Security in Produktionsumgebungen

Cyber-Risiken für Smart Factories

13.08.2019 von Udo Schneider
Durch die Kombination verschiedener Technologien vergrößert sich bei vernetzten Industrieanlagen die Angriffsoberfläche. Unternehmen müssen darauf reagieren.

Smart Factories verändern die Produktion. Sie bieten wirtschaftliche Vorteile, ihre Einführung erfordert jedoch zunächst nicht unerhebliche Investitionen. Dabei steht für Unternehmen die Frage im Vordergrund, wie sie den größten Wert daraus ziehen können. Eine Re-Evaluation der Security-Strategie sollte bei diesen Überlegungen eine wichtige Rolle spielen.

Lesetipp: Banken-Trojaner Ramnit

Denn schon ein einzelner Cyberangriff kann die Vorteile smarter Produktionsanlagen zunichtemachen. Deshalb sollte die Security bei der Entwicklung hin zur Industrie 4.0 nicht vernachlässigt werden. Ein Rückblick auf stattgefundene Angriffe der vergangenen Jahre sowie eine Analyse der gängigsten Bedrohungen für Netzwerke kann dabei helfen, mögliche Schwachstellen aufzuzeigen.

Vergangene Cyberangriffe auf Industrieanlagen

Vergangene Angriffe sollten nicht nur daran erinnern, wie real Cyberbedrohungen für industrielle Systeme sind. Sie können auch als Fallstudien dienen, um diese Bedrohungen noch besser zu verstehen. Die Grafik bietet eine Übersicht von Angriffen aus den letzten 14 Jahren.

Cyberangriffe auf Produktionsanlagen in den vergangenen zehn Jahren.
Foto: Trend Micro

Diese Vorfälle zeigen die möglichen Schäden durch Angriffe auf industrielle Steuerungssysteme, vor allem auf SCADA-Systeme (Supervisory Control and Data Acquisition). Abhängig vom Ziel sind weitreichende Folgen möglich, wie Angriffe auf kritische Infrastrukturen in der Vergangenheit zeigten. Solche Angriffe sind auch heute noch möglich und zu erwarten.

Angriffsszenarien

Viele dieser Attacken geschahen mittels bereits bekannter Angriffsmethoden. Aufgrund der Eigenschaften von Smart Factories können sie sich dort oftmals einfach vom Netzwerk aus ausbreiten und Auswirkungen auf die physische Welt haben. Unternehmen sollten sich daher mit Bedrohungsszenarien und den gängigsten Methoden für Netzwerkangriffe beschäftigen und ihre Sicherheit dahingehend ausbauen.

Ausnutzung von Schwachstellen

In einer Smart Factory sind in der Regel zahlreiche Geräte und Anlagen mit einem einzigen Netzwerk verbunden. Eine Schwachstelle in einem einzigen Gerät kann damit das gesamte Netzwerk angreifbar machen. Dies geschah zum Beispiel im Fall des Wurmes Stuxnet, der sich gegen kritische Infrastrukturen richtete. Beispiele wie dieses verdeutlichen, wie wichtig es ist, regelmäßig Updates und Patches einzuspielen, um Sicherheitslücken zu schließen.

Malware

Bisher war Malware die beliebteste Methode bei Angreifern. Wie im Fall der Angriffe BlackEnergy und Killdisk kann Schadsoftware auch industrielle Steuerungssysteme infizieren. Der Trojaner Triton war dabei besonders bemerkenswert, da er sich gezielt gegen industrielle Sicherheitssysteme richtete und damit eine gesamte Fabrik lahmlegte. Erst vor kurzem wurde zudem Kryptowährungs-Mining-Malware in den Systemen eines europäischen Wasserversorgers entdeckt.

IoT-Security - was Hersteller davon halten
IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11.
Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss".
Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein."
David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren."
Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt.
Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller."
Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden."
Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können."
Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen."
Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design."
Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich."
Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."

Lesetipp: IT-Sicherheit in der Industrie

Angreifer nutzen verschiedene Arten von Schadsoftware für ihre Angriffe, beispielsweise Trojaner, Rootkits oder Ransomware. Zudem arbeiten sie ständig daran, die Infektionsmethoden noch besser zu machen, um möglichst schadenträchtige oder auch besonders unauffällige Angriffe durchzuführen. Sie nutzen dabei Techniken wie Social Engineering, Spear Phishing und Watering-Hole-Angriffe. Deshalb sollten Betreiber von Smart Factories auch Security-Awareness-Schulungen für alle Mitarbeiter zur Pflicht machen.

DoS- und DDoS-Angriffe

Das Ziel von DoS-Angriffen (Denial of Service) ist es, ein Netzwerk, ein Gerät oder eine Ressource lahmzulegen. DDoS (Distributed Denial of Service) ist eine spezielle Art von DoS-Angriffen, bei denen eine große Anzahl kompromittierter Geräte (ein sogenanntes Botnet) dafür genutzt wird, die Verbindungen oder den Prozessor eines Zielsystems anzugreifen.

Lesetipp: Wenn der Wasserkocher gehackt wird

Beispielsweise legte das Mirai-Botnet einige bekannte Websites und Online-Dienste lahm. Dieser Angriff zeigt die Effektivität und möglichen Folgen solcher Attacken. Da sein Quellcode inzwischen veröffentlicht wurde und im Untergrund immer mehr Anbieter von DDoS-as-a-Service zu finden sind, besteht ein erhöhtes Risiko von zukünftigen Angriffen auf vernetzte Produktionssysteme. Im Umkehrschluss bedeutet dies auch, dass kompromittierte industrielle Steuerungssysteme für Botnet-Angriffe auf andere Unternehmen missbraucht werden könnten.

Man-in-the-Middle-Angriffe (MitM)

Bei MitM-Angriffen positionieren sich Angreifer in Kommunikationsprozessen physisch oder logisch zwischen Sender und Empfänger und kontrollieren den Datenverkehr zwischen beiden Parteien. Solche Datenverbindungen gibt es in Smart Factories reichlich - zum Beispiel zwischen Steuerungssystemen und Anlagen. Neben einem möglichen Diebstahl von Informationen können Angreifer auch eigene Daten oder Code in das System einbringen und somit, beispielsweise durch unsichere Kommunikationsprotokolle wie MQTT oder CoAP, Firmware-Upgrades während der Übertragung verändern. MitM-Angriffe zeigen, dass neben Endgeräten und Netzwerken auch die Kommunikationskanäle wirksam geschützt werden müssen.

Überwachung und Informationsdiebstahl

Eine unauffälligere Angriffsweise stellt der Diebstahl von Informationen oder die Überwachung auffindbarer Systeme dar. Von außen zugängliche HMIs (Human-Machine-Interfaces) könnten zum Beispiel den Zugriff auf Kundendatenbanken und damit den Diebstahl personenbezogener Daten ermöglichen. Ebenso kann es nach dem Eindringen in ein Netzwerk möglich sein, Informationen zum Zustand und Betrieb von Anlagen abzugreifen, die für die Automation benötigt werden. Betreiber können diesen Angriffen durch den Einsatz von Intrusion-Detection- und -Prevention-Systemen (IDS/IPS) begegnen.

Hacking von Geräten

Die große Anzahl vernetzter Geräte im Feld mindert nicht die Bedeutung jedes einzelnen davon für die Sicherheit. Bereits durch ein einziges kompromittiertes Gerät können Angreifer das gesamte Netzwerk infizieren. Gelingt ihnen ein physischer Zugriff, können sie sogar das Gerät selbst manipulieren oder lahmlegen und damit die gesamte Produktionslinie beeinträchtigen.

Ein neuer Blick auf die Sicherheit in der Produktion

Diese Angriffe sind weit verbreitet und gefährden alle Arten von Netzwerken. Mit der zunehmenden Konvergenz von IT und OT in Smart Factorie können sie dort jedoch direkte physische Folgen haben. Damit erreichen sie ein neues Bedrohungsniveau.

Lesetipp: IoT-Security in Kinderschuhen

Unternehmen sollten darauf mit einer Sicherheitsstrategie reagieren, die ebenfalls IT und OT zusammenführt. Dazu gehört, bestehende Security-Maßnahmen neu zu evaluieren und in gefährdeten Bereichen zu verstärken. Auf der Betriebsebene sollten Unternehmen ihre Anlagen im Feld - von Roboterarmen bis hin zu HMIs - prüfen und sicherstellen, dass diese nicht online auffindbar sind und wirksame Authentifizierungsmechanismen einsetzen.

Roundtable Managed Security Services - Hersteller erklären ihre Channel-Konzepte
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Dr. Ronald Wiltscheck, Chefredakteur bei ChannelPartner, eröffnet den Roundtable "Managed Security Services" und begrüßt alle Teilnehmer.
Maik Wetzel, Channel Sales Director DACH bei ESET
„Die Zuwächse in dem Bereich Managed Security Services sind um ein Vielfaches größer, als im klassischen Business.“
Tim Berghoff, Security Evangelist bei G Data
„Audits, Penetrationstest und ähnliches bieten sich als ergänzende Leistungen zu MSS an. Das kann auch jemand machen, der herstellerübergreifend tätig ist.“
David Beier, Partner Account Manager bei Avast
„Gerade bei KMU kommt der Bedarf von den Endkunden. Sie möchten wegen Personalmangel oder um Kosten zu sparen outscourcen.“
Thomas Huber, Channel Director bei Trend Micro
„Der IT-Admin beim Endkunden braucht neue Prozesse und er braucht Antworten von den Resellern.“
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Elisabeth Gries (Avast, links) im Gespräch mit Regina Hermann (IDG, rechts).
Richard Werner, Business Consultant bei Trend Micro
Mit dem Thema Managed Security Services beschäftigen wir uns bereits seit zehn Jahren. Und schon damals hatte die großen Systemintegratoren aber auch die Spezialisten unter den IT-Dienstleistern in Deutschland Managed Security Services im Fokus."
Michael Haas, Area Sales Director Central Europe bei Watchguard
„Ich glaube, dass ein MSS-Provider mehrere Hersteller anbieten muss. Daher muss man auch als Hersteller offen sein für die technische Kommunikation mit anderen Lösungen.“
Sven Janssen, Director Channel Sales DACH bei Sophos
„Ganz wichtig ist, dass es nicht nur um die Lösung an sich geht, sondern dass drumherum auch die Lizenz- und Preismodelle stimmen.“
Peter Marwan, ChannelPartner
"Wie hoch ist Ihr Managed Security Services-Anteil am Gesamt-Business?"
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Die Teilnehmer am "Managed Security"-Roundtable von ChannelPartner (v.l.n.r.): Sven Janssen, (Sophos), Hagen Renner (Rohde und Schwarz Cybersecurity), Peter Marwan und Saskia van der Kraaij (beide ChannelPartner), Thomas Huber (Trend Micro), David Baier (Avast), Richard Werner (Trend Micro), Maik Wetzel (Eset), Thomas Jank (ChannelPartner), Michael Haas (WatchGuard) und Ronald Wiltscheck (ChannelPartner).
Hagen Renner, Head of Channel Sales DACH bei Link11
„Endkunden wollen Kosten auf ein möglichst langes Zeitfenster verteilen und da kommt automatisch die Anforderung nach einem geeigneten Modell.“

Die vergrößerte Angriffsoberfläche von vernetzten Fabriken erschwert die Erkennung und Abwehr von Cyberangriffen. Durch einen Wissensaustausch von IT- und OT-Abteilung können mehr Mitarbeiter mit unterschiedlichen Hintergründen an der Security mitwirken. Zudem sind Unternehmen gut beraten, einen mehrschichtigen und vernetzten Sicherheitsansatz zu verfolgen, der Netzwerke, Endpunkte und Cloud-Umgebungen ebenso beinhaltet wie OT-Systeme.

Da die Absicherung von Smart Factories ein hohes Maß an Planung erfordert, wird Security am besten bereits in der Planungsphase mit berücksichtigt. Integratoren sollten dabei auf die großen Datenmengen vorbereitet sein, die solche Anlagen erzeugen. Die Ausstattung und das verwendete Kommunikationsprotokoll sollten ebenso darauf ausgelegt sein wie Standard Operating Procedures im Falle eines Sicherheitsvorfalls.

Lesetipp: IoT sicherer machen - so könnte es funktionieren

Unternehmen sind bei der Einrichtung von Smart Factories mit zahlreichen Herausforderungen konfrontiert. Auch wenn die Cyber-Sicherheit möglicherweise zusätzliche Hürden schafft, ist sie doch ein wichtiger Teil des Planungs- und Implementierungsprozesses. Sie dient letztendlich dazu, die geleisteten Investitionen zu schützen.

Mehr Informationen zur Absicherung von Smart Factories sind hier veröffentlicht.