Share
Beitragsbild zu Wachsende Angriffsfläche in vernetzten Industrieumgebungen

Wachsende Angriffsfläche in vernetzten Industrieumgebungen

Die rasante Entwicklung digital vernetzter, automatisierter Industrieumgebungen löst zunehmend die Grenzen zwischen operativen Technologien (OT) und IT-Infrastrukturen auf. Während dieser Trend für mehr Effizienz, Prozessgeschwindigkeit und Wettbewerbsfähigkeit in den Werkshallen der Unternehmen sorgt, öffnen sich zugleich auch neue Einfallstore für Cyberattacken. Höchste Zeit also, die zunehmende Verschränkung von IT und OT auch in der IT-Sicherheitsstrategie konsequent mitzudenken.

Eine Lösegeldzahlung von 4,4 Millionen US-Dollar, nahezu 100 Gigabyte gestohlene Daten und ein akuter Treibstoffmangel an der US-amerikanischen Ostküste – das war im Mai 2021 die Bilanz der verheerenden Cyberattacke auf die wichtigste Treibstoff-Pipeline der Vereinigten Staaten. Der dramatische Ransomware-Angriff auf das Abrechnungssystem des Betreiberunternehmens stellte im vergangenen Jahr den Höhepunkt einer Reihe von Cyberattacken dar, die bei den betroffenen Unternehmen auch zu massiven Einschränkungen der OT-Infrastrukturen führten.

Während Fälle wie die Angriffe auf die wichtige US-Pipeline oder auch auf den brasilianischen Fleischkonzern JBS für internationales Aufsehen sorgten, stand die Produktion auch bei deutschen Unternehmen aufgrund von Cyberangriffen immer wieder still. So legten unbekannte Angreifer beispielsweise die Werke des Automobilzulieferers Eberspächer im vergangenen Oktober lahm, nachdem sie das Netzwerk des Familienunternehmens infiltrieren konnten. Auch der Chemiebetrieb Remmers musste im März 2021 große Teile seiner Produktion herunterfahren, nachdem es Hackern gelungen war, die Systeme des Lack- und Farbenherstellers zu kompromittieren.

Mangelnde Zusammenarbeit zwischen IT- und OT-Teams

Beiläufig betrachtet könnten diese Ereignisse wie eine Häufung von Einzelfällen anmuten. Tatsächlich werden Betreiber von OT-Infrastrukturen in Zukunft aber deutlich häufiger mit solchen Situationen konfrontiert sein. In einer aktuellen Studie von PwC nennen mehr als die Hälfte (51 %) der deutschen Umfrageteilnehmer die Cybersicherheit als Herausforderung für ihr Unternehmen in den nächsten ein bis zwei Jahren. Wie alle anderen Wirtschaftszweige entwickeln sich auch Produktions- und Industriebetriebe im Zuge der Digitalisierung rasch weiter. Sie vernetzen Maschinen, verschieben Daten oder Workloads in die Cloud und automatisieren abteilungsübergreifend ihre Prozesse. Das verändert nicht nur die Angriffsfläche, sondern auch die Schnittmenge zwischen IT- und OT-Infrastrukturen. Diese Entwicklung spiegelt sich bisher aber kaum in den organisatorischen und personellen Strukturen der Unternehmen wider. Bei einer Studie von Fortinet gaben 51 Prozent der Befragten an, dass die Teams beider Bereiche in ihrem Unternehmen unabhängig voneinander agieren. Mangelnde Kommunikation und Kollaboration kann sich in diesen sensiblen Bereichen in Anbetracht der allgemeinen Bedrohungslage aber niemand mehr leisten – hier besteht dringender Nachholbedarf.

Gefährliche Kollateralschäden

Angreifer nutzen die blinden Flecken an der Schnittstelle von IT und OT konsequent aus. Während die Infiltration der Unternehmensnetzwerke zumeist noch über den klassischen Weg des Phishings erfolgt, ist der Weg vom Bürorechner zum Produktionsnetzwerk oft nur noch Fleißarbeit. Dafür bewegen sich die Kriminellen in der Regel zunächst seitwärts durch das Netzwerk, beispielsweise um VPN-Zugangsdaten für den Fernzugriff auf ungesicherten Authentifizierungsservern zu erbeuten. Mit diesen Daten können Angreifer tiefer in das Netzwerk vordringen und im schlimmsten Fall die Steuerungs- und Prozessleitebene erreichen. In diesem Bereich haben Angreifer schließlich unmittelbaren Zugriff auf die Anlagen und können maximalen Schaden anrichten.

Die Praxis zeigt sogar immer wieder, dass es so weit erst gar nicht kommen muss, um den laufenden Betrieb lahmzulegen. Aufgrund der immer engeren Verzahnung der OT-Infrastrukturen mit angrenzenden IT-Systemen wie zum Beispiel der ERP-Software reicht häufig schon eine gewöhnliche Ransomware-Attacke, um auch die OT zum Stillstand zu zwingen. Denn zumeist gebietet es allein schon die Vorsicht, im Falle einer Infektion präventiv sämtliche Systeme zur Schadensbegrenzung herunterzufahren.

Security-by-Design ist Pflicht

Trotz der zunehmenden Vernetzung in Fertigungs- und Industrieanalgen sind Unternehmen den damit einhergehenden Sicherheitsrisiken nicht schutzlos ausgeliefert. Idealerweise denken Projektverantwortliche den Sicherheitsaspekt bei der Planung vernetzter Industrieprozesse von Beginn an mit. Wichtig ist dabei ein ganzheitlicher Blick, der die individuellen Sicherheitsanforderungen von Netzwerken, IoT-Komponenten und der Anlagentechnik gleichermaßen berücksichtigt. Orientierung bieten dabei zum Beispiel Normreihen wie die IEC 62443, die Maßnahmen zur IT-Sicherheit in industriellen Kommunikationsnetzen empfiehlt.

Existieren in einem Unternehmen bereits historisch gewachsene Verflechtungen zwischen IT und OT, geht der erste Schritt zu mehr Sicherheit immer über eine umfangreiche Bestandsaufnahme. Dafür führen Experten in der Regel ein Assessment durch, bei dem sie die gesamte Angriffsfläche der Infrastrukturen erfassen, analysieren und bewerten. Auf Basis der daraus resultierenden Risikoeinschätzung können die Experten dann gemeinsam mit den IT- und OT-Teams der Betriebe die Rollen für den gesamten Sicherheitsapparat definieren und eine Roadmap aufsetzen.

Angreifern keinen Handlungsspielraum bieten

Sobald die Rollenverteilung und das organisatorische Grundgerüst für ein Sicherheitskonzept stehen, können Unternehmen konkrete Maßnahmen ergreifen, um den Schutz der Infrastrukturen zu stärken. Dabei kommt zunächst der Härtung sämtlicher Systeme eine große Bedeutung zu. In diesem Zuge deaktivieren die IT-Administratoren beispielsweise nicht benötigte Softwaredienste oder schränken die Zugriffsrechte von bestimmten Nutzerkonten ein. Das verringert die Angriffsfläche und nimmt Eindringlingen wichtige Möglichkeiten, sich durch das Netzwerk zu bewegen.

Um den Handlungsspielraum von Hackern im Falle einer Infiltration weiter einzuschränken, können Unternehmen ihre Netzwerke segmentieren und die einzelnen Abschnitte mit individuellen Firewall-Lösungen absichern. Auf diese Weise wird es für Kriminelle deutlich schwieriger, in andere Netzwerkbereiche vorzudringen. Gelingt ihnen das dennoch, helfen Lösungen für Threat Detection dem IT-Sicherheitspersonal dabei, schädliche Aktivitäten zu enttarnen. Threat-Detection-Software lernt auf Basis von Machine-Learning-Algorithmen das typische Kommunikationsverhalten sämtlicher Netzwerkgeräte und erkennt dadurch selbst kleinste Abweichungen im Datenverkehr. So fallen Manipulationen seitens der Angreifer im besten Fall schon auf, bevor sie irgendeinen Schaden anrichten können.

IT-OT-Konvergenz erfordert Umdenken

Weil die Vernetzung von Maschinen und Anlagen im Zuge ambitionierter Industrie-4.0-Initiativen in einem hohen Tempo voranschreiten wird, nimmt die Sicherheit an der Schnittstelle von OT und IT eine immer wichtigere Rolle bei der Gewährleistung der Geschäftskontinuität ein. Der Schutz vernetzter Industrieinfrastrukturen ist aber nicht nur eine Frage unternehmerischer Resilienz, sondern in vielen Bereichen auch für die Sicherung des Allgemeinwohls erforderlich. Werden etwa Betreiber kritischer Infrastrukturen Opfer von Cyberangriffen, kann das gravierende Folgen für die Bevölkerung haben – das zeigte bereits 2015 der Cyberangriff auf die ukrainische Energieversorgung, der großflächige Stromausfälle zur Folge hatte. Damit solche Extremfälle nicht zur Regel werden, braucht es in Zukunft ein deutlich stärkeres Bewusstsein für die Verschränkung von IT- und OT-Infrastrukturen sowie die daraus resultierenden Risiken.

Autor: Dr. Oliver Hanka, Director EMEA Industrial & IoT Security Center of Excellence bei PwC Deutschland

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden