Cyber-Sicherheit in der Fertigung: Das raten die Experten

Wettbewerbsdruck, heterogene Maschinenparks, neue Vernetzungstechnologien, Künstliche Intelligenz und eine wachsende Zahl gerichteter und ungerichteter Angriffsversuche auch im Maschinenbau: Gerade Fertigungsunternehmen, deren Kerngeschäft eben nicht die IT ist, stoßen an ihre Grenzen wenn es um Cyber-Sicherheit geht. Natürlich kennen die Unternehmen die Systeme, die physisch in ihren Werkshallen laufen.

Aber welche IT-Dienste und Software laufen auf den Anlagen und welche davon sind besonders kritisch und schützenswert? Wo lauern IT-Security-Schwachstellen? Wir haben neun Experten gefragt, was sie insbesondere mittelständischen Unternehmen raten.

Fragen zur Cyber-Sicherheit an die Experten

1. Wie schützen Mittelständler ihre Anlagen richtig?
2. Was sind die größten Fehler, die mittelständische Fertigungsunternehmen beim Thema Cyber-Sicherheit vermeiden sollten?
3. Lassen sich KI-Anwendungen im Fertigungs­umfeld bereits sicher betreiben?

1. Eine Netzsegmentierung, bei dem unterschiedliche Security-Schutzmaßnahmen mehrschichtig um einzelne Systembereiche aufgebaut sind, bildet die technische Grundlage eines Security-Konzeptes nach dem Stand der Technik. Das ist aber nur die halbe Miete, denn das schützt lediglich vor Angriffen von außen. Schadsoftware die über USB, eine Phishing-Mail, einen Fernwartungszugriff oder ein kompromittiertes Partnernetz eingedrungen ist, öffnet dem Hacker Tür und Tor. Dann ist es wichtig, den Vorfall möglichst schnell zu erkennen, um dem Angriff entgegenzuwirken. Dies gelingt nur mit einem Security-Monitoring, das die Kommunikation der internen Systeme kontinuierlich überwacht, Anomalien sofort erkennt und die Mitarbeiter alarmiert. Je frühzeitiger der Angriff erkannt wird, desto geringer ist das Schadensausmaß.

2. Es werden häufig Einzelmaßnahmen ohne ein durchgängiges Security-Konzept implementiert. Denn dieses erfordert zunächst eine Risikoanalyse, um zielgerichtet Maßnahmen zu initiieren. Bereits an dieser scheitern viele Unternehmen, da sie nicht wissen, was sie aktuell in der OT-Infrastruktur alles an Systemen einsetzen. Eine goldene Regel: Nur was man kennt, kann man schützen. Außerdem kennen die Verantwortlichen oft nicht die Qualität der Netzverbindungen, so dass es zu sporadischen Ausfällen kommt, deren Ursachen unbekannt sind. Die Verfügbarkeit der Fertigung ist damit gefährdet. Ein kontinuierliches Monitoring kann jedoch die Netzstabilität deutlich erhöhen.

3. Das Entscheidende beim Einsatz von KI ist die Nachvollziehbarkeit der mit ihr erzielten Ergebnisse. Grundsätzlich hilft sie bei der Komprimierung von Massendaten und deren Beurteilung. Dazu ist es wichtig, dass die von einer KI getroffenen Teilentscheidungen von den Fachleuten vor ihrer Weiterverarbeitung – auch innerhalb der KI – geprüft und freigegeben werden.

1. Mittelständler sollten einen mehrstufigen Sicherheitsansatz nutzen. Eine Endpoint-Detection-und-Response-Lösung (EDR) ist ein guter Einstieg für eine Grundabsicherung der IT und sie überwacht gleichzeitig die Parameter industrieller Steuerungen. Kaspersky berät zu Konzepten und Zertifizierungen bestehender industrieller Infrastrukturen. Zudem ist es wichtig, Mitarbeiter regelmäßig zu Cyber-Sicherheit zu schulen und Software, Betriebssysteme sowie Sicherheitslösungen immer auf dem aktuellen Stand zu halten. Des Weiteren sollten regelmäßig Backups erfolgen, um im Notfall schnell auf diese zurückgreifen zu können.

2. Auch im Mittelstand ist Digitalisierung und Automatisierung auf dem Vormarsch. Leider wird bei den neuen Konzepten nicht immer von Anfang an die Security gedacht und es mangelt oft an der nötigen Kompetenz in diesem Bereich. Wichtig ist, die Vernetzung von Standorten oder auch Integration von OT auf Basis eines Stufenplans zu realisieren. Erstens: Bestandsaufnahme der Assets: Was benötigt den größten Schutz? Wo ist ein Angriff am Wahrscheinlichsten? Zweitens: Implementierung eines Cybersicherheitsmanagements mit einem 24/7-Monitoring. Hat mein Fachpersonal dazu die nötige Kompetenz und Kapazität? Eine Lösung kann ein externer Managed-Detection-and-Response-Ansatz sein (MDR). Mit MDR als ausgelagertes Security Operations Center benötigt das interne Teams keine speziellen Fähigkeiten für Bedrohungserkennung und Vorfallanalyse in der klassischen IT sowie in den vernetzten OT-Systeme in der Produktion.

3. Vor dem Einsatz von KI-Anwendungen sollte immer deren Sicherheit evaluiert werden. Transparenz zu wesentlichen Sicherheitslücken in der Software sowie zu verfügbaren Updates ist wie bei klassischen IT-Systeme essentiell. Die Unternehmen müssen sich potenzieller Risiken bewusst sein. Durch den Einsatz geeigneter Cybersicherheitslösungen, die den Netzverkehr analysieren, können Angriffe auf KI-Systeme jedoch erkannt und verhindert werden.

Sensibilisierung und Aufklärung sind das A und O

1. Hier sind verschiedene Ansätze notwendig. Ein Ansatz beinhaltet den technischen Gedanken, der zweite sind die Mitarbeiter und deren Sensibilisierung für IT-Sicherheit. Besonders im Mittelstand muss die Geschäftsleitung involviert sein und frühzeitig einen IT-Sicherheitsbeauftragten benennen. Dieser muss den aktuellen Zustand der Umgebung analysieren, IT-Sicherheitsprozesse etablieren und kontinuierlich überprüfen. Hierzu gehört nicht nur die Sensibilisierung der Mitarbeiter, die immer noch für einen Großteil der Sicherheitsvorfälle verantwortlich sind, sondern auch die Überprüfung von Fernwartungsumgebungen, das Patchen oder anderweitige Absichern der eingesetzten Systeme und die Etablierung eines Notfallmanagements.

2. Der größte zu vermeidende Fehler ist, sich darauf zu verlassen, dass im eigenen Unternehmen nichts passieren wird. Im Zuge der Digitalisierung und der Vernetzung von Umgebungen werden die Einfallstore für Cyberangriffe größer. Daher muss eine Sicherheitsstrategie entwickelt werden, die vom Unternehmen auch umsetzbar ist.

3. Es ist auf jeden Fall wichtig, sich mit der KI-Thematik frühzeitig zu beschäftigen. Sie ist ein wichtiger Baustein, um Unternehmen in Deutschland wettbewerbsfähig zu halten. Der Markt bietet genügend Lösungen, um Umgebungen sicher zu betreiben. Grundlegend ist hierbei, die Security bereits im Aufbau der Umgebung mit zu betrachten, nicht erst im Nachgang, wenn Prozesse bereits etabliert sind. Wegen der benötigten Rechenleistung werden KI-Anwendungen aus der Cloud betrieben. So sind Themen wie MFA, also der gesicherte Zugriff auf die Cloudumgebung, Cloud Security Posture Managament, das regelmäßige Überprüfen der Umgebung auf Compliance und Container Security zu berücksichtigen.

1. Schützen kann man bekanntlich nur, was man auch sehen kann und versteht. Wir erfahren von unseren Kunden immer wieder, dass sie die eigene Automatisierungstechnik als Blackbox wahrnehmen. In der Regel erhalten sie durch unser industrielles Netzwerkmonitoring und das vorangehende Industrie-4.0-Stabilitäts-und-Sicherheitsaudit erstmals Klarheit darüber, was in ihrer Automatisierungstechnik passiert, welche Schwachstellen existieren und welche schädlichen Veränderungen stattfinden. Das legt die Basis für ein durchgängiges Asset Detection und Inventory sowie die kontinuierliche Risikoüberwachung.

2. Oft werden Maßnahmen und Technologien aus der IT-Sicherheit einfach auf die Automatisierungstechnik übertragen. Das ist jedoch, Äpfel mit Birnen zu vergleichen. In der Fertigung herrschen andere Anforderungen an die Netzwerktechnologien. Stabilität, Echtzeitprozesse und Kontinuität kommen beispielsweise vor Datenschutz und Datensicherheit. Auch herrschen andere technologische Rahmenbedingungen. Es kommen andere Protokolle zum Einsatz und die Kommunikationsmuster sind stark zyklisch sowie vorhersehbar, was zum Beispiel den Einsatz einer Anomalieerkennung höchst sinnvoll und effizient macht.

3. Die meisten KI-Applikationen weisen noch sehr rudimentäre Fähigkeiten auf. Die größte Gefahr liegt dennoch in der fehlenden Nachvollziehbarkeit der oft als Blackbox geführten Drittanbieter-Lösungen, was mitunter die Prozessstabilität gefährdet. Deshalb sollten sie wie alle anderen Komponenten kontinuierlich überwacht werden, um Veränderungen im Verhalten in Echtzeit erkennen, bewerten und darauf reagieren zu können.

Cyber-Sicherheit: Unsere Fragen an die Experten

1. Wie schützen Mittelständler ihre Anlagen richtig?
2. Was sind die größten Fehler, die mittelständische Fertigungsunternehmen beim Thema Cyber-Sicherheit vermeiden sollten?
3. Lassen sich KI-Anwendungen im Fertigungs­umfeld bereits sicher betreiben?

1. Einfache Maßnahmen können bereits einen großen Beitrag leisten. Beispielsweise sollte eine Anlage niemals ungeschützt mit dem Internet verbunden werden. Darüber hinaus ist zu Beginn eine Bestandsaufnahme empfehlenswert: Warum möchte ich meine Produktion digitalisieren? Welche Maschinen sollen vernetzt werden und welche Besonderheiten gibt es? Die Anlagen werden erfasst und nach möglichen Sicherheitsrisiken beziehungsweise technischen Problemen kategorisiert. Daraus lassen sich individuelle Maßnahmen für das Unternehmen ableiten. Grundsätzlich erfordert Digitalisierung Flexibilität im Langzeitbetrieb. Daher sind speziell dafür entwickelte Produkte wie Secunet Edge so wichtig.

2. Systeme undokumentiert zu vernetzen und nicht zu überwachen, ist ebenso problematisch wie die Nutzung von Diensten auf den Anlagen, die nicht für den eigentlichen Betrieb notwendig sind. Das sind typische Einfallstore für Cyber-Kriminelle. Die Anlagen selbst besitzen meistens keine IT-Security-Systeme, sind mitunter schon älter und nur selten gepatched. Hier helfen Retrofit-Produkte wie Secunet Edge, die Sichtbarkeit der angreifbaren Anlagen auf das Minimum zu reduzieren und diese mit einer integrierten Protokoll-Übersetzung sicher kommunizieren zu lassen.

3. In diesem Einsatzbereich wird aktuell viel experimentiert. Speziell KI-Anwendungen sollten aber nur auf Trusted Computing-Systemen betrieben werden. Das reicht von einer vertrauenswürdigen Hardware inklusive CPU und Grafikprozessor über das Betriebssystem bis hin zur Laufzeitumgebung und Virtualisierung. Nur so kann garantiert werden, dass auch die Ergebnisse entsprechend sicher sind.

1. Ein wirksamer Schutz setzt voraus, dass man die Cyber-Bedrohungen und Risiken kennt und richtig einschätzt. Daher ist der erste Schritt, ein Security Assessment durchzuführen. Diese beinhalten eine ganzheitliche Analyse möglicher Bedrohungen und Schwachstellen, die Identifizierung von Risiken und Empfehlungen zur Schließung identifizierter Sicherheitslücken. Die Sicherheitsmaßnahmen sollten nach dem „Defense-in-Depth-Prinzip“ – sprich: mehrschichtige Verteidigung – implementiert werden, wie sie auch von der führenden Norm IEC 62443 für Cyber-Sicherheit in industriellen Anlagen empfohlen wird.

2. Oft werden Cyber-Bedrohungen noch unterschätzt oder man glaubt nicht im Fokus von Cyber-Attacken zu stehen. Wie aber bekannt gewordene Sicherheitsvorfälle der letzten Jahre zeigen, erfolgen viele Angriffe ungerichtet und können jeden treffen. Ein gutes Beispiel hierfür sind die Verschlüsselungs-Trojaner, wie beispielsweise Wannacry, die auch viele Industrieunternehmen getroffen haben und dort die Fertigung zum Erliegen gebracht haben. Der größte Fehler ist nicht vorbereitet zu sein. Das bedeutet auch seine Daten als Back-up zu sichern, um selbst bei erfolgreichen Angriffen schnell wieder handlungsfähig zu sein.

3. Es gelten bei KI-Anwendungen die gleichen Safety-Anforderungen auch wie bei Nicht-KI-Lösungen. Wenn es zu einer Fehlfunktion kommt, muss gewährleistet sein, dass es sicher abgeschaltet wird und kein Schaden entsteht. Aber die KI ist zweifellos auf dem Vormarsch und solche Anwendungen werden bereits heute erprobt. Im Security-Umfeld wird der KI-basierten Angriffserkennung sogar das größte Potenzial zugeschrieben. Diese sollte in der Lage sein Angriffe schneller zu erkennen und Fehlalarme vermeiden helfen.

Risiken erkennen und Prozesse optimieren

1. Im Zentrum der Sicherheitsstrategie steht eine fundierte Risikoanalyse beziehungsweise -beurteilung: Dafür ist eine vollständige Inventur der Geräte inklusive Softwarestand und Kommunikationsbeziehungen (intern wie extern) notwendig und bildet die Basis für die Risikobeurteilung und Entscheidungen über Minderungsmaßnahmen. Diese müssen nicht zwingend technologisch sein, sondern können auch organisatorischer oder personeller Natur sein. In der Praxis wird dieser Risikoprozess leider oft übersprungen und durch rein technische Lösungen ersetzt. So werden viele Einfallstore übersehen.

2. Der größte Fehler ist die Haltung „Bisher ist noch nichts passiert! Wer sollte mich schon angreifen?“ Anders ausgedrückt: Eine unrealistische Einschätzung der Eintrittswahrscheinlichkeit beziehungsweise der Motivation der Angreifer. Heutige Angriffe sind „Massenangriffe“ auf bestimmte Zielgruppen – zum Beispiel „Fertigung“. Im Fall eines erfolgreichen Angriffs können sich Kriminelle der Lösegeldzahlung sehr sicher sein, da der Druck, die Produktion wieder zum Laufen zu bringen, eine hohe „Zahlungsmoral“ der Opfer bedingt. Deshalb ist eine realistische Risikoabschätzung unabdingbar.

3. Die Effizienz von KI-Anwendungen ist direkt von der Quantität, Qualität und Integrität der zum Lernen genutzten Daten abhängig. Insbesondere die Integrität kann dabei durch Dritte (von außen) verletzt werden. Haben die Ergebnisse direkten Einfluss auf die Produktion, erhöht sich auch die Schadenswahrscheinlichkeit. Eine Option ist beispielsweise die Simulation mit digitalen Zwillingen vor dem Produktiveinsatz. Daher ist auch beim Einsatz von KI ein Risikoprozess die Grundlage aller Sicherheitsentscheidungen.

1. Phishing und Social Engineering, Schadprogramme/Ransomware und DNS-basierte Denial-of-Service-Angriffe sind die größten Bedrohungen der Cyber-Sicherheit für Abläufe in OT-Umgebungen. Wichtig ist hier, seine Systeme sowie den ein- und ausgehenden Datenverkehr vollständig zu analysieren und festzuhalten, wo überall Informationen und Daten ausgetauscht werden. Nur so kann man feststellen, wo es möglicherweise Sicherheitslücken gibt und diese, gemeinsam mit Experten, nachhaltig schließen.

2. Ein Beispiel ist der Leitstand in der Produktion, der für die Cyber-Sicherheit in einem Industrieunternehmen verantwortlich ist. Der Leitstand muss unbedingt, das Lagebild überwachen sowie Angriffe erkennen und bewerten. Ein großer Fehler wäre es, einen sich anbahnenden Angriff nicht rechtzeitig zu erkennen und kompensierende Gegenmaßnahmen einzuleiten. Vermeiden sollte man im Angriffsfall, die Auswirkungen auf Cyber-Sicherheit und funktionale Sicherheit getrennt voneinander zu betrachten und zu bewerten. In Notfallsituationen können ansonsten keine definierten Abläufe zum Schutz des Unternehmens greifen.

3. Eine intelligente Fabrik besteht aus digitalisierten Prozessen und sogenannten Cyber-Physical-Systems mit einem hohem Vernetzungsgrad. Dies ermöglicht die Analyse großer Datenmengen entlang der gesamten Wertschöpfungskette. Anwendungsfälle gehen bereits schon jetzt über einen reinen Predictive-Maintenance-Ansatz hinaus. Eine automatische Prozessoptimierung bis hin zu einer KI-gesteuerten Einflussnahme auf Produktionsparameter stellen zunehmend den aktuellen Stand der Technik dar. Daher müssen hier die gleichen Maßstäbe gelten, wie bereits beschrieben.

1. Hier gibt es im Prinzip zwei Lösungsansätze: Die erste Adresse für quasi Neueinsteiger zum Thema unternehmensübergreifende Kommunikation ist die Plattform Industrie 4.0. Als zweite Adresse sind wir dann schon bei der Anwendung von internationalen Normen. Allen voran die ISO 27001 für den Bereich der IT und die IEC 62443 für den Bereich der Produktion. Das Pärchen adressiert das Thema IT Security ganzheitlich, deckt also Technik, Mensch und Organisation ab. Beide setzen derzeit den Security Benchmark schlechthin.

2. Leichtfertigkeit. Dies liegt leider in der Natur der Sache. Auf der einen Seite steht der Betreiber und auf der anderen Seite der starke Wettbewerb. Kostendruck und die Suche nach „plakativen“ Wettbewerbsvorteilen beispielsweise durch massive Integration neuster Kommunikations- und Cloudtechnologien sind die Folge. Diese neuen Technologien gepaart mit der zunehmenden Vernetzung bergen aber eben Risiken mit Blick auf die IT Security. Das unterschätzen noch viele Maschinenbauer. Ein schlüssiges und vor allem wirtschaftlich tragfähiges Security Konzept ist am Ende doch mit erheblichem Aufwand verbunden.

3. Grundsätzlich steckt die KI im industriellen Umfeld noch in den Kinderschuhen. Erste Anwendungen existieren, aber von einem großflächigen Einsatz kann keine Rede sein. Von daher sind Bedenken bei der Cyber-Sicherheit sicher noch kein Thema, da die meisten Anwendungen wohl eher von einem Pilotcharakter geprägt sind. Ferner wird das Risikopotential dieser Piloten aus Sicht des anwendenden Unternehmens eher gering sein. Trotzdem ist es sinnvoll, IT-Security-Anforderungen in der weiteren Entwicklung einzubeziehen. Tipps hinsichtlich „KI und Security“ stellt auch hierfür die Plattform I4.0 bereit.

Die Fragen stellte Jan Bihn, Redakteur Digital Manufacturing.

Lesen Sie auch: Tipps für die sichere Instandhaltung: So erkennt und minimiert man Gefährdungen