Wenn nicht jetzt, wann dann? IT-Sicherheit auf Vordermann bringen

Wie gut sind Schweizer Unternehmen auf einen möglichen Cyberkrieg vorbereitet? Diese Frage hat durch den Ukraine-Konflikt eine neue Aktualität erhalten. Auch wenn in den vergangenen Wochen noch keine nennenswerten, erfolgreichen Cyberattacken auf kritische Infrastrukturen bekannt geworden sind, sollten Verantwortliche nicht einfach so zum Tagesgeschäft übergehen. Vielmehr ist es an der Zeit, die IT-Sicherheitsstrategie zu überdenken und gegebenenfalls neu auszurichten.

Um die potenzielle Gefahr zu verdeutlichen, sei beispielhaft an den Computerwurm Stuxnet erinnert, den im Jahr 2010 vermutlich professionelle Programmiererinnen und Programmierer im Auftrag von Israel und den USA zum Angriff auf iranische Atomanlagen entwickelt hatten. Er griff damals gezielt die Kontrollsysteme für Simatic-S7- Anlagensteuerungen an. Allerdings wurde die Schadroutine nur auf solchen Systemen aktiv, an die ein spezieller Typ von Zentrifuge angeschlossen war. Vor dem Hintergrund des Ukraine-Kriegs bekommen wir erneut deutlich vor Augen geführt: Auch Industrieanlagen sind dem Risiko eines Angriffs von kriminellen Hackern ausgesetzt. Und im Falle einer Attacke kann sich kein Unternehmen darauf verlassen, dass nur bestimmte Konfigurationen im Visier der Cyberkriminellen sind. Unternehmen können problem­los Kollateralschäden eines Angriffe erleiden, der eigentlich gegen ein anderes Ziel gerichtet war.

Einfache Angriffe und Sabotageakte lassen sich bereits mit am PC erworbenen Programmierkenntnissen ausführen. Es braucht keinerlei Spezialwissen über Steuerungssoftware oder die Funktionsweise komplexer Anlagen, um die Produktion mit einem gezielten Angriff zu stoppen oder gar zu zerstören. Hinzu kommt: Mit speziellen Suchmaschinen lassen sich Anlagen identifizieren, die via Internet zugänglich sind. Zwar sind diese in den meisten Fällen geschützt, allerdings ist das Ziel eines Angriffs damit schon mal identifiziert.

Einfallstor Internet

Beim Thema IT- und OT-Sicherheit liegen Fluch und Segen der Digitalisierung nah beieinander. Früher war die Operational Technology, die Betriebstechnik, eine abgeschlossene Welt. Sowohl beschränkt auf wenige Fachleute, die Software zur Maschinen-, Anlagen- und Prozesssteuerung programmierten und diejenigen, die sie bedienen konnten – aber auch begrenzt auf den jeweiligen Produktions- oder Maschinenstandort. Im Zuge der digitalen industriellen Revolution sind sich jedoch IT und OT nähergekommen und das Internet wurde zum Tor zur Welt – nicht nur aus dem Unternehmen hinaus, sondern auch in das Unternehmen hinein. Mit klassischer PC-Technologie konnten auch Cyberkriminelle aus dem Internet plötzlich auf Sensoren, Aktoren und ganze Maschinen zugreifen. Daher ist es notwendig, dass Unternehmen die Bedrohungslage für sich einschätzen können. Dazu müssen sie wissen, wo die Risiken liegen und diese auch klar benennen.

Von der Verwaltung auf die Maschine

Die Digitalisierung von Industrieunternehmen ist traditionell in der Verwaltung am weitesten fortgeschritten. Klassische Bürorechner in der Buchhaltung, im Personalwesen oder mit den gängigen Office-Anwendungen nutzen Kriminelle insbesondere bei unzureichendem Schutz und vernachlässigten Updates als Einfallstor in das Unternehmensnetzwerk. Für die steigende Zahl der Attacken sind vor allem Sicherheitslücken in Anwendungen wie Micro­soft Exchange verantwortlich. Durch die hohe Verbreitung dieser Systeme ist es wahrscheinlich, dass Angreifer einen ungepatchten Exchange-Server finden, den sie für eine Cyberattacke nutzen können.

Eine unbequeme Wahrheit in vielen Netzwerken ist die nicht ausreichende Trennung einzelner Bereiche. Für Angreifer ist es vielfach ein Kinderspiel, von einem PC der Personalabteilung mit wenigen Umwegen bis zur Produktionssteuerung zu kommen. Dabei gibt es keinen Grund, warum eine kritische Produktionssteuerung überhaupt auf irgendeinem Weg von einer Abteilung aus erreichbar sein sollte, die diese Zugangsmöglichkeit gar nicht braucht.

IT-Sicherheitspflicht: Updates und Patches

Um ein "Überspringen" von Attacken via PC-Infrastruktur auf die OT-Seite zu verhindern, helfen bereits einfache Massnahmen. Natürlich wäre es am einfachsten, "die gute alte Zeit" wiederherzustellen – mit der technologisch bedingten, scharfen Trennung zwischen OT und IT. Auf der einen Seite die PCs, auf der anderen Seite die Steuerungsrechner und keine Verbindung dazwischen oder gar zum Internet.

Insbesondere bei grossen Industriemaschinen ist dieses scheinbar so einfache Szenario heute kaum noch umzusetzen. Viele Maschinen gehören nicht mehr dem Betreiber, sondern sind gemietet, geleast oder arbeiten im Pay-per-Use-Modell. Dafür behält der Eigentümer der Maschine oft via Internet Zugriff, um etwa die Laufzeiten und den Output zu beobachten oder im Rahmen von Predictive-Maintenance-Verträgen. Ausser dem Hersteller haben daher oft auch externe Dienstleister Fernzugriff auf die Maschinen. Über potenziell kompromittierte PCs der Externen oder Angriffe auf die Verbindungen kann theoretisch von ausserhalb auf Steuerungen zugegriffen werden.

Verhindern lässt sich das durch folgende Massnahmen: Sicherheitsupdates und Patches der Hersteller müssen zeitnah eingespielt werden – auch ausserhalb der üblichen Wartungsintervalle bei Industriemaschinen, also nicht nur zu den Betriebsferien im Sommer und zu Weihnachten. Für wichtige Notfall-Updates braucht es zudem Prozesse, um diese besonders schnell zu aktivieren.

Problem Altgeräte

Produktionsmaschinen haben üblicherweise deutlich längere Laufzeiten als Computerhardware und verdienen potenziell auch weit über die Abschreibungsfrist hinaus Geld. Das birgt aber auch die Gefahr, dass der Hersteller die entsprechende Steuerungssoftware nicht mehr pflegt und das zugrundeliegende Betriebssystem veraltet ist, was ein zusätzliches Sicherheitsrisiko birgt. Maschinen, die noch aus der Zeit stammten, bevor das Internet allumfassend wurde, und solche, die keine Sicherheitsupdates mehr erhalten, sollten unbedingt vom Rest des Netzes getrennt werden. So kann ein Angriff auf die Büro-IT nicht bis in die Produktion "durchschlagen".

OT-Sicherheit: Keine Selbstverständlichkeit

Heutzutage denken Hersteller und Anlagenersteller grundsätzlich für die OT-Sicherheit mit. Das zeigen die Bestrebungen von Entwicklern von Steuerungssoftware, etwa Verschlüsselungstechnologien einzuführen oder Zertifikate, mit denen Absender von Steuerbefehlen und Empfänger ihre Echtheit bestätigen. Höhere Komplexität und proprietäre Entwicklungen verhindern jedoch, dass sich ein OT-Security-Markt, vergleichbar mit IT-Security, entwickelt. Bis OT-Sicherheit in Unternehmen flächendeckend und homogen präsent ist, dauert es aufgrund der langen Innovationszyklen noch. Umso wichtiger ist es, dass Unternehmen die hier vorgestellten Massnahmen umsetzen und regelmässig überprüfen.

Generell sollten Verantwortliche stets kontrollieren, ob alle Geräte und Maschinen, die online sind, auch online sein müssen. Manchmal können etwa nach erfolgreich abgeschlossenen Updates oder Wartungsaufgaben Onlineverbindungen wieder getrennt werden. Ebenfalls sinnvoll: Vorhandene Wartungszugänge engmaschig kontrollieren. Denn da, wo Wartungszugänge dauerhaft geöffnet und nicht ausreichend geschützt und überwacht werden, ist es nur eine Frage der Zeit, bis sich ein sicherheitsrelevanter Vorfall ereignet. Erfahrungsgemäss ist es auch so, dass Benutzerkonten, die von externen Dienstleistern verwendet werden, weitreichende Berechtigungen innerhalb des Netzwerkes haben. Auch diese Berechtigungen müssen auf den Prüfstand.

Empfehlungen umsetzen, gewappnet sein

Der Ukraine-Krieg hat die Diskussion um OT-Security wiederbelebt. Und auch, wenn bis heute noch keine grossflächigen Angriffe auf Industrieanlagen in Europa bekannt sind, sollten Unternehmen spätestens jetzt Vorkehrungen gegen Angriffe treffen, um für den Fall des Falles vorbereitet zu sein. Insgesamt sind all die Ratschläge und Massnahmen, die schon immer galten, auch weiterhin gültig – und heute dringender denn je.