Im Zuge der Digitalisierung hat sich die Vernetzung von Steuerungssystemen und Produktionsanlagen in der Industrie und in Unternehmen dramatisch erhöht. Industrie-PCs und ganze Produktionsstraßen sind im Zeitalter der Industrie 4.0 über das Internet miteinander verbunden und dadurch anfällig für Cyberangriffe geworden. In Zukunft werden mehr Produktionsanlagen und Industrie-PCs mit dem Internet verbunden wodurch die Gefahr von Angriffen durch unbefugte Dritte steigt.
Dieser Blog-Artikel skizziert das Thema Cyberkriminalität in der Industrie 4.0 und stellt eine kurze Übersicht gängiger Angriffsarten, resultierender Schäden für Unternehmen, sowie eine Auswahl möglicher Sicherheitsmaßnahmen und Richtlinien zusammen.
Finanzielle Schäden durch Cyberkriminalität in Deutschland
Schon heute, sind die finanziellen Schäden durch Internetkriminalität in Deutschland gravierend. Zwischen 2006 und 2016 wurden Kosten in Höhe von insgesamt 438,8 Millionen Euro verursacht. Im Durchschnitt liegen die Ausgaben damit bei 43,88 Millionen Euro pro Jahr. Die höchste Belastung bestand dabei mit 61,5 und 71,2 Millionen Euro im Jahr 2010 und 2011.
Die Arten der Cyberangriffe
Angreifer nutzen technische und menschliche Schwachstellen aus, um sich Zugang zum System zu verschaffen. Die meisten Angriffe erfolgen über Internet oder Intranet. Die größte Bedrohung in der Industrie 4.0 geht dabei von Angriffen durch Schadsoftware aus. Die Infektion des Systems oder der Steuerungskomponenten erfolgt dabei nicht nur über das Internet, sondern kann auch über Wechseldatenträger, wie z. B. USB-Sicks erfolgen.
Auch sogenannte Phishing-Mails stellen ein erhöhtes Risiko dar. Angreifer erhalten so relevante Nutzerdaten, mit denen sie sich anschließend im System anmelden und Schaden anrichten können.
Bei sogenannten (D)DoS-Attacken wird das attackierte System mit unzähligen Anfragen überlastet und stürzt im schlimmsten Fall aufgrund der CPU-Überlastung ab. Für eine schnelle und ortsunabhängige IT-Wartung erlauben viele Unternehmen Administratoren den Zugang über sogenannten Fernwartungszugänge. Diese stellen ebenfalls ein erhöhtes Sicherheitsrisiko dar. Über den Zugang zum Internet kann auch hier Schadsoftware implementiert und vertrauliche Daten gestohlen werden. Auch über die Manipulation von Smartphones können sich Angreifer Zugang zu Industrie PCs verschaffen.
Schäden durch Cyberkriminalität
Schäden durch Cyberkriminalität resultieren hauptsächlich durch die Veränderung von Betriebsabläufen und das Stehlen oder Manipulieren vertraulicher Informationen.
Mögliche Auswirkungen durch Manipulation der Betriebsabläufe:
- Schäden an Produktionsanlagen, welche im schlimmsten Fall Mängel an Produkten, generellen Störungen in Betriebsabläufen oder sogar komplette Produktionsstillständen hervorrufen.
- Beeinträchtigungen der Betriebssicherheit der Anlagen, wodurch Gefahren für Leib- und Leben oder Umweltschäden resultieren.
Folgen der Manipulation von vertraulichen Daten (z. B. Kundendaten, Geschäftsgeheimnissen, Produktionsdaten, etc.)
- Wettbewerbsnachteile
- finanziellen Schäden (z. B. Bußgelder, Defizite aus Produktionsausfällen, etc.) oder
- Imageschäden des Unternehmens.
Fallbeispiele für Internetkriminalität
1 - Automobilindustrie - unzureichende Konfiguration der Firewall
Die Produktion in der Automobilindustrie zeichnet sich durch einen hohen Automatisierungsgrad und Arbeit unter Zeitdruck aus. Verschiedene Produktionsschritte und Standorte werden mittels Software online und global gesteuert, bzw. überwacht. Durch den enormen Zeitdruck in der Produktion ist man z. B. bei der Inbetriebnahme einzelner Anlagen oder produktionsrelevanter Systeme eher bereit, lokale Sicherheitsrichtlinien zu vernachlässigen, als finanzielle Einbußen durch eine geringere Stückzahlproduktion zu erleiden. Dadurch wir in Kauf genommen, dass alle Standorte einem erhöhten Sicherheitsrisiko ausgesetzt werden.
In einem bekannten, speziellen Fall fehlte die Trennung zwischen Produktions- und Unternehmensnetz durch eine unzureichende Konfiguration der Firewall. Die Produktionsdaten der Anlagen waren sichtbar, bzw. die Parameter konnten manipuliert werden.
Durch das Zusammenschalten der Produktionsnetze mehrerer Standorte hatte diese Sicherheitslücke nicht nur lokale Auswirkung. Der Cyberangriff traf das gesamte Netzwerk des Unternehmens.
2 - Grenzüberschreitende Logistik-Prozesse in der Verpackungsindustrie
Auch in der Verpackungsindustrie wird die Produktion und Logistik in hohem Maße automatisiert. Eine IT-Lösung bildet die gesamte Wertschöpfungskette (Logistik, Produktion, Vertrieb) und die einzelnen Standorte ab. Die einzelnen Prozesse werden dabei durch die Beteiligten (z. B. Unternehmen, Kunden, Zulieferer, Spediteure, andere Dienstleister) flexibel und detailliert über vernetzte Systeme abgestimmt.
Weitere Dienstleister können bei Bedarf temporär über Partnernetzwerke integriert werden. Die Sicherheit der Daten aller Akteure ist in diesem Fall u.a. durch die Vielzahl an Teilnehmern besonders gefährdet. Bei dem Austausch der Daten können vertrauliche Informationen z.B. über die geschäftliche Situation der einzelnen Kunden und Akteure, Kostenstrukturen oder geplante Vorgänge eingesehen werden. Bei einem Hersteller entstand durch eine Manipulation der Daten im Produktionsprozess ein hoher Schaden, ausgelöst durch Produktionsleerläufe und Lagerengpässe.
3- Emobility und autonomes Fahren
Gerade beim Thema Emobility oder autonomes Fahren spielt der Austausch von Daten über das Internet eine große Rolle. Hier muss in Zukunft verstärkt auf Sicherheitsmaßnahmen geachtet werden. Die Übernahme von Fahrzeugen durch Unbefugte stellt ein erhebliches Risiko für alle Teilnehmer im Straßenverkehr dar. Auch der Raub von vertraulichen Daten der Fahrer sollte verhindert werden. 2017 haben 72 % der Deutschen Bedenken, was die Sicherheit autonomer Fahrzeugen angeht.
Allgemeine Schutzarten und Grundregeln
Kontroll- und Steuerungssysteme in der Produktion lassen sich schon durch die Einhaltung einfacher Grundregeln schützen.
In erster Linie ist es ratsam einen Notfallplan zu definieren. Im Falle eines Angriffs ist so schon im Vorfeld die Kommunikation, bzw. das Einleiten von Abwehrmaßnahmen abgedeckt. Im Idealfall gibt es hierfür speziell zuständige Sicherheitsbeauftragte im Unternehmen, die für ein umfassendes Sicherheitskonzept verantwortlich sind.
Eine weitere einfache Grundregel lautet: Das Officenetz sollte vom Produktionsnetz getrennt sein. Zudem werden Firewalls benötigt, die auch Schutz für Layer 4-7 bieten. Eine Lösung zur DDoS-Abwehr ist ebenfalls empfehlenswert.
Eine weitere sinnvolle Maßnahme bietet die Verschlüsselung von Anlagen und Systemen mittels Zertifikaten.
IT-Sicherheitsnormen und Richtlinien - Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zurzeit fehlt es im Bereich IT-Sicherheit weitgehend an transparenten und einheitlichen gesetzlichen Regulierungen, Prüfstandards und Durchsetzungsmechanismen auf deren Basis Unternehmen ihre IT-Sicherheit stützen, bzw. IT-Lösungen anbieten können. Das Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt bisher hauptsächlich Empfehlungen ab. Zum Beispiel wird ein regelmäßiges Backup zur Datensicherung empfohlen.
Zum Schutz vor dem Befall von Schadprogrammen schlägt das BSI die Nutzung von Blacklisting- oder Whitelisting-Ansätzen vor. Beim Blacklisting-Ansatz wird mit Hilfe von Virenschutzprogrammen unerwünschte Software blockiert. Beim Whitelisting wird der umgekehrte Ansatz verfolgt, d.h. es wird ausschließlich die Ausführung erwünschter Programme gestattet, was im Fall von Schadsoftware effektiver schützt als das Blacklisting.
Bei der Inbetriebnahme von Anlagen und Komponenten in einer sicheren Konfiguration sollte man bei Geräten, wie z. B. den Industrie-PCs auf überflüssige Funktionen und Software verzichten, da sie Schwachstellen liefern könnten. Diese sogenannte Härtung von IT-Systemen schließt auch das Passwort-Management, den richtigen Umgang mit Benutzerkonten und die Anpassung von Standard-Einstellungen, Hardware-Konfigurationen oder Steuerungssystemen mit ein.
Bei webbasierter Fernwartungen sollte Kommunikation und Datenübertragung über einen Sprungserver innerhalb der Unternehmens-DMZ (demilitarisierte Zone) laufen. Es empfiehlt sich zusätzlich die Netzwerkverbindung auf die Kommunikation zwischen Sprungserver und Produktionsanlage zu beschränken.
Die Absicherung von Feldgeräten kann am besten durch physische Zugangsbarrieren verhindert werden.
IP-Netzwerke oder Industrie-PCs können durch Firewall-Lösungen, Proxy-Lösungen, Netzwerksegmentierung, Intrusion Detection Systeme (IDS) und die Verwendung von sicheren Protokollen abgesichert werden.
Die Bedienung der IT-Hardware, wie z. B. Industrie-PCs, Router, Switches und SPS sollte nur authentifizierten Personal gestattet werden.
Die Nutzung mobiler Datenträger muss eingeschränkt sein. Es empfiehlt sich auch der Einsatz einer Wechseldatenträgerschleuse sowie BIOS-Härtung für Wartungsnotebooks. Die Deaktivierung der Autorun-Funktion ist eine weitere Empfehlung des BSI, da die Verbreitung von Schadsoftware häufig über diese Sicherheitslücke erfolgt.
Fazit - Resümee
Cyberkriminalität verursacht breitgefächerte Schäden und damit auch erhebliche Kosten für Ihr Unternehmen. Zusätzlich können Gefahren für die Gesellschaft und die Umwelt entstehen. Je mehr Produktionsanlagen an das Internet angeschlossen werden, desto komplexer und qualitativ hochwertiger werden die Angriffsmöglichkeiten auf Unternehmen. In Zukunft wird es immer wichtiger, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen. Um Schäden zu vermeiden, sollten Industrie-PCs, Netzwerke und Cloud-Systeme in industriellen Anlagen besser geschützt werden. Angefangen bei höherer Kontrolle über Zugriffsberechtigungen auf Steuerungssysteme und sensible Daten bis hin zu Passwort-Management und die sachgemäße Implementierung von Sicherheitsfaktoren gibt es verschiedene Empfehlungen aus der Wirtschaft und der Regierung, wie sich Unternehmen gegen Cyberkriminalität wappnen können.
Haben Sie Fragen zur IT Sicherheit von Industrie PCs? Gerne beraten wir Sie in einem kostenlosen Informationsgespräch.
Quellen:
https://www.produktion.de/technik/it/produktionsanlagen-vor-cyberangriffen-schuetzen-112.html
https://cybersecurity.rohde-schwarz.com/sites/default/files/download/it-sicherheit-fuer-industrie-4-0-langfassung.pdf