Mann berührt Sperrschlüsselikone auf virtuellem Bildschirm
wladimir1804 / stock.adobe.com
23.01.2020 Publikation

Cyber Security: Maschinen im Visier

Industrielle Anlagen und kritische Infrastrukturen sind ein attraktives Ziel für Cyberkriminelle. Die vielfältigen Angriffsmethoden erfordern eine einheitliche Strategie und neue Security-Konzepte. In Deutschland genießt IT-Sicherheit hohe Priorität – allerdings wirkt auch die schleppende Innovationsgeschwindigkeit als Schutz.

Kontakt
VDE dialog - Das Technologie-Magazin
Thorsten Henkel

»Es gibt Mittelständler, die Anlagen mit programmierbaren Steuerungseinheiten im Einsatz haben und nicht wissen, dass diese Daten ins Internet übertragen.«

Thorsten Henkel, Fraunhofer-Institut für Sichere Informationstechnologie

| Thorsten Henkel

Was vernetzt ist, lässt sich auch angreifen. Und in industriellen Umgebungen sowie kritischen Infrastrukturen wird die Vernetzung der entsprechenden Geräte stetig ausgebaut – womit das Risiko von Cyberattacken steigt. „Das ist wie im Straßenverkehr“, erklärt Thorsten Henkel, der beim Fraunhofer-Institut für Sichere Informationstechnologie (SIT) für Industrial Security Solutions zuständig ist. „Wenn mehr Autos auf den Straßen fahren, gibt es auch mehr Verkehrsunfälle.“ Dadurch lasse sich allerdings noch keine Aussage treffen, ob die Vernetzung in Relation betrachtet zu mehr Attacken geführt habe.

Es gibt jedoch Fakten zu den potenziellen Problemen. So steige die Zahl der Schwachstellen in industriellen Steuerungssystemen, die dem ICS CERT (Industrial Control Systems Cyber Emergency Response Team der US-Heimatschutzbehörde) gemeldet werden, seit Jahren an, heißt es in einem Whitepaper des IT-Sicherheitsanbieters Trend Micro. Und Kaspersky – ebenfalls Hersteller von Security-Software – meldet, dass in der ersten Hälfte dieses Jahres 41,6 Prozent der ICS-Computer (Industrial Control System) im Energiesektor von einer Cyber­attacke betroffen waren. In der Automobilbranche waren es 39,3 Prozent.

Auch das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI) kann keine Entwarnung geben. Die Gefährdungslage im Bereich Kritischer Infrastrukturen liege weiterhin auf einem hohen Niveau, schreibt die Behörde in ihrem aktuellen Report zur Lage der IT-Sicherheit in Deutschland. Die Experten von Trend Micro listen in ihrem Whitepaper die Angriffe auf Produktionsanlagen der vergangenen 14 Jahre auf. Die Aufzählung beginnt bei dem Wurm Zotob, der unter anderem einen Fahrzeughersteller attackierte. Und sie endet bei der Hacker-Gruppe Dragonfly, die Energieversorger in den USA und Europa angriff.

Cyberkriminelle haben keine länderspezifischen Vorlieben

Grundsätzlich gibt es hinsichtlich des Gefahrenpoten­zials weltweit keine Unterschiede. Zu den betroffenen Zielen von Onlineattacken zählten das Stromnetz der Ukraine genauso wie ein saudi-arabisches Ölunternehmen oder US-amerikanische Autofabriken. In Deutschland erregte im vergangenen Jahr die Attacke gegen den Maschinenbau-Konzern Krauss Maffei Aufmerksamkeit. Dabei wurden Rechner von Trojanern lahmgelegt, die Fertigung konnte nur in gedrosseltem Zustand weiterlaufen. Dabei kam es auch zu Lösegeldforderungen an den Konzern, der Maschinen zur Produktion sowie Verarbeitung von Kunststoff und Gummi herstellt.

Erst vor Kurzem meldete der Automatisierungsspezialist Pilz, Opfer eines Cyberangriffs geworden zu sein. Betroffen waren weltweit sämtliche Server- und PC-Arbeitsplätze inklusive des Kommunikationsnetzwerkes des Automatisierungsunternehmens. Auch wenn diese Attacke also der klassischen IT galt: Sie zeigt, dass die Indus­trie in den Fokus von Cyberkriminellen rückt. Dabei gehen die Angreifer nicht mal besonders innovativ vor. So wurden etwa für viele der Attacken, die im Trend-Micro-Report aufgeführt sind, bereits bekannte Angriffsmethoden verwendet. „Aufgrund der Eigenschaften von Smart Factories können sie sich dort jedoch einfach vom Netzwerk aus ausbreiten und Folgen für die physische Welt haben“, heißt es im Whitepaper.

Schadsoftware ist dabei eine der beliebtesten ­Methoden. Dazu zählen zum Beispiel Ransomware, Rootkits oder Trojaner. Laut den Experten von Trend Micro war der Trojaner Triton besonders bemerkenswert, da er sich gezielt gegen industrielle Sicherheitssysteme richtete und damit eine gesamte Fabrik lahmlegte. Erst vor Kurzem sei die Malware zum Mining von Kryptowährungen in den Systemen eines europäischen Wasserversorgers entdeckt worden.

Für weitere Bedrohungen sorgen DoS (Denial of Service) beziehungsweise DDoS-Angriffe (Distributed Denial of Service). Bei diesen wird ein Dienst, ein Gerät oder ein ganzes Netzwerk durch eine extrem hohe Zahl an Anfragen lahmgelegt. Eine andere Methode ist eine MitM-Attacke (Man in the Middle). Dabei schaltet sich ein Angreifer in Kommunikationsprozessen physisch oder logisch ­zwischen Sender und Empfänger, um den Datenverkehr zwischen beiden Parteien zu kontrollieren. In einer vernetzten Fabrik könnte er sich somit zum Beispiel zwischen Steuerungssystemen und Anlagen positionieren.

Vielen Mittelständlern fehlen die Ressourcen für ausreichenden Schutz

Gerade kleinen und mittleren Unternehmen (KMU) ist das grundsätzliche Gefahrenpotenzial nicht bewusst. „Es gibt viele Mittelständler, die Anlagen mit programmierbaren Steuerungseinheiten im Einsatz haben und die gar nicht wissen, dass diese Daten ins Internet übertragen“, berichtet Henkel. Hinzu kommt: Gerade KMUs tun sich schwer, genügend IT-Experten zu finden. „Viele verfügen nicht über die Ressourcen und Fähigkeiten für eigene ­Cyber Emergency Response Teams“, sagt VDE-Vorstandsvorsitzender Ansgar Hinz.

Mit dem CERT@VDE bietet der VDE daher eine neutrale Plattform für eine Zusammenarbeit im Umfeld von IT-Sicherheit. „Die Experten des CERT unterstützen bei der Lösung von IT-Sicherheitsvorfällen und empfehlen Maßnahmen, wie sich solche Vorfälle vermeiden lassen“, erklärt Andreas Harner, der das CERT leitet. Die Sicherheitsverantwortlichen aus der Industrieautomation hätten das Bedürfnis nach einer solchen firmenübergreifenden Zusammenarbeit. Zusätzlich hat der VDE ein neues Kompetenzzentrum für IT-Sicherheit aufgebaut, das speziell auf Unternehmen aus diesem Bereich ausgerichtet ist. Das „Competence Center for Information and Corporate Security“ unterstützt die mittelständischen Unternehmen bei Analyse, Verbesserung und Umsetzung ihrer Sicherheitsstrategie. In den Firmen gibt es Bedarf nach einer solchen Unterstützung. Laut Harner sei etwa der Wunsch nach einer Institution wie dem CERT vonseiten der Industrie an den VDE herangetragen worden.

Dass das Thema Sicherheit für deutsche Unternehmen einen großen Stellenwert genießt, zeigt auch eine Studie von Kaspersky, bei der weltweit 282 Firmen befragt wurden. Demnach gehört Security zu den Top-Prioritäten bei den hiesigen Firmen. Und 63 Prozent der befragten Unternehmen gaben an, dass speziell die Sicherheit der Operational Technology (OT) an erster Stelle stehe. Allerdings stellen die Kaspersky-Experten auch fest, dass die Digitalisierung hierzulande noch nicht so weit fortgeschritten ist wie in anderen Ländern. Das hat den netten Nebeneffekt, dass Firmen aus Deutschland derzeit noch nicht ganz oben auf der Prioritätenliste der Hacker stehen. Während 41 Prozent der internationalen Industrie ihre OT- oder ICS-In­frastruktur bereits mit der Cloud verbunden haben, sind es in Deutschland nur 15,9 Prozent, so die Kaspersky-Studie. Mehr als zwei Drittel (68,1 Prozent) der befragten deutschen Industrieunternehmen sehen die Digita­lisierung ihrer OT zwar als wichtige oder sehr wichtige Aufgabe für dieses Jahr. Im internationalen Vergleich (81 Prozent) liegt Deutschland aber auch in diesem Punkt zurück. Die hiesigen Unternehmen bieten aufgrund der geringeren Vernetzung also einfach weniger Angriffsfläche für Cyberattacken. „In Deutschland nutzt man Technologie häufig erst dann, wenn man absolut sicher ist, dass ihr Einsatz nötig ist und sie ausreichend getestet wurde“, sagt Henkel. Das sei nicht unbedingt falsch, weil es einen gewissen Qualitätsstandard gewährleiste. „Es hat den Vorteil, dass die anderen erst mal die Fehler machen“, so Henkel. „Der Nachteil ist, dass auch der Technologievorsprung aufseiten der anderen liegt.“

Sicherheit ist ein organisatorisches Thema, das strategisch umgesetzt werden muss

Laut dem BSI hat das IT-Sicherheitsgesetz hierzulande für Verbesserung des Schutzes von kritischen Infrastrukturen gesorgt. Dabei erbringen die Betreiber von kritischen Infrastrukturen Nachweise darüber, angemessene Vorkehrungen zur Vermeidung von Störungen getroffen zu haben. Es lasse sich nun unter anderem erkennen, dass im Rahmen der Nachweis-Erstellung „die IT-Sicherheit organisatorisch verbessert wurde, indem das Informationssicherheitsmanagementsystem (ISMS) und die darin hinterlegten Prozesse und Verantwortlichkeiten implementiert beziehungsweise angepasst wurden“, heißt es im BSI-Bericht.

Dass Sicherheit ein organisatorisches Thema ist, bestätigen auch die Autoren des Whitepapers von Trend Micro. Auf die Bedrohung, die durch die Vernetzung von IT und OT verursacht wird, sollten Unternehmen mit einer Sicherheitsstrategie reagieren, die dem Rechnung trägt. Will heißen: Diese Strategie sollte ebenfalls IT und OT zusammenführen. „Dazu gehört, bestehende Security-Maßnahmen neu zu evaluieren und in gefährdeten Bereichen zu verstärken. Auf der Betriebsebene sollten Unternehmen ihre Anlagen im Feld – von Roboterarmen bis hin zur Mensch-Maschine-Schnittstelle – prüfen und sicherstellen, dass diese nicht online auffindbar sind und wirksame Authentifizierungsmechanismen einsetzen.“ „Sicherheit betrifft alle Bereiche“, sagt Alexander Matheus, Senior Expert für smarte Technologien und Informationssicherheit beim VDE-Institut. Er wirkt an der IEC-Normenreihe 62443 mit, die sich mit sogenannten ,,Industrial Automation and Control Systems“ (IACS) befasst, die in Indus­trie­umgebungen und kritischen Infrastrukturen eingesetzt werden. „Die Norm verfolgt eben jenen ganzheitlichen Ansatz, der von allen Experten gefordert wird. Dabei wird sowohl die Prozessebene betrachtet als auch die grundlegenden Komponenten wie etwa Embedded Software, Router oder andere Netzwerkgeräte“, erklärt Matheus. Eine wichtige Rolle spielt dabei Security by Design – also Sicherheit bereits bei der Entwicklung von Geräten und Komponenten zu berücksichtigen. Moderne Industriemaschinen enthalten also schon Schutzfunktionen, wenn sie in den Fa­briken installiert werden. „Altsysteme, die nicht über diese Funktionen verfügen, müssen dann gekapselt und quasi von außen geschützt werden“, so Matheus. Er hält die Normenreihe für sehr wichtig, um Sicherheit in der Industrie umzusetzen. Das sei allein schon daran zu erkennen, dass sie von Experten häufig zitiert werde. Vielen Unternehmen ist die IEC 62443 allerdings noch nicht bekannt. „Wir arbeiten gerade daran, das zu ändern“, so Matheus. Security by Design ist ein sehr wichtiger Ansatz, aber keine Garantie dafür, nicht doch Opfer eines perfiden Angriffs zu werden. „Das Sicherheitsniveau, das heute geschaffen wird, kann nur auf die angenommenen Angriffe von morgen abzielen“, sagt Wolfgang Niedziella, der verantwortlich für das Kompetenzcenter „Digitale Sicherheit“ im VDE ist. „Über den gesamten Lebenszyklus einer Maschine kann und wird sich die Situation ändern, da die Angriffsmethoden beständig weiterentwickelt werden.“

Anomalien im Strom der Daten können auf Cyberangriffe hinweisen

Zusätzliche Sicherheit könnte daher ein Ansatz bringen, der das Gesamtsystem ins Visier nimmt. Henkel vom Fraunhofer SIT spricht von „Security at large“. Dafür gebe es zwar derzeit noch keine ausgereifte technologische Lösung. Aber wie diese aussehen könnte, zeigt ein Projekt, an dem Henkel und seine Kollegen gerade arbeiten. Dabei geht es darum, den Datenaustausch in einem Produktionsnetzwerk nach Besonderheiten zu untersuchen. „Wir wollen Anomalien erkennen, indem wir die Datenströme auswerten“, erklärt Henkel. Solche Anomalien könnten zum Beispiel auf einen Cyberangriff hinweisen. „So verlagert man die Sicherheitsmaßnahmen auf eine andere Ebene“, so Henkel. „Wir schützen nicht die einzelne Maschine, sondern die Prozessumgebung.“

Um die Daten zu analysieren, werden auch Machine-Learning-Algorithmen eingesetzt. Das System erlernt die Architektur der Infrastruktur selbst und ist flexibler, wenn sich diese ändert. In der agilen Industrie 4.0 müssen alle Prozessebenen beweglich sein. Das gilt auch für die Sicherheitsmaßnahmen.

 

Markus Strehlitz ist freier Journalist und Redakteur beim VDE dialog.



Komplex und langwierig

Eine komplexe Bedrohung für Unternehmen stellen Advanced Persistent Threads (APT) dar – komplexe Onlineangriffe, die sich über Monate oder sogar Jahre hinwegziehen. Im Gegensatz zu klassischer Malware wie Viren oder Würmer seien diese zielgerichtet, schwer zu erkennen und oft staatlich finanziert, erklärte Florian Roth auf dem vergangenen VDE Tec Summit. „Die Schäden bleiben lange unbemerkt“, so der CTO des IT-Sicherheitsspezialisten Nextron Systems.

Motive sind meistens Wirtschaftsspionage, Sabotage oder politische Gründe. Als Beispiel nannte er einen Hersteller von Software für Windkraftanlagen. Dessen chinesischer Kunde hat per Onlineangriff den Quellcode der Software gestohlen. Die Angreifergruppen kommen häufig aus China, Russland, dem Mittleren Osten oder Nordkorea. „Grundsätzlich“, so Roth, „wachsen mit den politischen Spannungen auch die Bedrohungen.“