Cyber-Risiken und ihre Bekämpfung
IT- und OT-Experten gehören an einen Tisch
Eine möglichst umfassende Sicherheit für Unternehmens- und Produktionsnetzwerke zu erreichen, ist eine täglich neue Herausforderung. Insbesondere Cyber-Bedrohungen stellen eine rasch wachsende Gefahr dar: Die Zahl der Attacken, die auf Industrieunternehmen und Einrichtungen ausgerichtet sind, stieg zwischen 2010 und 2016 um das Zehnfache.
Sowohl Industrieanlagen als auch kritische Infrastrukturen, die für das als selbstverständlich erscheinende Wohl der Bevölkerung und der Gesellschaft unverzichtbar sind, stehen im permanenten Fokus von Angriffen. Dabei können die Angriffe von unterschiedlichsten Gruppierungen und Organisationen kommen – teilweise durch Behörden und Regierungen veranlasst oder zumindest sanktioniert. Zielsetzung der Angriffe können Industriespionage, Terrorismus oder erpresserische Cyber-Kriminalität sein. Oft erfolgen Angriffe aber auch – bewusst oder unbewusst – durch Innentäter oder Script Kiddies, also vornehmlich jugendliche Computernutzer, die trotz mangelnder Grundlagenkenntnisse versuchen, in fremde Computersysteme einzudringen oder sonstigen Schaden anzurichten und die dabei fremden Quellcode für eigene Projekte kopieren, um deren Effekte zu nutzen, ohne jedoch den Code zu verstehen.
Mit der zunehmenden Vernetzung im Bereich der Steuerungs- und Automatisierungsebene verschiebt sich der Fokus der Angriffe vom Diebstahl von Firmeninterna hin zum direkten Angriff auf die unteren Automationsebenen, was insbesondere in sicherheitsgerichteten Anlagenteilen dazu führt, dass Safety-Konzepte intensiv auch unter dem Gesichtspunkt der Cyber Security betrachtet werden müssen.
Safety und Security
Die Kreativität bei Hackerangriffen scheint grenzenlos, wenn es darum geht, ein Eingangstürchen in ein System ausfindig zu machen. Der Ausweg der totalen Abschottung ist heute allerdings keine Option mehr – zu wichtig sind die Daten aus der Feldebene für eine umfassende Anlagenüberwachung, die Früherkennung von Gefahrensituationen oder die Optimierung von verfahrenstechnischen Abläufen. „Den besten Schutz bietet ein ganzheitliches Sicherheitskonzept, welches nach der Defense-in-Depth-Strategie aufgebaut ist und verschiedenste Security-Maßnahmen wie Netzwerksegmentierung, Zugangsschutz, Systemhärtung, Patch-Management, Whitelisting, Blocken bestimmter Ports, Malware-Schutz und regelmäßige Datensicherung integriert“ empfiehlt Dana Fielhauer von Siemens Process Automation in Karlsruhe.
Doch reicht das auch für essentielle Safety-Funktionen? Wird Digitalisierung auch hier weiter Einzug halten? Sind Cloud-Systeme wirklich sicher? Kann man Apps, die Daten aus dem Prozess auswerten sollen, vertrauen? Gemäß Dana Fielhauer gibt es Handlungsempfehlungen, denen man ein besonderes Augenmerk schenken darf: „Wenn es um Safety in Chemieanlagen geht, spielt neben der unerlässlichen Sicherheit für Mensch und Produktionsanlage der Schutz der Umwelt eine bedeutende Rolle. Die Anlagenbetreiber müssen sich bewusst darüber sein, wie ihr Sicherheitssystem im Gesamtsystem tatsächlich eingebunden ist.“ ISA 84 zeigt hier unterschiedliche Möglichkeiten der Implementierung auf, von „Air-gapped“ bis zu „integrierten“ Lösungen. Eine wirklich korrekt implementierte „Air-gapped“ Lösung wäre aus Security-Aspekten die sicherste Lösung, da Angriffe dann nur noch von innen erfolgen können.
Die Realität sieht aber anders aus – denn große Vorteile entstehen aus der durchgängigen Vernetzung, durch Datenaustausch und Überwachung mittels Echtzeitkommunikation über Ethernet, durch Datentransfer mit Managementsystemen und Einbindung in Leitsysteme. Der umfassende, nutzbringende Datenaustausch eröffnet natürlich zusätzliche Einfallstore für Cyber-Angriffe, wenn nicht alle Empfehlungen für Security-Maßnahmen konsequent umgesetzt sind.
Die Bedrohung von Innen
Die Gefahren von innen, sogenannte Insider Threats, werden wenig thematisiert – zum einen, weil Unternehmen Reputationsverlust fürchten und zum anderen, weil oft die nötigen Tools zur Abwehr und zur Aufklärung solcher Vorfälle fehlen. Verschiedenen Typen von Insider Threats werden unterschieden:
Absichtlicher Datendiebstahl, also die Veruntreuung von Daten durch Mitarbeiter mit einem kriminellen Motiv
Kompromittierte User, das heißt, Angriffe über die Zugangsdaten oder Rechner von Mitarbeitern
Unwissentliche bzw. unbeabsichtigte Handlungen von Mitarbeitern, die durch Fehlverhalten oder Fahrlässigkeit eine Datenabwanderung begünstigen.
Gerade in der Pharmaindustrie, wo der Schutz von geistigem Eigentum einen besonderen Stellenwert hat, kann Datendiebstahl finanzielle Schäden in Millionenhöhe anrichten. Dazu sagt Albert Schöppl, Enterprise Sales Manager bei Forcepoint: „Wir sehen seit Jahren, dass der Schutz von Infrastruktur nicht ausreicht, um Mitarbeiter und geistiges Eigentum vor Cyber-Kriminalität zu schützen. Ein Perspektivwechsel ist nötig. Darum stellen wir den Mitarbeiter ins Zentrum unserer Sicherheitsstrategie. Ausschlaggebend für die Informationssicherheit ist zu verstehen, wie Menschen mit sensiblen Daten umgehen.“ Anstatt sich auf reinen Infrastrukturschutz – bspw. mit aktueller Firewall-Technologie – zu konzentrieren, sollte man sich verstärkt damit befassen, wie Mitarbeiter mit sensiblen Daten umgehen. „Ein Tool zur User Behavior Analytics kann hier Transparenz schaffen und auch zum Schutz der Mitarbeiter beitragen“ so Schöppl. „Damit können illegale oder gefährdende Tätigkeiten im Firmennetzwerk erkannt, vorhergesagt und verhindert werden.“ Ein automatisches Frühwarnsystem erfasst durch automatisiertes Baselining den Normalzustand für das Verhalten eines Mitarbeiters oder einer ganzen Gruppe. Diese Informationen zum Nutzerverhalten bilden die Basis für eine Risikobewertung bestimmter Verhaltensmuster. Zur Gewährleistung des Datenschutzes werden Informationen zum Nutzerverhalten pseudonymisiert erfasst. Wird zusätzlich eine Data Leakage Prevention-Lösung integriert, greifen die Analyse von Datenbewegungen im Netzwerk und die Verhinderung von Datenabwanderung ineinander.
Industrial Cyber-Sicherheitsrisiko – eine Bedrohung für die Karriere?
Die Digitalisierung und zunehmend vernetzte Natur der industriellen Automatisierung bewirkt mehr als die Veränderung unserer industriellen Prozesse. Der laufende Übergang bietet der Industrie enorme Chancen für mehr Sicherheit, Effizienz und Rentabilität und verlangt gleichzeitig neue Geschäftsvorgaben und schafft neue Risiken, die zu bewältigen sind. Für Jeff Zindel, VP GM bei Honeywell Industrial Cyber Security, ist die Fähigkeit der Führungskräfte, industrielle Cyber-Sicherheitsprogramme erfolgreich aufzubauen und zu pflegen, von essenzieller Bedeutung: „Das Cyber-Sicherheitsrisiko kann für die Karriere eines Managers gefährlich sein. Die Führungskräfte der Industrie müssen sich auf den Aufbau eines robusten industriellen Cyber-Sicherheitsprogramms konzentrieren, das widerstandsfähig und verteidigungsfähig ist.“ Die folgenden Schlüsselbereiche für die Programmentwicklung und die passenden Vorgehensweisen hat Zindel identifiziert:
Das Baselining: Ermitteln und bewältigen Sie Schwachstellen, Bedrohungen und Restrisiken.
Die Definition von Risikotoleranz: Arbeiten Sie mit Ihrem Führungsteam, definieren Sie das Niveau des Cyber-Risikos, das für Ihr Unternehmen akzeptabel ist. Kategorisieren und quantifizieren Sie, wie diese Risiken die strategischen Geschäftsziele beeinflussen können. Legen Sie fest, was geschützt werden muss und auf welcher Ebene.
Die Risiko-Messung: Führen Sie einen Maßnahmenplan für kontinuierliche Messung und Berichterstattung zu Cyber-Sicherheitsrisiken, um Trends und unerwartete Anomalien zu verstehen.
Die Risikominimierung: Führen Sie Sanierungsschritte ein und weiten Sie die Risikomanagementrichtlinien und -prozesse auf das Cyber-Sicherheitsrisiko aus.
Vorfallsreaktionsplan und Praxis: Organisieren und formalisieren Sie die Schritte, um einen Cyber Security Vorfall zu adressieren. Führen Sie regelmäßige Tests Ihres Cross-Funktions-Response-Team durch. Finden Sie Ihre Lücken, führen Sie Verbesserungen durch und wiederholen Sie sie.
Aufbau eines Teams: Engagieren Sie Partner, die das Cyber-Sicherheitsprogramm unterstützen, einschließlich welche der Teile auszulagern sind und welche Teile im Haus zu handhaben sind. Cyber Recruitment ist sehr anspruchsvoll, vor allem das Finden von Spezialisten mit sowohl Cyber Security Know-how als auch Fachwissen in der industriellen Automatisierung.
Sichern Sie Ihre Lieferkette: Bestimmen Sie, welche Sicherheitsanforderungen an Lieferanten und Dienstleister weitergegeben werden sollen. Betrachten Sie das Binden von Anforderungen an bekannte Industriestandards als weitere Kosteneffizienz. Überlegen Sie auch, Workshops für Ihre Lieferanten anzubieten, um Anforderungen zu klären, Kosten zu minimieren, nicht wertschöpfende Aktivitäten zu klären.
Angesichts all dieser Herausforderungen sieht Zindel aber auch ein paar Silberstreifen am Horizont: „Das breite Bewusstsein für Cyber Security-Risiken gibt den Führungskräften ein starkes Mandat, das Problem zu lösen und dafür Mittel bereit gestellt zu bekommen. Es gibt im industriellen Raum neue Technologien, die für den Arbeitsprozess und die Umweltanforderungen von Industriekunden entwickelt wurden. Zuletzt, alle anderen in Ihrem Netzwerk sehen sich ähnlichen Herausforderungen gegenüber. Da das Problem Cyber-Sicherheit betrifft, ist es wahrscheinlich, dass sie offen sein werden, ihre Erkenntnisse zu teilen.“
Cyber-Sicherheit ist eine Grundvoraussetzung für höhere Anlagenverfügbarkeit und Rentabilität in einer vernetzten Welt. Zindels Rat dazu: „Vorfälle werden auftreten. Wenn Sie aber über einen soliden Plan verfügen, wird dieser Ihnen nicht nur dabei helfen, Ihre industriellen Prozesse zu schützen, sondern auch Ihre Karriere zu sichern.“
Automation Security ist kein Selbstzweck
Die Verbindung von Automatisierungsanlagen mit IT-Netzwerken eröffnet eine Vielzahl von Chancen und Möglichkeiten für die Industrie, sie eröffnet gleichzeitig aber auch neue Angriffsvektoren gegen die Automatisierungsnetzwerke. Dass es die für die Anlagensicherheit notwendigen Abwehrmaßnahmen nicht ganz ohne Aufwand und finanzielle Aufwendungen gibt, stellt Peter Exo, Head of IA Services bei Yokogawa Deutschland fest: „Klar, Sicherheit kostet auch Geld. Doch Automation Security ist kein Selbstzweck, der wirtschaftliche Nutzen dahinter ist offensichtlich. Mehr Sicherheit, mehr Möglichkeiten. Die Unsicherheit ist eine Querschnittsfunktion in der Automatisierungslandschaft – und dabei völlig unnötig. Auf der einen Seite haben wir Technologie und Innovation, die die Qualität der Sicherheit bestimmen. Auf der anderen Seite die Fähigkeit, komplexe Zusammenhänge zu analysieren und zu verstehen. So lassen sich Anwendung und Aufwand im Vorfeld genau beschreiben und der wirtschaftliche Nutzen von Automation Security in Zahlen ablesen.“
OT und IT – Safety und Security
Aus der durchgängigen Vernetzung, aus Datenaustausch und -überwachung, Echtzeitkommunikation über Ethernet, aus dem Datentransfer mit Managementsystemen und der Datenanalyse über Big Data-Anwendungen können große Vorteile für die industrielle Fertigung und die Gesellschaft insgesamt entstehen – Schutz der Daten und Security vorausgesetzt. Alle Normen und Empfehlungen für Security müssen konsequent auch im Bereich der Automatisierungsprozess angewendet werden. An Schnittstellen, wo Safety und Security zusammenkommen und sich überlappen, stellt sich oft die Frage, ob tatsächlich ein Fachmann für beide Themen zuständig sein kann. Dana Fielhauer von Siemens hat dazu eine klare Antwort: „Nein. Der Safety-Fachmann ist Spezialist in seinem Gebiet und der Security-Fachmann ist verantwortlich für ein umfassendes Security-Konzept und Know-how-Träger in seinem Umfeld.“ Beide Spezialisten, so Fielhauer, sollten ein Bewusstsein für die Themen des anderen haben und aktiv den gegenseitigen Kontakt suchen, sobald Safety und Security aufeinander treffen. Eine Möglichkeit zum effektiven Austausch von IT- und OT-Spezialisten gibt es demnächst wieder in Frankenthal: Dort findet am 19. und 20. September die IMI 2017 – “IT meets Industry“ statt, die erneut die Kompetenzen aus IT und Industrie an einen Tisch bringt.