Oktober ist in den USA schon lange der „National Cybersecurity Awareness Month“. Und seit neun Jahren findet zu dieser Zeit auch der Europäische Monat der Cybersicherheit statt. Doch was vielen noch nicht klar ist: Die Bedrohungen aus dem Computer-Bereich haben längst auch Maschinen und Anlagen der Industrie erreicht. Die zunehmende Vernetzung über das Internet der Dinge (IoT) und der Einsatz digitaler Tools eröffnen zusätzliche Angriffsmöglichkeiten für Cyberkriminelle. Das gilt besonders, weil diese Anlagen der sogenannten „Operational Technology“ (OT) oft weniger geschützt sind als IT-Infrastrukturen. Die folgenden acht Regeln sollen helfen, ihre Widerstandskraft zu stärken.
Im Mai wurde die größte Benzinleitung der USA durch einen Hack angegriffen. Die Attacke auf die Colonial Pipeline führte zu einer vorübergehenden Abschaltung sowie zu Versorgungsengpässen im Osten der USA und zu Panikkäufen an den Tankstellen. Erst nach einer Lösegeldzahlung, von der übrigens dringend wegen der Wiederholungsgefahr abgeraten wird, konnte das Unternehmen sein Pipeline-System wieder in Betrieb nehmen.
Wenige Monate früher, am 5. Februar 2021, wurde eine Wasseraufbereitungsanlage in Oldsmar (Florida) aus der Ferne angegriffen. Man wollte das Trinkwasser vergiften, indem die Natriumhydroxid-Zufuhr für die Grundwasseraufbereitung vervielfacht wurde. Das sind nur zwei aktuelle Fälle, die Microsoft in seinem neuen Digital Defense Report auflistet. Der Bericht speist sich aus den Erkenntnissen unserer Expertinnen und Experten für Cybersicherheit, deren Job es ist, den Schutz von IT- und OT-Anlagen zu verbessern.
Angriffe auf Wertschöpfungsketten: Häufigkeit und Stärke nehmen zu
Angriffe auf Industrieanlagen sollen immer häufiger gezielt die Wertschöpfungskette von Unternehmen stören. Dafür stehen beispielhaft die Malware HAVEX, Zero-Day-Malware für industrielle Kontrollsysteme, wie der Trojaner Triton, und das Malware-Framework Industroyer. Oder auch der Einsatz sogenannter „Living-off-the-land“-Szenarien, bei denen Standard-Tools und reguläre Systemfunktionen missbraucht werden. Die Häufigkeit und die Stärke solcher Attacken haben in den vergangenen Monaten zugenommen.
Für diese Entwicklung sind nicht nur die wachsende Zahl von industriellen IoT-Geräten und die zunehmende Vernetzung von OT und IT verantwortlich, sondern auch die komplexen Lieferketten unserer globalen Wirtschaft. Immer mehr Unternehmen sind in diese Ketten eingebunden. Sie verwenden eine Vielzahl unterschiedlicher Systeme, die sich zum Teil als sogenannte „Schatten-IT“ den Kontrollen entziehen. Oder sie nutzen unbekannte oder veraltete Anwendungen und Infrastrukturen, die außerhalb von Standardrichtlinien entwickelt wurden oder verwaltet werden. Die Komplexität erhöht sich zusätzlich dadurch, dass oft mehrere Parteien bei der Lieferantenauswahl eine Rolle spielen, aber kaum jemand vollständige Einblicke in ihre Sicherheitspraktiken bekommt.
Kein einfacher Ausweg: Acht Regeln für mehr Sicherheit
Einen einfachen Ausweg aus diesem Dilemma gibt es nicht. Das proaktive Management des gesamten Ökosystems wäre wünschenswert, aber dafür gibt es keine zentrale Instanz und seine Komplexität wäre kaum zu bewältigen. Im Einzelfall können reaktive Ansätze helfen, doch sie scheitern oft an fehlenden technischen oder personellen Ressourcen. Um dennoch ein Höchstmaß an Sicherheit zu erreichen, sollten Unternehmen die folgenden acht Regeln beachten, mit denen sie Gefährdungen begegnen können.
1. Software-Entwicklungssysteme absichern
Es sind nicht nur die großen Software-Unternehmen, die Entwicklungsarbeit leisten. Viele Unternehmen haben dafür eigene Abteilungen, die sich um firmeneigene Anwendungen kümmern. Deswegen ist es wichtig, ihre Systeme vor den verschiedensten Bedrohungsvektoren zu schützen: beispielsweise die Entwicklungsumgebung mit ihren Tools und Plattformen, auf denen der Code geschrieben, kompiliert und getestet wird. Betriebssysteme, Editoren, Recherchetools und Webseiten sowie lokale Build-Tools gehören zu diesen täglich genutzten Werkzeugen. Viele Angriffsvektoren zielen in diesem Bereich direkt auf die Identitäten der Entwicklerinnen und Entwickler, um Zugang zu OT- und IT-Infrastrukturen zu bekommen. Die Absicherung der Entwicklungsumgebungen beugt solchen Attacken vor.
Dazu gehört auch der Schutz von Quellcodes. Risiken entstehen oft, wenn Quellcode oder Binärdateien aus unterschiedlichen Quellen übernommen werden. Für jede dieser Quellen muss es ein gewisses Maß an Vertrauen geben, damit kein Schadcode durch die Kontrollen schlüpft. Ohne geeignete Schutzmaßnahmen birgt auch die Build-Pipeline das Risiko einer Kompromittierung von Anwendungen, die sehr schwer zu verfolgen ist. Schließlich gilt es auch, die Freigabeprozesse sicher zu gestalten. Dabei sollten mehrstufige Prozesse garantieren, dass wirklich alle entwickelten Anwendungen oder Module sicher sind.
2. Sicherheit von Firmware und Treibern
Alle industriellen IoT-Geräte arbeiten mit Firmware und Treibern sowie Schnittstellen, die ihre Integration in vernetzte Systeme ermöglichen. Doch solche Geräte verfügen oft nur über Standard-Schutzmechanismen, wie voreingestellte Passwörter. Sie können zwar leicht geändert werden, aber das unterbleibt oft. Solche schwach geschützten Geräte lassen sich relativ leicht angreifen, mit Malware infizieren und als Einfallstor für weitergehende Attacken auf geschützte Infrastrukturen missbrauchen. Unternehmen müssen deshalb sicherstellen, dass jede Firmware und alle Treiber sowie die Einstellungen den höchsten Sicherheitsanforderungen entsprechen und auf dem neuesten Stand sind.
3. Physische Sicherheit
Zum Schutz von IT- und OT-Anlagen gehört auch der physische Schutz über Zugangskontrollen und spezielle Sicherheitsmaßnahmen. Sie verhindern schon zu einem großen Teil, dass der Zugriff auf die industriellen IoT-Geräten überhaupt möglich ist. Wie so ein physischer Schutz aussehen kann, beschreibt Microsoft hier anschaulich am Beispiel seiner eigenen Rechenzentren.
4. Sicherheit in der Produktion
Gerade im OT-Bereich sind Schutzmechanismen auf IT-Niveau oft noch die Ausnahme. Doch auch vernetzte Maschinen und Industrieanlagen brauchen Standards, die das Erkennen von Angriffen samt Gegenmaßnahmen sowie eine Systemwiederherstellung nach erfolgreichen Attacken ermöglichen. Dafür müssen die Einfallstore für Angriffe, wie vernetzte Sensoren oder Messinstrumente, geschützt werden sowie Schnittstellen und Übertragungswege verschlüsselt und gesichert werden. Außerdem sollten immer Backups bereitstehen, die vom laufenden System isoliert sind und eine schnelle Wiederherstellung nach Angriffen ermöglichen. In diesen Bereich gehört auch der Schutz des geistigen Eigentums von Unternehmen, das oft elektronisch abgelegt ist.
5. Sicherheit bei Lieferanten und in der Logistik
Die bisher genannten Sicherheitsmaßnahmen sind besonders wichtig, wenn Unternehmen externe Firmen wie Lieferanten, Dienstleister oder Logistikpartner in ihre Wertschöpfungsprozesse integrieren. Service Level Agreements können dabei (SLAs) helfen, Mindeststandards für die Sicherheit der Lieferkette einzufordern und zu garantieren.
6. Sicherheitsüberprüfungen und Garantien
Auch Audits und Kontrollen sollten zu diesen SLAs gehören, damit sich die Sicherheitsmaßnahmen regelmäßig überprüfen lassen. Sie müssen aber auch ein Teil der internen Sicherheitsprozesse sein. Beides ist wichtig, weil sich die Angriffsmöglichkeiten sehr schnell verändern und an neue Sicherheitslagen anpassen. Um immer auf dem aktuellen Stand zu bleiben, empfehlen sich Dokumente wie der regelmäßig erscheinenden Digital Defense Report von Microsoft.
7. Vertrauensmanagement
Die Komplexität unserer Wertschöpfungsketten und die Dynamik der Bedrohungen verhindern, dass sich Rundum-Sorglos-Lösungen entwickeln können, die dauerhaft gültig sind. Doch durch die Kombination von SLAs und Audits lassen sich wenigstens Vertrauens- oder Positivlisten mit verlässlichen Partnern erstellen. Sie helfen bei der Auswahl von zuverlässigen Lieferanten, Dienstleistern oder Logistikern. Aber auch diese Listen müssen regelmäßig auditiert und bei Bedarf angepasst werden. Dabei ist vor allem Transparenz wichtig. Sie hilft, das Vertrauen gegenüber Kunden und Partnern zu dokumentieren, die ebenfalls auf die Sicherheit ihrer Lieferkette vertrauen wollen.
8. Überwachung und Zero Trust
Jeder der oben genannten Arbeitsbereiche erfordert eine regelmäßige Überwachung der Sicherheit sowie das Trainieren und Ergreifen von Gegenmaßnahmen. Neue Konzepte wie Zero Trust oder SIEM (Security Information and Event Management), das durch Azure Sentinel ermöglicht wird, können diese Prozesse weitgehend automatisieren. Sie werden durch maschinelles Lernen und künstliche Intelligenz unterstützt, die aus Milliarden von Signalen genau jene Abweichungen oder Anomalien erkennen können, die auf Cyberangriffe hinweisen.
In der Gesamtbetrachtung zeigt sich immer wieder, dass eine moderne Cloud-Infrastruktur den Großteil der Aufgaben zur Absicherung bereits abdeckt. Dennoch bleibt der Schutz von OT-Anlagen eine strategische Management-Aufgabe, der sich kein Unternehmen entziehen kann. Erst dann werden Wertschöpfungsketten so sicher gegen Cyberangriffe, wie es nach heutigen Maßstäben sein kann.
Ein Beitrag von Melanie Weber
Industry Executive – Chemical, Pharma & Life Science Industry