- IT&Production - https://www.it-production.com -

Cyberattacken auf Industrieanlagen

Gefahren und Gegenmaßnahmen

Cyberattacken auf Industrieanlagen

Cyber-Angriffe auf Scada-regulierte Anlagen sind keine Seltenheit: Das Kaspersky Security Network registrierte 13.000 Versuche, Prozesskontrollsysteme mit Schadcode zu infizieren – jeden Monat. Im Interview gibt Holger Suhl, General Manager DACH bei Kaspersky Lab, Einblicke in die Bedrohungslage und wie sich Anlagenbetreiber dagegen schützen können.

Vernetzte Produktionsanlagen sind Realität. Wenn Werke über das Intranet, über direkte Internetverbindungen, WLAN- und Einwahlmodems mit den weltweiten Datennetzen verbunden sind, gilt es Unternehmenswissen durch einheitliche Sicherheitskonzepte zu schützen. Bild: Fotolia / Industrieblick

In der Vergangenheit wurden industrielle Kontrollsysteme isoliert und somit als sicher eingestuft. Ein Trugschluss, denn ein infizierter USB-Stick reicht aus, um höchst kritische Infrastrukturen ins Wanken zu bringen. Zudem schreitet im Zuge von Industrie 4.0 eine weitere Vernetzung von Büro- und Produktionsnetzwerken sowie von Netzwerken jeglicher Art mit dem Internet voran. Die Folge: IT-Sicherheit wird für kritische Industrieanlagen zum absoluten Schlüsselelement. Spionage und Sabotage müssen verhindert sowie Prozess- und Produktionskontinuität gewährleistet werden. Die Bedeutung von Cybersicherheit für kritische Infrastrukturen kann in der heutigen hochautomatisierten Welt nicht hoch genug bewertet werden. So veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende des vergangenen Jahres einen Bericht, wonach aufgrund einer Cyberattacke bei einem deutschen Stahlwerk die Steuerelemente ausfielen und sich ein Stahlofen nicht mehr herunterfahren ließ.

Der Ausbruch des Schädlings BlackEnergy2 zeigt darüber hinaus, dass Sicherheitsvorfälle in komplexen, beispielsweise von Scada-Software regulierten Umgebungen keine Einzelfälle sind. Das Kaspersky Security Network (KSN) identifizierte bis Ende des Jahres 2014 etwa 13.000 Vorfälle im Monat, bei denen Computer mit automatischen Prozesskontrollsystemen – beispielsweise von Siemens, Rockwell, Wonderware, General Electric, Emerson und anderen Firmen – mit einem gefährlichen Code infiziert werden sollten. Ein durchschnittliches industrielles Steuerungssystem hatte bereits Endes des Jahres 2012 elf direkte Verbindungen zum Internet. Allerdings zeigt eine interne Umfrage bei einem großen Energiekonzern: Der Großteil der Bereichsleiter ist der Meinung, dass ihre Steuerungssysteme nicht mit dem Unternehmensnetzwerk verbunden seien.

Ein Irrglaube, denn 89 Prozent der Systeme waren vernetzt. Zudem berücksichtigten die Sicherheitssysteme des Firmennetzwerks nur die allgemeinen Unternehmensprozesse und nicht die kritischen Prozesssysteme. Es waren zahlreiche Verbindungen zwischen dem Unternehmensnetzwerk und dem Internet vorhanden – einschließlich Intranet, direkten Internetverbindungen, WLAN- und Einwahlmodems. Derartige uneinheitliche Sicherheitskonzepte machen Unternehmen angreifbar. Der Wurm ‚Slammer‘ etwa attackierte kritische Infrastrukturen, genauso wie Notdienste, die Flugüberwachung und Geldautomaten. Mithilfe des Internets erreichte er seine volle Scan-Rate von 55 Millionen Scans pro Sekunde in unter drei Minuten. Ironischerweise konnte er nur durch die fehlende Bandbreite in den kompromittierten Netzwerken abgebremst werden.

 
Bild: Kaspersky Labs GmbH

Spielerisches und praxisnahes Sicherheits-Training

Kaspersky Industrial Protection Simulation ist ein praxisorientiertes Strategiespiel, bei dem die Teilnehmer eine virtuelle, kritische Infrastrukturanlage ohne Unterbrechung am Laufen halten müssen – auch und gerade zu Zeiten von Cyberbedrohungen. Die Simulation basiert auf realistischen Beispielen und zeigt, dass ohne einen einheitlichen Blick auf das Thema Cybersicherheit durch IT- und Industrieanlagen-Spezialisten die Widerstandsfähigkeit kritischer Infrastruktursysteme gefährdet sein kann. Die Simulation kann einzeln bei Kaspersky Lab oder im Rahmen der von der International Society for Automation (ISA) angebotenen Trainings Industrial Networking & Security (TS12) und Advanced Industrial Networking & Security (TS20) durchgeführt werden.



Holger Suhl ist General Manager DACH bei Kaspersky Lab. Bild: Kaspersky Labs GmbH

Holger Suhl, General Manager DACH bei Kaspersky Lab, informiert im Interview über die aktuelle Bedrohungslage durch Cyberangriffe und wie sich passgenauer Schutz von ihnen etablieren lässt:

Welchen Stellenwert hat IT-Sicherheit heutzutage – gerade im Hinblick auf das Trendthema Industrie 4.0?

Holger Suhl: IT-Sicherheit wird zunehmend zum Fundament der digitalen Transformation in der deutschen Industrie. Ob Big Data, Cloud Computing, Mobile oder Social – gerade im Unternehmensumfeld greifen die verschiedensten Bereiche zunehmend ineinander. Das Internet der Dinge und das Trendthema Industrie 4.0 sind dafür die ersten Vorboten, die jedoch ohne IT-Sicherheit zum Scheitern verurteilt sind. IT-Sicherheit ist der Eckpfeiler des digitalen Wandels.

Industrie 4.0 bedeutet auch, dass das Internet zunehmend Einzug in Industrie- und Produktionsnetzwerke erhält. Wie kann man sich vor Cyberattacken schützen?

Suhl: Die zunehmende Vernetzung von Dingen ermöglicht eine immer größere Angriffsfläche für Cyberkriminelle. Unternehmen sollten daher grundlegend immer den Ansatz ‚Security by Design‘ berücksichtigen. Das heißt: Bei jeder Komponente, die mit dem Internet verbunden wird, sollte von Beginn an die IT-Sicherheit gedacht und entsprechende Vorkehrungen wie Netzwerksegmentierung vorgenommen werden. Umso kritischer ein System, desto höher sein Schutzbedarf.

Das heißt, es gibt keine allgemein gültigen Empfehlungen?

Suhl: Absolut richtig, das hängt immer vom zu schützenden System ab. Grundsätzlich sollten IT-Sicherheitskonzepte mehrschichtig aufgesetzt werden. Die Basis bilden IT-Sicherheitslösung für alle Endpunkte wie Desktops, Smartphones, Tablets et cetera und Netzwerke. Hinzu kommen Patch- und System-Management, Anwendungskontrolle über Whitelisting, Schwachstellen-Prüfungen sowie Verschlüsselung. Im Fall von industriellen Systemen empfehle ich für dieses Einsatzgebiet entwickelte Lösungen, wie unser neues Kaspersky Security System.

Das sind alles technische Komponenten. Was kann man zusätzlich zur Verhinderung von Cyberattacken tun?

Suhl: Zum einen sind Schulungen heutzutage essenziell – und zwar für IT-Fachleute ebenso wie für das Sekretariat. Hierbei geht es um die Vermittlung von klassischen Cybersicherheitsgrundsätzen, aber immer mehr auch um Spezialkenntnisse. Mit unserer Kaspersky Industrial Protection Simulation sprechen wir beispielsweise gezielt Verantwortliche von kritischen Infrastrukturen an. Zum anderen gibt es mittlerweile komplett maßgeschneiderte Dienstleistungen mit denen man sein IT-Sicherheitskonzept aufwertet, dazu gehören Cybersecurity-Reports sowie Malware- oder Vorfalluntersuchungen. Nimmt man die Technologien, die Trainings, die Reportings und das über die Jahre erlangte Fachwissen – vor allem das unseres weltweiten Forschungs- und Analyse-Teams – zusammen, sprechen wir heutzutage weniger von klassischen IT-Sicherheitslösungen, sondern von Security Intelligence, die wir unseren Kunden und Partnern anbieten.

Hat sich in jüngster Zeit die Bedrohungslage für Industrieanlagen tatsächlich verschärft?

Suhl: Das Sans Institute hat in einer Untersuchung festgestellt, dass 40 Prozent der im Industriesektor befragten IT-Profis im Jahr 2014 einen verdächtigen Cybervorfall in ihrer Organisationen oder Unternehmen identifizierten. Das sind 28 Prozent mehr als im Jahr 2013. Zudem werden in der Hackerszene die Themenbereiche Scada und Prozessleitsysteme diskutiert. Dafür gibt es einen guten Grund: Cyberkriminalität ist zu einem finanziell lukrativen Geschäft geworden, so werden Zero Day Exploits – also noch ungepatchte Programmschwachstellen – für Summen im fünf- bis sechsstelligen Dollar-Bereich pro Exploit an Vertreter der organisierten Kriminalität verkauft. Das heißt, die Angreifer und der Markt sind vorhanden. Industrieanlagen müssen schnellstmöglich gegen Cyberattacken gewappnet werden, ansonsten ist die Prozesskontinuität unserer Industrie gefährdet – vom Vertrauensverlust, sollte ein solcher Angriff an die Öffentlichkeit kommen, ganz zu schweigen.

Gerade kleinere Firmen gehen oftmals davon aus, dass sie sich keine Sorgen vor Attacken machen müssen.

Suhl: Ein Irrglaube! Es geht nicht um die Größe eines Unternehmens. Es geht darum, was für Dritte interessant sein könnte. Neben den Geschäftszahlen und sonstigen kritischen Informationen können hier vor allem Daten über interne Produktionsprozesse ins Visier von Cyberattacken geraten. Wir haben beispielsweise in einer Studie aus dem vergangenen Jahr herausgefunden, dass jedes fünfte von uns befragte Industrieunternehmen einen Verlust von geistigem Eigentum zu beklagen hatte. Die Informationen wurden dabei entweder über Schadprogramme, das Ausnutzen von Softwarefehlern, das Eindringen in das Firmennetzwerk, den Verlust von mobilen Geräten oder zielgerichtete Angriffe abgezogen. Die Angriffsfläche ist groß. Man sollte also nicht nur kritische Systeme vor Sabotage, sondern auch das gesamte Organisationsnetzwerk vor Industriespionage schützen.

 

Eingebettetes System zum Schutz von Industrieanlagen

Kaspersky Lab und Sysgo haben dieses Jahr auf der internationalen Industriemesse Embedded World in Nürnberg die Lösung Kaspersky Security System zum Schutz sicherheitskritischer Aufgaben und Infrastrukturen vorgestellt. Das innerhalb des Echtzeitbetriebssystems PikeOS von Sysgo eingebettete System ist eine spezielle Schutzlösung für Informationssysteme, die erweiterte Sicherheit erfordern. Die Plattform ist als eingebettete OEM-Komponente für Anbieter umfassender IT-Lösungen verfügbar. Dazu zählen beispielsweise Enterprise Resource Planning- und elektronische Dokumentenmanagementsysteme, intelligente Stromnetze im Sinn von Smart Grids, das Internet der Dinge sowie kritische Infrastruktursysteme. Mit der Lösung können Geräte auf Überwachungs- und Steuerungsebene (Scada) überwacht, beim Internet der Dinge deren korrektes Verhalten sichergestellt sowie innerhalb von Automotive-Systemen sicherheitskritische Subsysteme von mit dem Internet verbundenen Infotainment-Komponenten getrennt werden. Im Betrieb hat das Security-System keinen Einfluss auf die Echtzeitleistung von Anwendungen, die physikalische Prozesse verwalten – so macht es etwa Gebrauch von der Hypervisor-Architektur des PikeOS.