Effizienter Schutz vor Cyberangriffen «Wir unternehmen auch IT/OT-Einbrüche»

Von Interview: Matthias Böhm, Chefredaktor SMM

Anbieter zum Thema

Die K-Businesscom (KBC) gehört mit rund 1600 Mitarbeiterinnen und Mitarbeitern in der DACH-Region zu den grössten IT-Business-Dienstleitern. Roland Ambrosch, Spezialist OT-Security, zeigt auf, warum durch Netzanbindungen von Produktionsanlagen die Tore für Cyberangriffe weit offen stehen. Und er sagt, wie lange es typischerweise dauert, wenn sie im Auftrag eines Kunden einen IT-Einbruch organisieren, um die IT/OT-Sicherheit zu prüfen. In der Schweiz fokussiert sich die K-Businesscom unter anderem auf IT-Dienstleitungen in der Industrie.

«Cyber-Kriminelle versuchen oft über kleinere Zulieferunternehmen in die IT/OT-Systeme einzudringen.» Dipl. Ing. Roland Ambrosch, MSc, Head of Digital Factory, System Integration, K-Businesscom
«Cyber-Kriminelle versuchen oft über kleinere Zulieferunternehmen in die IT/OT-Systeme einzudringen.» Dipl. Ing. Roland Ambrosch, MSc, Head of Digital Factory, System Integration, K-Businesscom
(Bild: Gerlinde Gorla )

SMM: Industrie 4.0 ist das Schlagwort der letzten 10 Jahre in der MEM-Branche. Welche Gefahren können Netzanbindungen von Produktionsmaschinen konkret mit sich bringen?

Roland Ambrosch: Die Angriffsvektoren sind vielschichtig. Typisches Einfallstor sind Servicetechniker, die sich mit Diagnosesystemen oder einem Laptop in das Produktionssystem einloggen, um beispielsweise Wartungsarbeiten durchzuführen. Selbst ein einfacher USB-Stick kann als Einfallstor dienen. Hier können die OT-Systeme (Operational Technology: Hardware und Software, welche die Leistung physischer Geräte überwachen und steuern) kompromittiert, das heisst mit Schadsoftware infiltriert, werden.

Was bedeutet das konkret?

R. Ambrosch: Ist eine solche Software in ein Computersystem eingedrungen, kann sie gespeicherte Daten ausspähen oder manipulieren. Auch Modems oder Routing-Systeme, die eine Verbindung zu einem VPN-Gateway herstellen, sind potentiell unsichere Schnittstellen. Eine weitere Möglichkeit besteht durch aktive bewusste Spionage, wenn von aussen durch das Office-Netzwerk sich in das IT/OT-System eingeloggt wird, um in die Produktion-Softwareumgebung zu gelangen. Auch hier ist das Ziel beispielsweise, Daten zu eruieren, die für die Produktion spezifischer Komponenten von hoher Bedeutung sind. Hierbei handelt es sich um Know-how-Diebstahl. Ein dritter Aspekt ist Cyber Ransomware, hier geht es darum, in die Systeme einzudringen, sie zu verschlüsseln, die dann von den Unternehmen wieder freigekauft werden müssen, eine moderne Form der Piraterie.

Bildergalerie

In den letzten Jahren gab es vermehrt Hackerangriffe auf die produktionsnahe Infrastruktur (OT – Operational Technology). Können Sie Beispiele nennen und wo lagen aus Ihrer Sicht die Ursachen begründet, die solche Angriffe möglich machten?

R. Ambrosch: Cyberkriminelle versuchen oft, über kleinere Zulieferunternehmen in die IT/OT-Systeme einzudringen, weil die grossen Unternehmen sehr gut geschützt sind. Oft geht es bei solchen Angriffen um illegalen Technologie- und Know-how-Transfer. In der jüngeren Vergangenheit gab es in Österreich einen Cyberangriff auf einen Aerospace-Zulieferer, der «erfolgreich» gehackt wurde. Auch – bei dem auf Sicherheitstechnik spezialisierten – mittelständischen Unternehmen Pilz hatten die Monitoring-Systeme der Webserver im Oktober 2019 verdächtige Aktivitäten registriert und als Hackerangriff auf die Pilz-Systeme identifiziert. Obwohl sämtliche Netzwerke und Server des Unternehmens sofort nach Erkennen des Angriffs abgeschaltet wurden, hatten bereits Verschlüsselungs­trojaner, sogenannte Ransomware, deren Server weltweit attackiert und einen Teil der Daten verschlüsselt. Die gesamte digitale Umgebung von Pilz war für einige Tage nicht mehr zugänglich.

Was ziehen Sie aus diesen konkreten Hackerangriffen für Schlüsse?

R. Ambrosch: Solche Cyberangriffe zeigen auf, dass Cyberkriminalität immer mehr zur ernsten Bedrohung für Industrie­unternehmen wird. Es handelt sich um eine Form der organisierten Kriminalität. Solche Angriffe sind im Vorfeld oft sehr genau geplant, mit eindeutigen Zielen und ernsten Folgen für das gehackte Unternehmen.

In einem Ihrer Whitepaper heisst es, dass das Einbinden von Produktionsmitteln, wie Werkzeugmaschinen, in die firmeninterne IT-Infrastruktur aus der Perspektive der Cybersicherheit zu wenig berücksichtigt wird. Was bedeutet das genau?

R. Ambrosch: Es gibt viele Unternehmen, die spezifische Lösungen anbieten, um Maschinen mit der Cloud zu vernetzen. Diese Maschinendatenerfassungssysteme verfügen oft über ein paralleles 4G/5G-Netz, das nach aussen eine zusätzliche Verbindung auf der untersten Ebene der Produktion herstellt. Auf solchen Ebenen bestehen typischerweise keine Firewalls und keine Segmentierungen, auch keine Network-Access-Control-Systeme. Das ist das Problem. Natürlich haben solche Cloud-Lösungen für die Produktion ihren Sinn, sie sollen es dem Produktionsleiter oder Maschinenoperateuren ermöglichen, online den Status über die Produktion in Echtzeit zu vermitteln. Das heisst, die Verbindungen aus der Produktion heraus nach aussen haben eine wichtige Funktion. Das ist auch gut so, nur müssen die nach aussen offenen Systeme zwingend gesichert werden.

Können Sie das nochmals dediziert erläutern: warum sind Industriemaschinen kritisch betreffend OT-Security einzustufen?

R. Ambrosch: Die produzierenden Unternehmen entwickeln oft mit externen Spezialisten ihre eigene Security-Lösung, weil die eigentlichen Maschinen-Produzenten noch keine zentralen Security-Lösungen entwickelt haben. Hinzu kommt, dass Unternehmen oft so strukturiert sind, dass die IT und OT in unterschiedlichen Verantwortungsbereichen liegen. Die IT-Spezialisten wüssten, wie die Sicherheit generiert werden könnte, die OT-Fachleute agieren unabhängig und sind oft auch zu wenig sensibilisiert. Man hat parallel agierende OT/IT-Welten, die lediglich durch eine Firewall getrennt sind. Im Produktionsnetz hat jeder den vollen Zugriff, im OT-Bereich kann es deshalb ständig Veränderungen geben, die nicht über den meist sicheren IT-Bereich abgesichert sind. Das sind entsprechende Schwachstellen.

Die K-Businesscom AG ist unter anderem auf die Beratung von OT-Security spezialisiert. Wie läuft ein solcher Prozess ab?

R. Ambrosch: Es gibt im Prinzip zwei Handlungsebenen: Zum einen der Produzent und die zweite Ebene ist der Hersteller der Produktionsmaschinen. Aus der Sicht eines Produzenten ist es so, dass wir erst mit Assets-Scans schauen, welche Teilnehmer, welche Geräte es im OT-Netz gibt, welche Versionen vorhanden sind, was relevant ist. Wir analysieren, wie sie untereinander und nach aussen kommunizieren. Dadurch erkennen wir potentielle Schwachstellen und können die kritischen Punkte (Snapshots) eruieren. Anschlies­send werden wir sogenannte Netzwerksensoren fix installieren und überwachen. Mithilfe dieser Sensoren kann das IT- und OT-Netzwerk monatlich, wöchentlich oder auch rund um die Uhr überwacht werden. Es muss von Fall zu Fall entschieden werden, welche Reporting-Intervalle zielführend sind. Diese Monitoringsysteme erkennen Anomalien, das heisst, wenn etwas nicht der Regel entspricht. Aus der Sicht der Maschinenbauer entwickeln wir für die Maschinen in Produktionen Lösungen, die leicht handhabbar sind. Hier erarbeiten wir Anlagen­strukturen und Netzwerke und entwickeln auch entsprechende Hardwarekomponenten, die für die Anlagen und Netzwerke und die Produktionsstruktur ideal angepasst sind.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sie sprachen oben bereits an, dass grössere Unternehmen bereits gut abgesichert seien, welche Unterschiede machen Sie zwischen KMU und Grosskunden?

R. Ambrosch: Grosskunden setzen typischerweise auf ein 7-Tage/24-Stunden-Monitoring. Bei diesem Monitoringkonzept überwachen wir das Netzwerk konsequent rund um die Uhr, womit sich die Unternehmen auf einer sehr sicheren Seite betreffend IT/OT-Sicherheit positionieren. Wenn wir im Rahmen des Monitorings auffällige Aktivitäten erkennen, können und müssen wir unmittelbar aktiv werden. Hilfreich ist es, wenn mehrere Netzwerke parallel verglichen werden, um spezifische parallel auftretende Auffälligkeiten zu erkennen. Meist kann man dann sicher von einem Hackerangriff ausgehen und entsprechend proaktiv reagieren. Das machen wir bei 7/24-Monitoring. Für kleinere Unternehmen (KMU) überwachen wir auch laufend, aber machen das Screening einmal pro Woche oder Monat und prüfen, ob Auffälligkeiten aufgetreten sind. Bei KMU ändert sich das Netzwerk nicht ganz so stark, so dass ein wöchentliches Screening in vielen Fällen bereits ausreichend sicher ist.

Wie verläuft ein professionelles OT-Monitoring und über welchen Zeitraum reden wir da?

R. Ambrosch: Ein erster sogenannter Industriescan dauert wenige Tage inklusive Vorbereitung, je nach Komplexität und IT/OT-Ausstattung des Unternehmens. Mit einem ersten Scan erkennen wir, welche Geräte es gibt, und können erste Schwachstellen der Systeme eruieren. Von Vorteil ist es, wenn es eine Netzwerk-Infrastruktur gibt, die bereits Daten aufzeichnen kann. Im Rahmen dieses Industriescans führen wir wöchentliche Besprechungen mit allen Verantwortlichen durch. Hier versuchen wir, Transparenz zu schaffen, welche Schwachstellen sich in der Systemlandschaft befinden und wie sie sich beheben lassen. Das ist ein sehr lösungs­orientierter Ansatz. Viele Unternehmen, die glauben, dass sie 200 Geräte mit OT-Zugang haben, haben meist das Doppelte an OT-Systemen. Der erste Scan ist oft ein Aha-Erlebnis für unsere Auftrag­geber, da beispielsweise HMIs nicht in Betracht gezogen wurden.

Wie sicher ist ein Security-Monitoring?

R. Ambrosch: 100 Prozent Sicherheit gibt es nicht: Aber mit unserem Monitoring ist ein Unternehmen auf der prozesssichereren Seite. Wir entwickeln Monitoring-Systeme auch für kritische Infrastrukturen wie Banken. Hier werden allerhöchste Standards im Bereich der Security verlangt. Entsprechend sind wir auch für die Industrie aufgestellt. Zur Einordnung unserer Standards: Wir sind NIST-akkreditiert und dürfen NIST-Audits durchführen (National Institute of Standards and Technology, Bundesbehörde der Vereinigten Staaten), einem der höchsten Standards in Sachen IT-Sicherheit.

Wie viele Prozent der Industrieunternehmen verfügen bereits über Monitoring?

R. Ambrosch: In vielen KMU wird die Cybersicherheit im OT-Bereich zu wenig in den Fokus gerückt. Aufgrund von Hackerangriffen auf bekannte mittelständische Unternehmen wie Pilz erhält die Cybersicherheit aktuell mehr Aufmerksamkeit. Der Fahrzeugvermieter Sixt wurde Ende April angegriffen. Solche Meldungen sensibilisieren. Nicht zuletzt aufgrund der neuen Situation (Russland-Ukraine-Konflikt) kann zukünftig von einer erheblichen Steigerung von Cyberangriffen aus dem Ausland ausgegangen werden. Zum einen, um an wichtige Daten zu kommen, oder einfach nur um die Produktion stillzulegen, um Lösegelder freizupressen.

Über welche Möglichkeiten verfügen Unternehmen, um zu prüfen, wie sicher ihre IT/OT-Sicherheitsstruktur ist?

R. Ambrosch: Wie gesagt, können wir über Asset-Scans relativ schnell einen Überblick über die Systemsicherheit verschaffen. Wir können aber auch einen Einbruch «simulieren». Das heisst, wir machen im Auftrag von Unternehmen IT/OT-Einbrüche in deren Netzwerk. Dabei geht es konkret darum, deren IT/OT-Sicherheit auszuloten. Wir benötigen oft nur 15 Minuten, um Administratorenrechte zu erhalten. Bei gut gesicherten Unternehmen benötigen wir circa zwei Stunden. Aber dann sind wir drin. SMM

(ID:48267443)