Design einer OT-Netzwerkarchitektur besteht somit in der Gewährleistung eines sicheren und stabilen Echtzeit-Betriebs der OT-Systeme. Aufgrund der besonderen Anforderungen industrieller Umgebungen muss die in OT-Netzwerken verwendete Hardware zudem auch in Schaltschränken mit Hutschiene eingebaut werden können und über z.B. eine hohe Hitzebeständigkeit verfügen, um den anspruchsvollen Arbeitsbedingungen standhalten zu können.

Schutz der Produktionssysteme vor Cyber-Bedrohungen

Durch die Härtung und den Schutz von Produktionssystemen steigt die Fähigkeit, mögliche Angriffswege zu schließen. Dazu zählt das Schließen von Systemschwachstellen sowie das Deaktivieren unnötiger Dienste, Anwendungen, Benutzerberechtigungen, Konten, Netzwerkports und überflüssiger Systemfunktionen. Die Härtung von Anlagen kann das Risiko, dass Angreifer auf kritische Computersysteme zugreifen oder Malware ausführen, erheblich reduzieren.

Ein beträchtlicher Anteil vieler OT-Systeme ist nach wie vor mit veralteten Windows-Betriebssystemen ausgestattet, darunter Windows XP und ältere, dessen Veröffentlichung über 20 Jahre zurückliegt. In der Praxis sehen sich Betriebsleiter mit einer komplexen Entscheidungsfindung konfrontiert, bei der Cyber-Bedrohungen lediglich einen von zahlreichen zu berücksichtigenden Faktoren darstellen. Die Modernisierung von OT-Systemen wird zudem durch Kosten, Kompatibilität und die notwendige Unterstützung der Sicherheitslösungen durch die Hersteller der Maschinen und Betriebssysteme erschwert. Des Weiteren ist herkömmliche Anti-Viren-Software für IT Systeme nicht für industrielle Steuerungsumgebungen konzipiert worden. Die Software erfordert häufig eine permanente Internetverbindung zur Cloud, um z.B. die Scan-Engine und Virensignaturen zu aktualisieren, was Störungen in der Produktionsumgebung verursachen kann. Außerdem beanspruchen ihre Datei-Scans häufig erheblich Rechenleistung, was zu überlasteten Endpunkten und einer hohen Anzahl an Fehlalarmen führt.

Kontinuierliche Sicherheit

Die Implementierung einer Sicherheitsüberwachung, -erkennung und -reaktion ist unerlässlich, um OT-Vorfälle in Echtzeit identifizieren und adressieren zu können. Das Ziel hierbei ist, die Auswirkungen solcher Vorfälle auf Produktionssysteme, Netzwerke, Daten und Geräte zu minimieren. Der Prozess umfasst das Überwachen von Netzwerken und Systemen auf Anzeichen potenzieller Sicherheitsverletzungen, die Analyse der Daten zur Bestimmung eines Vorfalls sowie die Einleitung geeigneter Maßnahmen zur Eindämmung und Behebung desselben. Das Prinzip ist klar: Was man nicht sieht, kann man nicht abwehren.

In jüngeren Fällen von Angriffen auf die OT-Infrastruktur nutzten Hacker zunehmend sogenannte Living off the Land-Techniken. Dabei greifen schädliche Programme auf integrierte Betriebssystemfunktionen zurück, wie PowerShell, WMIC oder Ping-Befehle, anstatt gezielt bekannte Schwachstellen auszunutzen. Auf Netzwerkseite nutzen Angreifer häufig ältere Protokolle der OT, welche keine hinlängliche Authentifizierung bieten, wie Modbus TCP, anstatt sicherere Optionen wie das Modbus/TCP-Sicherheitsprotokoll.

Mit der Einführung von strikten Zero-Trust-Mechanismen, wie Netzwerk-Allowlists und Endpunkt-Anwendungs-Whitelisting, in OT-Umgebungen stellt sich die Frage, wie sichergestellt werden kann, dass diese Zero-Trust-Maßnahmen nicht ausgehebelt werden. Um deren Integrität zu gewährleisten, wurde die CPSDR-(Cyber-Physical Systems Detection and Response)-Lösung entwickelt. Diese begegnet der Gefahr, dass Hacker durch legitime, gut formatierte Befehle unautorisierte Aktionen ausführen können.

Fortschrittliche Lösungen zum Schutz von cyber-physischen Systemen (CPS) in der Automobil-Produktion umfassen:

• CPSDR für Netzwerke: Erkennung und sogar Vorhersage von anomalem Netzwerkverhalten, um Gefahren im OT-Netzwerk früh eindämmen und Bedrohungen stoppen zu können.
• CPSDR für Endpunkte: Analyse des einzigartigen Fingerabdrucks jedes Geräts auf Agentenebene und Überwachung auf Abweichungen vom normalen Betrieb. Echtzeiterkennung durch Abweichungs- und Verhaltensanalyse, um unbefugten Zugriff, Malware, unbeabsichtigte Konfigurationsänderungen und schädliche Prozessmodifikationen zu erfassen und diese Risiken zu mitigieren, bevor sie Schaden anrichten können.

Sichere Datenübertragungen

Der Austausch von Dateien und Daten innerhalb sowie außerhalb von Produktionsumgebungen unterliegt strengen Sicherheitskontrollen. Im Rahmen eines Exports von Daten aus der Produktionsumgebung ist der Schutz von Geräteprotokollen von essentieller Bedeutung. Diese enthalten wesentliche Informationen über den Produktionsprozess, wie Maschinenkonfigurationen, Produktionsdaten oder Metriken zur Qualitätskontrolle. Der Schutz dieser Protokolle ist unabdinglich, um die Wettbewerbsfähigkeit und Rentabilität des Unternehmens zu gewährleisten. Dadurch werden nicht nur vertrauliche Informationen geschützt, sondern auch unberechtigter Zugriff, Manipulationen oder der Verlust wichtiger Daten, welche die Produktionsqualität und -effizienz beeinträchtigen könnten, verhindert. Die Einrichtung eines sicheren Site-to-Site-VPNs über Edge-Firewall-Regeln mit Fernzugriffsfunktionen verhindert den unbefugten Zugriff oder Abhörversuche gegen OT-Netzwerke.

Auch die Wartung der Maschinen spielt eine wichtige Rolle. Zu ihr gehören sowohl Hardware-Reparaturen, beispielsweise der Austausch von Festplatten, als auch Software-Konfigurationsänderungen, System-Upgrades und Sicherheits-Updates. Normalerweise sind regelmäßige Wartungsarbeiten in Produktionsstätten vorgesehen. Allerdings bergen Änderungen stets das Risiko des Produktionsausfalls, sodass OT-Sicherheitsentscheider dafür Sorge tragen müssen, dass die Anlagen mit den Sicherheitsrichtlinien und -informationen synchronisiert bleiben und ausgetauschte Hardware oder Software den Sicherheitskonfigurationsrichtlinien des Anlagenbetreibers entspricht. Wichtig ist dabei, dass durch Software-Updates keine neuen Sicherheitslücken eingeführt werden.

Manager von Produktionsanlagen sollten daher während der Wartung mehrere Malware- und Schwachstellen-Scans durchführen. Zusätzliche Sicherheitsprüfungen sollten insbesondere beim Austausch von Hardware- oder Software-Komponenten oder bei Software-Konfigurationsänderungen durchgeführt werden. Dies ist besonders für tragbare Geräte oder Computer wichtig, die von Anbietern oder dem Wartungspersonal in die Produktionsumgebung gebracht werden und unbeabsichtigt mit Schadprogrammen verseucht sein könnten.

Zu guter Letzt ist ein tiefes Verständnis der Betriebsabläufe unerlässlich, um die OT-Umgebung effektiv schützen zu können. Sicherheitsleute in Fabriken benötigen eine einfach bedienbare Echtzeit-Plattform, um die Cyber-Sicherheit zahlreicher Geräte verwalten und Angriffe sofort erkennen sowie darauf reagieren zu können. Sie müssen stets die Übersicht aller Anlagen behalten, um Software-Konfigurationsänderungen, System-Upgrades und Sicherheits-Updates zu überwachen.

Fazit: Zukünftige Absicherung der Cybersicherheit in der Automobilproduktion

Die digitale Angriffsfläche der Automobil-Industrie vergrößert sich durch die fortschreitende Vernetzung der Produktionsumgebungen im Rahmen der Industrie 4.0. Viele Maschinen, die mit veralteten Betriebssystemen ausgestattet worden sind und nicht aktualisiert werden können, werden ans Internet angeschlossen, obwohl sie ungenügend mit Schutzfunktionen ausgerüstet wurden. Vor allem die IT-OT-Konvergenz macht es  anfällig. Aus diesem Grund muss nun eine OT-spezifische Schutz-Strategie umgesetzt werden, mit OT-nativen Sicherheitslösungen und Konzepten, um die Ausfallsicherheit zu bewahren. Cyber-Sicherheit stellt somit nicht länger eine Option dar, sondern ist eine entscheidende Voraussetzung, um die betriebliche Integrität zu wahren und sensible Daten zu schützen, sowie die Produktion aufrecht zu erhalten. Die Einhaltung strenger Vorschriften, wie UNECE WP.29 R155 und ISO/SAE 21434, sowie die Implementierung robuster Sicherheitspraktiken, welche, unter anderem, Echtzeit-Überwachung, Netzwerksegmentierung und Endpunktschutz umfassen, ermöglichen es Automobilherstellern, die Gefahren zu mindern. Diese Best Practices der OT-Sicherheit sind es, welche die langfristige betriebliche Widerstandsfähigkeit und den Schutz der Zukunft der intelligenten Automobilproduktion gewährleisten.