Schutz gegen Cyberattacken – 8 Experten über IT-Security in der Produktion

In jüngster Vergangenheit gab es einen deutlichen Anstieg erfolgreicher Angriffe auf die Produktionsanlagen deutscher Maschinen- und Anlagenbauer. Welchen Schutz gegen Cyberattacken gibt es und wie können Mitarbeiter erfolgreich dafür sensibilisiert werden, erläutern acht Security-Experten.

Fragen an die 8 Experten zu Schutz gegen Cyberattacken:

1. Mit der zunehmenden Digitalisierung der Industrie und ihrer Vernetzung wächst das Bedrohungspotenzial von Cyber-Attacken deutlich. Wie können sich Produktionsunternehmen dagegen wirkungsvoll schützen? 

2. Welche Rolle spielen die Mitarbeiter beim Thema Cyber-Sicherheit und wie können Unternehmen diese trainieren?

3. Wie können Unternehmen ein Maximum an Sicherheit in ihre Industrie-4.0-Systeme integrieren?

„Der Schutz gegen Cyberattacken muss mehrstufig sein – die Kombination aus Technologie und Mensch ist entscheidend“

1. Da mit der zunehmenden Vernetzung auch die Angriffsfläche größer wird, müssen mehrere Punkte bedacht werden. Erstens müssen alle Betriebssysteme und Anwendungsprogramme regelmäßig aktualisiert werden. Zweitens sollte man ­Sicherheitsupdates für alle Geräte immer sofort einspielen. Drittens muss man den Netzwerkverkehr auf Ports und Protokolle, die auf Edge-Routern und innerhalb der OT-Netzwerke (OT = Betriebstechnologie) der Organisation zum Einsatz kommen, beschränken. Viertens sollte man die Zugriffskontrolle für ICS-Komponenten (ICS = Industrial Control Systems) im industriellen Netzwerk des Unternehmens und an dessen Grenzen überprüfen. Fünftens empfehlen wir den Einsatz einer Schutzlösung auf ICS-Servern, Workstations und HMIs für die Überwachung, Analyse und Erkennung des Netzwerkverkehrs. Eine solche Lösung ist beispielsweise Kaspersky Industrial CyberSecurity. Damit lässt sich das Netzwerk vor zufälligen Malware-Infektionen und dedizierten industriellen Bedrohungen schützen. Und zuletzt ist es wichtig, alle Mitarbeiter, Partner und Lieferanten, die Zugang zum Netzwerk haben, entsprechend zu schulen.

2. Viele Sicherheitsvorfälle sind auf Mitarbeiter zurückzuführen. Denn klickt ein Mitarbeiter auf einen infizierten ­E-Mail-Anhang oder gibt seine Daten auf einer Phishing-Seite ein, kann auch eine Sicherheitslösung nicht helfen. Daher sollten alle Beteiligten – egal, ob sie in der Produktion oder im Back-Office arbeiten – in Sachen Cyber-Sicherheit regel­mäßig geschult werden. Am erfolgversprechendsten sind automatisierte Online-Services, die eine Kombination aus Micro-Learning, verschiedenen Kursformaten und einer kontinuierlichen Vertiefung bieten. Dabei sollten sie individuell auf die Mitarbeiter zugeschnitten sein.

3. Der Schutz muss mehrstufig sein; die Kombination aus Technologie und Mensch ist entscheidend: Die Verwendung einer dedizierten Sicherheitslösung für ICS-Infrastrukturen ist unabdingbar; sie schützt sowohl vor generischer Malware als auch vor zielgerichteten Angriffen. Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig in Sachen Sicherheit schulen.

„Die IT-Sicherheit hängt sehr stark an den Mitarbeitern.“

1. Zuerst müssen organisatorische Maßnahmen getroffen werden, da jede rein technische Lösung irgendwann veraltet. Für einen wirksamen Schutz benötigt man einen IT-Sicherheitsbeauftragten mit genügend Befugnissen. Deshalb sollte dieser direkt unter dem Chef angesiedelt sein. Außerdem empfehle ich, regelmäßig externe Hilfe in Anspruch zu nehmen, etwa Penetration Testing oder eine Sicherheitsberatung. Zusätzlich sollte man sparsam vernetzen. Denn: Nicht jede Vernetzung macht Sinn, aber jede Vernetzung bietet neue Angriffswege.
Der Schutz von vernetzten Produktionsanlagen ist technisch gesehen schwierig und komplex. Schließlich hat man Sicherheits- und Realzeitanforderungen, die im Konflikt stehen können. Und Office-­Lösungen sind nicht direkt übertragbar.

2. Die IT-Sicherheit hängt sehr stark an den Mitarbeitern. Man kann Sicherheitsmaßnahmen nicht ernst nehmen oder sie sogar umgehen, beispielsweise aus Bequemlichkeit. Wichtige Maßnahmen sind ein IT-Sicherheitsbeauftragter, der sich verantwortlich fühlt, sowie Security-­Awareness-Maßnahmen. Über die Zeit verlieren Awareness-Maß­nahmen an Wirkung, daher kann es von Vorteil sein, sich diese „frisch“ von extern einzuholen. Außerdem muss sich die Usability von Sicherheitsprodukten verbessern. Das würde den Mitarbeitern sehr helfen.

3. Ein Maximum an Sicherheit ist nicht das Ziel, sonst wäre die Lösung einfach. Denn: Das Maximum wäre gar keine Vernetzung. Was wir brauchen, ist das richtige Maß an Sicherheit. Die ökonomischen Vorteile der Vernetzung sollten deutlich größer sein als das mit der Vernetzung verbundene Risiko. Ich halte die Frage, wie man IT-Sicherheitsrisiken quantitativ abschätzen kann, daher für die zentrale Frage in der IT-Sicherheitsforschung. 

„Eine lose Kopplung zwischen IT und OT ist unerlässlich!“

1. Neben Verschlüsselung, sicherer Fernwartung und der Identifizierung aller kritischen Assets im Produktionsnetz, ist eine kontinuierliche Überwachung der Kommunikation sinnvoll. Dadurch lassen sich Anomalien erkennen und unterbinden. Weiterhin sollten Shopfloor-Akteure nicht direkt mit überlagerten IT-Systemen (Topfloor), Clouds oder gar externen Stake­holdern kommunizieren. Vielmehr ist hier eine zentrale Komponente essenziell, die die OT sicher und dediziert mit der IT und externen Stellen verbindet. Dabei ist es wichtig, dass nur die notwendige Menge an Daten an genau das System gehen, für das sie gedacht sind.

2. Die Mitarbeiter spielen eine Schlüsselrolle. Unternehmen sind hier in der Pflicht, Awareness für Cyber-Sicherheit zu schaffen und für das Thema zu sensibilisieren. Dabei sollten sie früh mit Angriffen und potenziellen Schäden konfrontiert werden, um das entsprechende Mindset aufzubauen.
Auch ein grundlegendes Verständnis zwischen den verschiedenen Gruppen von IT- und OT-Mitarbeitern muss vorhanden sein.

3. Dies lässt sich durch ein ganzheitliches und durchgängiges Security-Konzept erreichen. Beginnend bei zentralen Komponenten, Gateways, Firewalls über VPN und IDS/IPS, sollten Industrie-4.0-Systeme nach dem Security-by-Design-­Ansatz entwickelt werden. Darüber hinaus sollten Produktionsnetze in sogenannte IIoT-Inseln segmentiert werden. Mögliche Angriffe lassen sich so schnell isolieren.
Außerdem ist eine lose Kopplung zwischen IT und OT unerlässlich, wie ich es bereits in der Antwort 1 erläutert habe. Zu guter Letzt darf der Faktor Mensch nicht außer Acht gelassen werden. Unternehmen müssen ihre Mitarbeiter schulen und auf potenzielle Gefahren hinweisen. Dazu gehört auch die Unternehmensorganisation. Silodenken war gestern.

„Zum Schutz gegen Cyberattacken muss der Betreiber seine Produktionsanlage verstehen“

1. Hier sind zwei Ziele zu verfolgen: die Limitierung möglicher Schäden, zum Beispiel durch gute Backups, oder die Begrenzung eines Angriffs durch Netzsegmentierung. Letzteres erweist sich als guter Ansatz für das zweite Ziel: die Reduzierung der Angriffsfläche. Dafür muss der Betreiber seine Produktionsanlage verstehen: Wo läuft welche Software? Und wer kommuniziert mit wem und wozu? Deshalb sollten Zugriffsmöglichkeiten auf das Notwendige beschränkt werden. Komponenten und Systeme mit guten Security-Eigenschaften helfen hier weiter, man muss sie aber richtig einsetzen.

2. Viele Angriffe sind ohne die (unfreiwillige) Unterstützung der Mitarbeiter nicht möglich. Denn zahlreiche Angriffspfade führen über verseuchte Mailanhänge, Webseiten oder USB-Sticks. Die strikte Trennung von dienstlicher und privater Nutzung reduziert die Angriffsfläche auch an dieser Stelle. Die Mitarbeiter hier mitzunehmen, erweist sich als Herausforderung für die Unternehmenskultur.

3. Security muss von Anfang an berücksichtigt und laufend gepflegt werden. Das erfordert Fachwissen und Bewusstsein auf allen Ebenen des Produktionsunternehmens. Dabei sind zahlreiche Fragen zu klären: Was ist wichtig und schützenswert? Dadurch ergeben sich Anforderungen an die Schutz­mechanismen der Automatisierungslösung und der Komponenten. Oder verfügen die Anbieter über Security-Prozesse und bieten sie langfristige Pflege und Hilfestellung bei Security-Fragen an? Die ­Security muss dann durch Prozesse unterstützt werden. Sind die Berechtigungen aktuell und nicht mehr notwendige Zugänge gesperrt? Sind Schutzmaßnahmen wie Firewalls und Virenscanner auf dem neusten Stand und richtig eingestellt? Und gibt es Schwachstellen, die man durch Updates oder andere Gegenmaßnahmen schließen muss?

„Für einen wirkungsvollen Schutz gegen Cyberattacken benötigt man ein Gesamtkonzept, das alle wesentlichen Bedrohungen abdeckt!“

1 Hier geht es um mehr, als nur Einzelmaßnahmen zu definieren. Für einen wirkungsvollen Schutz benötigt man ein Gesamtkonzept, das alle wesentlichen Bedrohungen abdeckt. Das geht nur über einen ganzheitlichen Ansatz. ­Siemens empfiehlt eine mehrschichtige Verteidigung, die Netzwerksicherheit, Integrität der Automatisierungssysteme und Security-Monitoring-Maßnahmen beinhaltet. Der erste Schritt muss aber immer eine Risikoanalyse sein, zur Bewertung der Risiken und effektiven Bestimmung der Maßnahmen.

2. Analysen und Studien von erfolgreichen Angriffen zeigen, dass in den meisten Fällen Phishing-E-Mails und Social Engineering eine wichtige Rolle gespielt haben. Diese nutzen die Arglosigkeit der Mitarbeiter aus, um so an wertvolle Informationen zu gelangen oder Schadsoftware einzuspielen, um dann die Angriffe erfolgreich weiter zu führen. Daher sind Bewusstseinsbildung und Schulung der Mitarbeiter ein unverzichtbarer Bestandteil jedes Security-Konzeptes. Security ist immer nur so stark wie ihr schwächstes Glied, und das sind oft die eigenen Mitarbeiter.

3. Das Ziel sollte nicht ein Maximum, sondern ein Optimum an Sicherheit sein. Eine hundertprozentige Sicherheit ist utopisch und damit auch ein Maximum, das in der Stringenz weder bezahlbar noch bedienbar wäre. Sicherheitsexperten sprechen davon, dass sich mit 20 Prozent Aufwand 80 Prozent Sicherheit erreichen lässt. Je näher man der 100-Prozent-Marke kommen will, desto mehr steigt der Aufwand. Hier gilt es, die richtige Balance zu finden, bis nur noch ein vertretbares Restrisiko vorhanden ist. Konkret heißt das: Auch Hersteller von Automatisierungssystemen sollten für ihre Produkte Risiko-Analysen durchführen, unter Berücksichtigung der ­beabsichtigten Nutzung. Darauf basierend können sie dann die erforderlichen Security-Maßnahmen und Eigenschaften für ihre Produkte festlegen.

Schutz gegen Cyberattacken: Mitarbeiter in Unternehmen sind das schwächste Glied in der Abwehrkette

1. Wichtigste Hürden sind die Veränderung der Organisationsstrukturen und die Definition von Verantwortlichkeiten. Fachbereiche in der Produktion verfolgen primär Ziele hinsichtlich kosten­optimierter Produktionsprozesse unter Berücksichtigung von Betriebssicherheit und Qualität. Cyber-Security kommt als komplexes Thema mit hoher Bedeutung hinzu. Produktionsabteilungen werden zunehmend die fachliche Verantwortung für die Absicherungen von Anlagen gegen Cyber-Angriffe übernehmen. Die Verschmelzung von OT und IT muss deshalb auf Governance- und Management-Ebene unterstützt, gesteuert und beschleunigt werden.

2. Cyber-Sicherheit fängt beim Menschen an. Zum einen sind Menschen von Cyber-Angriffen betroffen, zum anderen sind Mitarbeiterinnen und Mitarbeiter in Unternehmen das schwächste Glied in der Abwehrkette – und damit das initiale Einfallstor. Deshalb ist die Durchführung von nachhaltigen Awareness-Trainings eine Herausforderung. Die Unternehmen müssen ihren Mitarbeitern die Gefahren durch Cyber-Angriffe praktisch und relevant vermitteln, zum Beispiel durch Spiele mit einem privaten Bezug.

3. Durch die Digitalisierung von Produktionsprozessen und deren Vernetzung gibt es keine hundertprozentige Cyber-Sicherheit. Dies wirkt sich zunehmend auch auf die funktionale ­Sicherheit aus. Unternehmen müssen das Zielniveau der Sicherheit definieren und Investitionen in Maßnahmen risiko­basiert vornehmen. Nur so lassen sich Produktionsausfälle mit der Gefährdung von Mensch und Umwelt vermeiden.

„Wir betrachten beim Thema IT-­Security immer das Dreieck aus Menschen, Prozessen und Technologien“

1. Die immer stärkere Vernetzung von IT und OT, also von operativen Systemen, stellt Produktionsunternehmen heute vor enorme Herausforderungen. Zwar wird oft in die IT-Sicherheit investiert, aber noch nicht ausreichend in die ­Sicherheit der OT-Systeme. Hier muss ein ganzheitliches Sicherheitskonzept ansetzen. Häufige Schwachstellen für Cyber-Angriffe sind Datenübertragungen zwischen IT- und OT-Systemen, die nicht ausreichend gesichert sind. Hinzu kommt, dass OT-Systeme rund um die Uhr laufen und es somit schwer ist, 
Sicherheits-Updates einzuspielen.

2. Wir betrachten beim Thema IT-­Security immer das Dreieck aus Menschen, Prozessen und Technologien. Unsere Erfahrung zeigt, dass die beste Sicherheitstechnologie keinen optimalen Schutz bietet, wenn Prozesse und Mitarbeiter nicht in ausreichendem Maß einbezogen werden. Schulungen sind deshalb ein unverzichtbares Mittel, um die richtige Awareness bei den Mitarbeitern zu erreichen. Um den Erfolgsfaktor dabei zu steigern, empfehlen wir, diese nicht als Frontalunterricht, sondern interaktiv zu gestalten. Es gibt hier sehr innovative Ansätze, bei denen man Szenarien möglichst realitätsnah durchspielen kann.

3. Um Sicherheit in Systeme zu integrieren, müssen die Systeme vorab bekannt sein. Es hat sich gezeigt, dass die schnelle Digitalisierung dazu geführt hat, dass nur wenige Firmen eine vollständige Asset-Datenbank besitzen. In dieser Datenbank werden sämtliche Informa­tionen, zum Beispiel der letzte Stand der Security-Patches, abgelegt. Diese Informationen sind die Voraussetzung für weitere Schritte auf dem Weg zur Absicherung einer industriellen Steuerungsanlage. Zusammen mit den korrekt implementierten und gelebten Prozessen kann man sich Schritt für Schritt einer besseren Sicherheit annähern. Die technische Absicherung der Systeme stellt dabei den geringsten Aufwand dar.

Schutz gegen Cyberattacken: Stichwort Backup und Restore

1. Zuerst einmal muss man anfangen. Der BSI-Grundschutz bietet dabei einen guten Start. Der VDMA hat spezifische Leitfäden und Checklisten für Produk­tionsunternehmen erstellt, um präventiv gut gerüstet zu sein. Relativ neu ist die Betrachtung der Cyber-Resilienz – sich auf erfolgreiche Angriffe gut vorzubereiten. Ziel ist es dabei, schnell wieder ­arbeitsfähig zu sein. Stichwort Backup und Restore. Nach einem Brand kann man neue Maschinen kaufen, die Daten allerdings bleiben verloren.

2. Mitarbeiter sind Partner und die größte Stärke im Schutz gegen Cyberattacken. Sie können kreativ denken; das schafft kein technisches Tool. Diese Stärke richtig einzusetzen und menschliche Schwächen abzutrainieren, ist Aufgabe der Unternehmensführung. Wichtig ist, dass alle Mitarbeiterinnen und Mitarbeiter geschult sind im Umgang mit ihren Werkzeugen. Nicht jeder muss ein Hilfspolizist oder Feuerwehrmann sein, aber wann man das Telefon in die Hand nehmen muss und wen man bei Gefahr anrufen sollte, gehört zum Grundwissen. Frei nach dem alten Grundsatz „Gefahr erkannt – Gefahr gebannt“ kann und muss jeder seinen Beitrag leisten.

3. Frühzeitig anfangen. Konsequent umsetzen. Nachhaltig unterstützen. ­Industrie-4.0-Systeme fallen nicht vom Himmel und liegen danach auch nicht in einer Schublade. Man designt, konstruiert und entwickelt sie. Maschinen werden programmiert und Komponenten integriert. Systeme werden betrieben, bedient und gewartet. In diesem Produktlebenszyklus die Security frühzeitig zu integrieren und auch im Betrieb gemeinsam mit Herstellern und Betreibern für angemessene Security zu sorgen, wäre der Idealzustand. Wir als Maschinen- und Anlagenbauer sind bereit, unseren Beitrag dazu zu leisten. rt 

Lesen Sie auch: So funktioniert MindSphere – Systeme, Maschinen Anlagen und Produkte an das IoT anbinden