Deutschland
 

Security in der Industrie

Produktionsbetriebe im Visier

Industrieunternehmen werden zunehmend lohnende Ziele für Cyberkriminelle. Welche Taktiken verwenden die Angreifer und wie können Unternehmen sich schützen?
Von 
CSO | 23. März 2022 05:08 Uhr
Je mehr IT und OT sich vernetzen, steigt auch das Risiko von Cyberangriffen auf Produktionsanlagen.
Je mehr IT und OT sich vernetzen, steigt auch das Risiko von Cyberangriffen auf Produktionsanlagen.
Foto: metamorworks - shutterstock.com

Typischerweise verstecken sich Schwachstellen in Softwareanwendungen mit fehlerhaften Programmcodes. Viele Unternehmen sind sich dieser potenziellen Einfallstore für Hacker zumindest im Prinzip bewusst. Komplexer wird die Situation allerdings, wenn das Unternehmensnetzwerk auch mit Geräten verbunden ist, die aus einer Produktionsumgebung stammen.

Mittlerweile ist es bereits in vielen Fertigungsunternehmen Standard, dass Maschinen und Anlagen mit ihrem Netzwerk und weiterer Computertechnik in einer gemeinsamen IT-Umgebung verbunden sind. Häufig ist das ein Mix aus verschiedenen Generationen von Hard- und Software. Ein Angriff auf eine einzelne dieser Komponenten kann schnell auch gut abgesicherte Infrastrukturen in Gefahr bringen - bis hin zu einem längeren Produktionsausfall.

Produktionsanlagen im Visier

Dabei kommt nicht nur die Produktion zum Stillstand, sondern es hagelt unter Umständen zusätzlich empfindliche Vertragsstrafen, wenn Hersteller Produkte nicht rechtzeitig liefern können. Laut dem IBM X-Force Threat Intelligence Index lag das verarbeitende Gewerbe 2020 bereits auf dem zweiten Platz der am häufigsten attackierten Branchen (vom achten Platz in 2019). Nur die Finanz- und Versicherungsbranche trifft es härter.

Eine Studie von Security-Anbieter Claroty zu Ransomware-Attacken im industriellen Umfeldbesagt, dass im Jahr 2021 sogar 80 Prozent der Betreiber und Unternehmen im Umfeld kritischer Infrastrukturen (KRITIS) Opfer eines Ransomware-Angriffs geworden sind. Das Level der Angriffe auf Operational Technology (OT)-Systeme im Vergleich zu Attacken auf IT-Systeme liegt in Europa sogar höher als im weltweiten Durchschnitt.

Unternehmen sind nicht vorbereitet

In einer Studie des Fraunhofer Instituts zum Thema Cybersecurity in der vernetzten Produktion erfüllte kein einziges der befragten Unternehmen alle notwendigen Anforderungen zur Cybersicherheit. Kleine und mittlere Unternehmen unter 250 Mitarbeitern hatten nicht einmal einen Teil der notwendigen Sicherheitsmaßnahmen umgesetzt. Große Unternehmen mit mehr als 250 Mitarbeitern stehen zwar besser da, haben aber noch Nachholbedarf.

Den größten Umsetzungsfortschritt erreichten sowohl kleine als auch große Unternehmen beim Identitäts- und Zugangsmanagement (Identity & Access Management, IAM). "Der Umgang mit dem Risiko von Cyberangriffen hat eher eine reaktive als eine proaktive Natur", lautet das Fazit des Aachener Instituts.

Großunternehmen sind für Kriminelle attraktiver, da sie davon ausgehen, dass eher hohe Lösegelder bezahlt werden. Dagegen gelten kleinere Unternehmen als relativ leichtes Ziel, da sie weniger umfassende Sicherheitsstrukturen in der IT haben.

In einer Umfrage des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) schätzen nur 42 Prozent der befragten Mittelständler das Risiko einer Cyberattacke auf das eigene Unternehmen als hoch bis sehr hoch ein. Die restlichen 63 Prozent schätzen die Situation womöglich falsch ein. Cyberangriffe werden zunehmend häufiger, komplexer und kostspieliger. Gerade vernetzte Produktions-Umgebungen sind ein lohnendes Ziel, da ein erfolgreicher Hackerangriff hier große Auswirkungen und dementsprechend hohes Erpressungspotential hat.

Hacker nutzen Speichermedien, ATP und Schwachstellen

Während viele Unternehmen die gängigen IT-Geräte und -Systeme regelmäßig auf dem neuesten Stand halten, sieht es in der Welt der Produktionsmaschinen anders aus. Hier lauern unscheinbare Gefahrenquellen.

Da Produktionsanlagen im Schnitt eine Lebensdauer von zehn bis 20 Jahre haben, laufen sie häufig mit veralteten Betriebssystemversionen. Dabei kommt es oft vor, dass diese Geräte in Unternehmen über Jahrzehnte keine Sicherheitsupdates erhalten haben, häufig, weil sonst Gewährleistungsansprüche gefährdet werden.

Typischerweise nutzen Cyber-Kriminelle auch im OT-Umfeld Phishing oder ungepatchte Schwachstellen. Eine weitere populäre Angriffsstrategie ist die Attacke mittels Speichermedien: 2020 basierte fast jeder dritte Angriff auf Produktionsinfrastrukturen auf manipulierten mobilen Datenspeichern. In einer Befragung des Analystenhauses Techconsult zum Cybersecurity-Niveau on der Operational Technology waren mit 33 Prozent vor allem kleinere und mittlere Unternehmen gefährdet.

45 Prozent der im Produktionsumfeld durch Malware ausgelösten Sicherheitsvorfälle zählten zu den sogenannten "Advanced Persistent Threats" (APT)-Angriffen. 2020 betraf das allem mittelgroße Unternehmen unter 1.000 Mitarbeitern (58 Prozent).

Direkten Hackerangriffe auf Produktionsnetzwerke über Sicherheitslücken im IT- oder Produktionsnetzwerk trafen kleinere und größere Unternehmen gleichermaßen. Es besteht also ein hohes Risiko für einen IT-technischen Sicherheitsvorfall, der die Produktionsprozesse beeinträchtigt.

Schutz in der Tiefe

Um damit umzugehen, müssen IT-Security und die Fachspezialisten aus dem Produktionsumfeld (etwa Anlagenbau und Instandhaltung) enger zusammenarbeiten. Eine wichtige Rolle spielt hier Defense-In-Depth. Die eigenen Systeme im Blick zu halten ist zwar wichtig, deckt aber nur einen Aspekt ab, dem sich Unternehmen widmen sollten. Daneben sind die folgenden Faktoren wichtig:

  • Der Faktor Mensch - Neben Richtlinien und organisatorischen Rollendefinitionen ist es wichtig, Bewusstsein für IT-Sicherheit bei allen Mitarbeitenden in den Produktionsbereichen zu schaffen. Durch IT-Sicherheitsrichtlinien, kontinuierliche Schulung der Mitarbeiter und Überprüfung von Arbeitsprozessen können bereits viele Schwachstellen eliminiert werden.

  • Netzwerke aufteilen - Eine Trennung von Office-IT und Produktion hilft im Falle eines Angriffs, den Schaden zu begrenzen. Je nach Architektur empfiehlt sich eine Segmentierung des Netzwerks in kleinere Partitionen.

  • Endpunkte absichern - Ein weiteres Element, dass zur Netzwerksicherheit beitragen kann ist das Risikomanagement auf Basis einer automatisierten Endgeräteverwaltung (Unified Endpoint Management - UEM). Besonders in Produktionsinfrastrukturen mit wachsender Anzahl vernetzter Geräte erhalten Sicherheitsteams einen umfassenden Überblick und können Compliance-Richtlinien überprüfen. Wichtig ist hierbei, dass die Endgeräteverwaltung neben industriellen Maschinensteuerungen auch Mobilgeräte wie etwa Barcode- oder NFC-Scanner identifizieren und kontrollieren kann.

Vorschriften im Produktionsgewerbe

Es gibt mittlerweile zahlreiche Regularien, die im direkten Zusammenhang mit der IoT-Sicherheit in Unternehmen stehen: Vom IT-Sicherheitsgesetz 2.0, ISO 27001, der DSGVO bis hin zu BSI-Empfehlungen kommen Vorschriften aus unterschiedlichsten Richtungen. Wenn es um die IT-Sicherheit in der Automatisierungstechnik geht, gibt die Norm IEC 62443 Orientierung. Unternehmen sind grundsätzlich selbst dafür verantwortlich ihre Endgeräte abzusichern.

Fazit

Mit der immer stärkeren Vernetzung der Produktion rücken Industriebetriebe vermehrt in den Fokus von Cyberkriminellen. Das betrifft Unternehmen aller Größen. Die Verantwortlichen sind daher gefragt, nicht nur die IT-Infrastruktur selbst immer wieder auf Sicherheitsrisiken zu überprüfen. Sie müssen auch den Status ihrer Produktionsanlagen korrekt erfassen und ein angepasstes Risikomanagement betreiben.

Eine gute Defense-In-Depth-Strategie sollte die Expertise sowohl aus IT als auch OT berücksichtigen. Wenn sie dann neben der Absicherung der Endpunkte und des Netzwerks auch den Faktor Mensch nicht vergisst, kann sie dazu beitragen, komplex vernetzte Produktionsumgebungen sicherer zu machen und die Verfügbarkeit zu gewährleisten. (jd)

Peter Meivers ist Senior Product Manager bei der Baramundi Software AG.
Folgen: