Aufgrund zunehmender Digitalisierung nimmt die Vernetzung auch im Produktionsumfeld zu. Damit steigt auch das Risiko für Angriffe auf industrielle Steuerungssysteme. Das kann nicht nur gravierenden finanziellen Schaden anrichten, sondern im schlimmsten Fall Menschenleben gefährden. Was sollten Unternehmen tun, um sich zu schützen?
Bei OT, kurz für Operational Technology, denkt man zunächst an Produktionsanlagen. Tatsächlich umfasst der Begriff generell Systeme zur Steuerung und Überwachung von physikalischen Prozessen. Sie kommen nicht nur in der Industrie, sondern in nahezu allen Branchen zum Einsatz, zum Beispiel in der Trinkwasser- und der Stromversorgung oder der Gebäudeklimatisierung. Ohne OT wäre unser Leben, so wie es heute ist, nicht vorstellbar, denn sie liefert die Automatisierungstechnik, die für uns im Alltag selbstverständlich geworden ist.

Durch die Digitalisierung nimmt die Vernetzung zu. OT-Systeme sind nicht mehr nur untereinander, sondern auch mit IT-Systemen vernetzt. Die Konvergenz findet in beide Richtungen statt: In ERP-Systeme bspw. werden auch Produktionsinformationen hinterlegt und steuern Fertigungsaufträge in das MES (Manufacturing Execution System) ein, das MES wiederum sendet Betriebs- und Maschinendaten an das ERP zur Auswertung zurück. Das bedeutet: Angriffe auf die Server oder Datenbank des ERP wirken sich direkt auf die Produktion aus. Hinzu kommt, dass durch den zunehmenden Einsatz von Fernwartungssystemen für Maschinen und Anlagen zwingend eine Verbindung zum Internet benötigt wird. Sind diese Verbindungen unsicher umgesetzt oder werden selbst nicht regelmäßig gewartet, stellen sie eine Schwachstelle dar, die ausgenutzt werden kann. Dazu kommt das Risiko für Angriffe von innen, das selbst in isolierten Netzwerken besteht – etwa durch einen infizierten USB-Stick oder Laptop, den ein*e Mitarbeiter*in oder Service-Techniker*in anschließt. Tatsächlich rangiert das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware auf Platz eins der Top-Ten-Bedrohungen für Industrial Control Systems (ICS), so eine Analyse des BSI.

OT-Systeme sind besonders gefährdet

Sind Kriminelle einmal eingedrungen, können sie sich dank der weitreichenden Vernetzung von einem beliebigenAngriffspunkt aus in der gesamten IT-/OT-Umgebung bewegen, wenn entsprechende Schutzmaßnahmen fehlen. Mit jedem vernetzten Gerät wächst die Angriffsfläche. IT-Systeme in der Produktion bspw. sind meist besonders anfällig für Cyberattacken, weil sie häufig mit einem veralteten Betriebssystem betrieben werden, für das es keine Sicherheitsupdates mehr gibt. Gerade Angriffe auf OT-Systeme können gravierende Folgen haben. Hier geht es nicht nur um großen finanziellen Schaden, durch Anlagenstillstände und Reputationsverlust. Fehlfunktionen von Maschinen und Anlagen können auch Menschenleben gefährden, etwa wenn in einem Krankenhaus medizintechnische Geräte ausfallen oder die Strom- und Trinkwasserversorgung gefährdet sind. Unternehmen, die zu den kritischen Infrastrukturen zählen, unterliegen daher dem IT-Sicherheitsgesetz und müssen Mindeststandards für die Cyber Security sowie strenge Meldepflichten für Cybervorfälle einhalten.

Gezielte und ungezielte Angriffe

Bisher sehen wir noch wenige Angriffe, die sich wirklich gezielt gegen OT-Systeme richten. Häufig handelt es sich um breit gestreute Ransomware-Attacken auf IT-Systeme, bei denen Produktionsanlagen als Kollateralschaden mitbetroffen sind. So konnte im März dieses Jahres, aufgrund einer Ransomware-Attacke auf die IT-Systeme des Königsberger Unternehmens „Fränkische Rohrwerke“, an weltweit 22 Produktionsstandorten eine Woche lang nicht produziert werden. Es ist leider davon auszugehen, dass es künftig mehr spezialisierte Angriffe auf Produktionsumgebungen geben wird. Denn diese sind für Kriminelle sehr lukrativ, sei es zur Erpressung oder Industriespionage und leider häufig noch schlechter geschützt als die Systeme der Unternehmens-IT.

Das sollten Unternehmen tun

Um sich zu schützen, sollten Unternehmen Cyber Security ganzheitlich betrachten und die Produktion in ihre IT-Sicherheitskonzepte zwingend integrieren und diese um die Anforderungen der OT erweitern. Die folgenden Schritte unterstützen dabei:

1. Awareness schaffen

Arbeitsschutz- und Sicherheitsschulungen sind etablierte Maßnahmen, um die Sicherheitskultur in Unternehmen hochzuhalten. Der wahrscheinlich wichtigste Schritt, um mit den Herausforderungen der zunehmenden Vernetzung Schritt halten zu können, ist Mitarbeiterbefähigung bzw. -entwicklung. Mitarbeiter:innen mithilfe von Schulungen und Trainings für Cyber Security zu sensibilisieren, sollte auch im Produktionsumfeld regelmäßig durchgeführt werden.

2. Verantwortlichkeiten klären

Um eine vollumfängliche Cyber Security Kultur im Unternehmen zu etablieren, müssen IT- und OT-Verantwortliche zusammenarbeiten. Häufig gibt es hier Herausforderungen in der Kommunikation, weil unterschiedliche Anforderungen aufeinandertreffen. Ein wichtiger Schritt besteht darin, Vertreter:innen beider Bereiche an einen Tisch zu holen, Verantwortlichkeiten zu klären und das gemeinsame Vorgehen zu definieren. Diese Zusammenarbeit muss durch das Management gefordert und gefördert werden. Die Unterstützung durch einen strategischen Partner welcher sowohl über IT- als auch OT-Expertise verfügt, kann dabei als wertvoller Katalysator wirken.

3. Ein Security Assessment durchführen

Basis für ein vollumfängliches Cyber Security-Konzept bildet die Bewertung der aktuellen Sicherheits-Aufstellung. Dafür gilt es zunächst, die IT und OT im Produktionsumfeld zu analysieren und Schutzziele zu definieren. Welche Systeme sind an welchen Prozessen beteiligt? Wer kommuniziert mit wem? Welche Schwachstellen gibt es, wie groß ist das Risiko, dass diese Schwachstellen ausgenutzt werden können, und was kann im schlimmsten Fall passieren? Daraus ergibt sich eine Risikobewertung. Für die Durchführung eines Security Assessments empfiehlt sich die Zusammenarbeit mit einem externen Partner, der nicht nur strategisch beraten, sondern im Bedarfsfall als Implementierungs-Partner auch in die nahtlose Umsetzungs-Verantwortung gehen kann.

4. Technische und organisatorische Maßnahmen ableiten

Aus den Ergebnissen des Security Assessment lassen sich schließlich konkrete technische und organisatorische Maßnahmen ableiten, um die definierten Schutzziele zu erreichen. Dabei können gängige Security-Standards wie ISO 27001 und IEC 62443 als Grundlage dienen. Als konkrete, technische Maßnahme ist zum Beispiel die Einführung eines Network-Monitoring-Systems empfehlenswert, das das Produktionsnetzwerk rund um die Uhr überwacht. Es schafft Transparenz über die Komponenten, die sich im Netzwerk befinden, und schlägt Alarm, sobald verdächtige Aktivitäten auftreten.

5. Einen Notfallplan erarbeiten und testen

Wenn es einmal zu einem Angriff kommt, gilt es schnell zu reagieren und Schaden zu minimieren. Daher sollten Unternehmen einen Krisenreaktionsplan aufstellen, in dem Verantwortlichkeiten und Handlungsanweisungen klar definiert sind. Dazu gehört auch ein Backup-Plan, der regelmäßig überprüft werden sollte. Da jedes Umfeld anders ist und eine andere Kritikalität hat, muss ein Notfallplan immer individuell entwickelt werden. Damit er im Ernstfall auch funktioniert, sollte er regelmäßig getestet werden.

Wie ein Pharma-Unternehmen seine OT-Security optimiert

Ein Pharma-Unternehmen setzt Infrastrukturen, die ursprünglich für die IT geschaffen worden waren, zunehmend für die OT ein. Dadurch kam es zu Kompromissen bei Verfügbarkeit, Betrieb, Wartung und Funktionalität. Unterschiedliche Nutzungsprofile von IT und OT konnten nicht ausreichend abgebildet werden. Das Unternehmen beauftragte daher externe Cyber Security Spezialist:innen mit der Erneuerung der IT und OT Infrastruktur. Die Analyse ergab, dass zwei eigenständige Infrastrukturen aufgebaut und sicher miteinander verbunden werden sollten. Dabei richteten die Cyber-Security-Experten eine funktionale Zonierung und Segmentierung des OT Netzwerkes entlang der Produktionsanlagen ein und qualifizierten die OT-Infrastruktur nach industriespezifischen Richtlinien wie IEC 62443 und GxP. Heute verfügt das Unternehmen über zwei autarke, sichere Infrastrukturen für IT und OT und konnte die Compliance und Verfügbarkeit der Produktionssysteme signifikant verbessern.

Fazit

Cyber Security Lösungen einzusetzen muss wirtschaftlicher sein, als es nicht zu tun. Der erste Schritt istein professionelles Security Assessment, um zielgerichtet, den individuellen Handlungsbedarf zu identifizieren und zu priorisieren. Nur wenn Unternehmen die Anforderungen von IT und OT in einem vollumfänglichen Cyber-Security-Konzept berücksichtigen, können sie ihre hochvernetzten Umgebungen auch zukünftig nachhaltig und angemessen schützen.

Quellen und Referenzen

Bildquelle: Axians