Digitalisierung
Industrial Security
Industrial Security: IoT? Aber sicher!
Die Zahl der über das Internet vernetzten Geräte, Anlagen und Assets („Dinge“) nimmt stark zu. Gleichzeitig sind diese Geräte oft weniger geschützt als eine durchschnittliche IT-Infrastruktur. Zudem bieten die zunehmende Standardisierung und die wachsende Komplexität der Geräte Angreifern offene Flanken. Daher ist es dringend notwendig, das Internet of Things (IoT) durch eine eigene, ganzheitliche Sicherheitsstrategie zu schützen, die Industrial Security.
Bis zum Jahr 2020, schätzen die Marktforscher von Gartner, werden allein in der Industrie weltweit 4,3 Milliarden Assets branchenübergreifend („Cross Industry“) vernetzt sein. Dazu kommen in einzelnen Industriezweigen weitere 3,1 Milliarden – Maschinen, Anlagen und Assets im Internet of Things (IoT). 2018, vor nicht einmal einem Jahr, waren es mit insgesamt vier Milliarden vernetzten Dinge nur rund halb so viele.
Die Vernetzung schreitet massiv voran und bringt Unternehmen neue Einblicke in das Verhalten und den Betrieb ihrer Maschinen, produziert Unmengen von Daten, die für vorausschauende Wartung ebenso verwendet werden können, wie für die Suche nach neuen Produkten, Geschäftsideen und Business Cases.
Industrial Security by the numbers
Aber die massive Vernetzung über standardisierte Datenleitungen und Protokolle, also über das Internet, schafft auch neue Herausforderungen, die es so früher nicht gab, denn sie macht Maschinen und Anlagen angreifbar: „Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem neuesten Bericht "Die Lage der IT-Sicherheit in Deutschland 2018". „In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, deren Funktionsweise beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden.“ 3.390.000 Euro – so viel kostet eine durchschnittliche Datenpanne in Deutschland, hat 2018 die von IBM gesponserte Studie Cost of Data Breach des Ponemon Instituts errechnet.
Die Kosten und Schäden für die Reputation eines Unternehmens sind das eine. Das andere ist die lange Zeit, die vergeht, bis Angriffe festgestellt werden: Nach Angaben des Cyber-Allianz-Zentrums Bayern (CAZ) im Bayerischen Landesamt für Verfassungsschutz dauert es durchschnittlich 260 Tage, bis ein diskreter Angriff auf IT-Infrastrukturen entdeckt wird.
Und wenn dann die Sicherheitssysteme endlich einen Hackerangriff melden, gibt es gerade einmal in vier von zehn Unternehmen (43 Prozent) ein Notfallmanagement, das festlegt, was in diesem Fall zu tun ist. Dabei sind sogar die Betreiber sogenannter kritischer Infrastrukturen (KRITIS) wie etwa Energieversorger oder Finanzdienstleister kaum besser vorbereitet als die übrigen Branchen. Auch bei den KRITIS-Unternehmen verfügen ganze 53 Prozent über einen Notfallplan, bei den Nicht-KRITIS-Unternehmen sind es 41 Prozent.
Vernetzte Produktion ist weniger geschützt als die IT-Infrastruktur
IT-Business-Infrastrukturen – Server, Desktop- und mobile PCs, Smartphones und Tablets sowie die Datenleitungen, auf denen sie kommunizieren – lassen sich einigermaßen gut schützen. Dieser Aufgabe widmen sich die IT-Abteilungen in Unternehmen – in der Regel angeführt vom CIO und unterstützt von mehr oder weniger großen und spezialisierten Teams.
Diesen Schutz genießen industriell vernetzte Systeme bislang nicht. Im bereits erwähnten BSI-Lagebericht 2018 heißt es dazu: „Im Gegensatz zu herkömmlichen mit dem Internet verbundenen Geräten wie PCs, Laptops und Servern, besitzen IoT-Geräte häufig keine eigenen Angriffspräventionssysteme. Im Vergleich mit PCs stehen ihnen, um Kosten zu reduzieren und die Akkulaufzeit zu erhöhen, in der Regel deutlich knappere Ressourcen für Sicherheitsmechanismen zu Verfügung.Der Schluss, den das Bundesamt zieht, klingt nicht nur alarmierend, er ist es auch: „OT-Systeme können darum nicht nur einfacher kompromittiert werden, es ist auch deutlich schwerer, diese Kompromittierungen zu erkennen.“
Ganzheitlicher Schutz von IT und OT gefragt
In einem modernen, vernetzten Industrieunternehmen müssen also beide Systeme geschützt werden, die IT-Business-Infrastruktur und die Operational Technology (OT). Der Technologiekonzern Voith verfolgt dafür den ganzheitlichen Ansatz einer Industrial Security, um seine eigenen Infrastrukturen und seine Maschinen und Anlagen zu schützen und diesen Schutz auch seinen Kunden zur Verfügung zu stellen.
Er basiert auf einer mehr als 150-jährigen Erfahrung mit der Herstellung und dem sicheren Betrieb von Maschinen für die Papierherstellung oder von Wasserkraftwerken auf der Basis von Voith-Technologien. Das sind oft sicherheitskritische Anlagen, die bei einer Betriebsstörung Menschenleben gefährden würden, wenn es zu Stromausfällen oder Überschwemmungen käme. So gesehen, ist Voith nicht einfach nur ein Maschinenbauer, sondern – seit jeher – Konstrukteur sicherheitsrelevanter Anlagen.
Der Ansatz für ganzheitliche Sicherheit basiert auch auf dem langjährigen Engagement des Unternehmens für IT- und OT-Sicherheit etwa im Branchenverband VDMA und dem Open Group Forum, das sich um Interoperabilität und Sicherheit industriell vernetzter Anlagen kümmert. Und er fußt auf den Erfahrungen, die Voith als eines der ersten Unternehmen mit Zertifizierungen nach ISO 27001 gemacht hat. Aus diesem Ansatz heraus hat der Hersteller eine ganze Reihe von Angeboten entwickelt, die dem Unternehmen selbst und seinen Kunden den Schutz industriell vernetzter Anlagen ermöglicht. So hat Voith bereits vor vielen Jahren ein Kompetenz-Center für Datenschutz und Informationssicherheit aufgebaut. Das Voith-Security-Operations-Team besteht aus qualifizierten Experten, die sich um den Schutz von IT-Infrastrukturen kümmern. Dafür überwacht und analysiert das Team alle sicherheitsrelevanten Systeme – Unternehmensnetzwerke, Server, Arbeitsplatzrechner und Internetservices – und untersucht diese auf Auffälligkeiten.
Zentraler Bestandteil der Arbeit ist eine Sensorik, die große Mengen von IT- und OT-Informationen selbstständig und automatisch analysiert, korreliert und darstellt. Die Automatisierung von Security-Prozessen ist eine der wichtigsten Maßnahmen für den wirksamen Schutz vor Angriffen und bietet weitere Vorteile: Security Automation erfüllt die steigenden Erwartungen an Cybersecurity aufgrund der immer komplexeren Bedrohungsszenarien und der ebenfalls zunehmenden Komplexität von IT-Infrastrukturen. Außerdem nimmt es der IT durch den Rückgang manueller Tätigkeiten bei Kontrolle, Eingriffen und Berichten ein wenig vom immerwährenden Kostendruck, der auf ihr lastet. Schließlich unterstützt die Automatisierung Unternehmen dabei, regulatorische und Compliance-Anforderungen besser zu erfüllen, auch wenn kein Gesetz sie explizit fordert.
Das Voith-Security-Operations-Team besteht aus qualifizierten Experten, die sich um den Schutz von IT-Infrastrukturen kümmern. Dafür überwacht und analysiert das Team alle sicherheitsrelevanten Systeme – Unternehmensnetzwerke, Server, Arbeitsplatzrechner und Internetservices – und untersucht diese auf Auffälligkeiten.
WannaCry-Angriff bei Voith abgewehrt
Automatisierte Prozesse in der IT-Sicherheit haben Voith selbst vor etwa einem Jahr davor bewahrt, Opfer einer Cyberattacke zu werden: Am 12. September 2018 stellten die Sicherheitsexperten innerhalb kürzester Zeit bei Voith fest, dass einzelne Rechner des Unternehmens mit WannaCry infiziert waren. Das Schadprogramm befällt Windows-Systeme, die nicht mit einem bestimmten Patch nachgerüstet wurden. Als so genannte Ransomware (von Englisch „ransom“, Lösegeld) verschlüsselt WannaCry infizierte Rechner und erpresst die Besitzer, um die Daten wieder zu entschlüsseln. Ransomware ist nicht neu; allein im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten. Aber WannaCry stellte damals eine neue Qualität der Bedrohung dar: Allein im Mai 2017 befiel das Schadprogramm mehrere global tätige große Unternehmen in sehr kurzer Zeit – insgesamt mehr als 230.000 Computer in 150 Ländern. Aufgrund dieser Ausmaße bezeichnete das Europäische Polizeiamt der Europäischen Union den Ausbruch als ein „noch nie da gewesenes Ereignis“.
Bei Voith konnte die Ransomware in weltweit rund 140 Systeme eindringen. Allerdings waren keine Fertigungs-, sondern ausschließlich Monitoring-Systeme betroffen, so dass es zu keinem Ausfall in der Produktion kam. Für die erfolgreiche Abwehr des Angriffs war aber vor allem das Anomaly-Detection-System bei Voith verantwortlich, das dann Alarm schlägt, wenn Schadprogramme mit außenstehenden Servern Kontakt aufzunehmen versuchen, um die firmeneigenen Systeme zu verschlüsseln. Nach der Infektion am 12. September 2018 erfolgte die erste Meldung schon nach wenigen Minuten. So konnte das Security-Operations-Team die notwendigen Maßnahmen einleiten, die betroffenen Systeme isolieren und die Patches einspielen, um die Ausbreitung des Schadprogramms zu verhindern. Am Ende waren aufgrund dieser schnellen Reaktion nur etwa 140 Systeme betroffen – von mehr als 20.000 Rechnern, die weltweit bei Voith im Einsatz sind.
Cybercrime und der Faktor Mensch
IT- und OT-Systeme lassen sich über unterschiedliche Maßnahmen mittlerweile recht wirksam gegen Angriffe von außen schützen – unter der Voraussetzung, dass Angriffsversuche wie der von WannaCry schnell entdeckt werden. Wer aktuelle Updates und Sicherheits-Patches in seine Systeme einspielt, sorgt zudem für den angemessenen Schutz der IT-Infrastrukturen, der durch regelmäßige Security-Checks noch verbessert werden kann. Das schwächste Glied in dieser Kette ist damit aber noch nicht geschützt: Es ist der Mensch, der oft genug mit fahrlässigem oder sorglosem Verhalten Angreifern die Tür ins Unternehmen öffnet.
Jeder sechste Mitarbeiter, gut 18 Prozent also, hat eine Befragung des BSI 2018 ergeben, würde auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben. Dass das mehr ist, als eine theoretische Gefahr, belegen andere Studien. So hat das Bundeskriminalamt in drei Jahren 250 Betrugsfälle gezählt. Die bekanntesten waren 2016 der bayerische Autozulieferer Leoni AG mit einem Schaden von 40 Millionen Euro und der österreichisch-chinesische Luftfahrtzulieferer FACC, der um 50 Millionen Euro erleichtert wurde. In den über vermeintlich vertrauenswürdige Absender versendeten E-Mails werden auch Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Organisationsstrukturen abgefischt. Sie dienen Cyber-Kriminellen als wertvolle Grundlage zur Vorbereitung von gezielten Angriffen auf das Unternehmen. Dieses „Social Engineering“ genannte Erschleichen von Informationen nutzt gezielt das Vertrauen und die Hilfsbereitschaft von Menschen aus. Kontakt zu den Mitarbeitern eines Unternehmens erlangen sie per Mail, über Telefon oder auch über Gespräche im richtigen Leben – auf Veranstaltungen etwa oder auf Messen.
Die beste Möglichkeit, solche Vorfälle zu vermeiden, ist – auch hier geht Voith mit eigenem guten Beispiel voran – die regelmäßige Schulung der Mitarbeiter zu Sicherheitsfragen mit dem Ziel, die Aufmerksamkeit („Awareness“) dafür zu erhöhen und aufzufrischen. Schon vor 12 Jahren hat Voith branchenweit als eines der ersten Unternehmen eine weltweite Awareness-Kampagne zu den Themen Datenschutz und Datensicherheit etabliert. Über das Privacy and Security Information Portal stellt Voith seinen Mitarbeitern darüber hinaus alle Informationen zur Verfügung, die sie für das richtige Verhalten brauchen. Zudem hat das Unternehmen eine weltweit einheitliche Telefonhotline eingerichtet, die bei sicherheitsrelevanten Vorfällen und Fragen hilft – rund um die Uhr.
Voith kennt die Tricks von Hackern
Im Auftrag seiner Kunden führt Voith so genannte Penetrationstests durch. Bei diesen Stresstests werden von qualifizierten Experten-Teams Angriffe auf IT- und OT-Infrastrukturen durchgeführt, um gezielt Schwachstellen aufzuspüren und zu schließen. Die Tests folgen dem Konzept für Penetrationstests der Bundesanstalt für Sicherheit in der Informationstechnik und den Grundlagen der internationalen ISO-Norm 27001 (ISO27001-Assessment).
Zudem bietet Voith Security-Assessments auf Basis unterschiedlicher Zertifizierungen und Programme an, darunter für ISO 27001 (IT-Sicherheit), IEC 62443 für die Sicherheit industrieller Kommunikationsnetze sowie NERC CIP, eine US-amerikanische Sammlung unterschiedlicher Standards zum Schutz kritischer Infrastrukturen. Ziel der Assessments ist es, Schwachstellen zu finden und zu beseitigen.
Security by Default/by Design
Voith begleitet seine Produkte und Lösungen von Anfang an mit adäquaten Sicherheitskonzepten und dynamischen Maßnahmen, die sich nicht auf die Auslieferung beschränken, sondern sich über den gesamten Lebenszyklus ziehen. Das ist auch nötig, denn ein wirksames Sicherheitskonzept ist niemals statisch, sondern so dynamisch, wie es die sich stets veränderten Bedrohungslagen verlangen.
Mit unserer Erfahrung aus über 150 Jahren Industriegeschichte sind wir Technologieführer in den Märkten Wasserkraft, Papier und Antriebslösungen. Wir nutzen unser Domänenwissen auch, um unsere und die digitale Transformation unserer Kunden umzusetzen.
ENTDECKEN SIE IHRE DIGITALEN MÖGLICHKEITEN