Einer aktuellen Studie des Bitkom zufolge haben bei mehr als acht von zehn Industrieunternehmen die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen – aufsehenerregende Vorfälle wie ‚Stuxnet‘ sind längst keine Einzelfälle mehr. Üblicherweise verläuft ein Angriff mehrstufig und lässt sich nach dem von Lockheed Martin entwickelten Cyber-Kill-Chain-Modell in verschiedene Phasen untergliedern, die einem klassischen Einbruch ähneln: Das Angriffsziel – also das Unternehmen und sein IT-Netzwerk – wird über einen längeren Zeitraum beobachtet und auf Schwachstellen untersucht, bis schließlich ein gezielter Angriff erfolgt. In nahezu allen Fällen gelingt die Infiltration des Netzwerks über unzureichend gesicherte Schnittstellen, Social Engineering oder kompromittierte Wechseldatenträger. Zudem ist eine starke Professionalisierung der Angriffe zu beobachten – sie sind oft von langer Hand geplant und staatlich subventioniert. 

In jüngerer Vergangenheit führten genau solche Szenarien dazu, dass Unbefugte sich über lange Zeit unbemerkt im Unternehmensnetzwerk ausbreiten konnten. Vor Kurzem gelang es Angreifern, sich bis in das Kontrollnetzwerk der Produktion vorzuarbeiten und auf die Steuerungselemente zuzugreifen. Da sie es ausschließlich auf das geistige Eigentum des Unternehmens abgesehen hatten, kam es nicht zu direkten Auswirkungen auf die funktionale Sicherheit der Anlage. Eine Manipulation der Steuersysteme mit gravierenden Auswirkungen wäre jedoch problemlos möglich gewesen. Der Angriff wurde durch Zufall bemerkt und von einem externen Incident-Response-Team behandelt. Obgleich die Produktion bei dem Angriff nicht direkt betroffen war, verursachte der Vorfall letztlich einen wirtschaftlichen Schaden in Millionenhöhe durch Inanspruchnahme notwendiger Dienstleistungen und interner Aufwände zur Bereinigung der betroffenen Systeme. Hinzu kommt der nicht zu beziffernde Schaden durch den Abfluss von Informationen, die einen Wettbewerbsvorteil darstellen. 

Beispiele wie diese zeigen, warum der konsequente Schutz industrieller Anlagensysteme unerlässlich ist. Obgleich die Implementierung eines wirksamen In-Depth-Schutzes – also der koordinierte Einsatz verschiedener ineinandergreifender Sicherheitsmaßnahmen – zunächst mühsam und kostspielig erscheint, so sind doch der wirtschaftliche Rückschlag und der Reputationsverlust im Schadensfall unverhältnismäßig größer.

Sicherheit – ein Ressourcen-Problem?

Insbesondere im Mittelstand (KMU) ist Sicherheit vor allem eine Kostenfrage – oft stehen nur begrenzte finanzielle und personelle Ressourcen mit der erforderlichen Expertise zur Verfügung. Externe Berater können wertvolle Unterstützung leisten und Unternehmen von der Risikoanalyse und -bewertung bis hin zur Implementierung geeigneter Schutzmaßnahmen fundiert begleiten. Ziel ist es, einen wirksamen Schutz nach dem Defense-in-Depth-Prinzip (DHS2016b) in einem wirtschaftlich vertretbaren Rahmen zu implementieren. Dabei müssen alle sicherheitsrelevanten Aspekte – technische Schwachstellen, organisatorische Mängel und menschliches Fehlverhalten – gleichermaßen berücksichtigt werden. 

Am Anfang jeder Schutzmaßnahme steht die Einsicht, dass das eigene Unternehmen ein mögliches Ziel für Angreifer darstellen könnte. Vor allem Geschäftsführer und leitende Manager müssen sich vor Augen führen, dass ein Angriff kein theoretisches Szenario mehr ist, sondern mit jedem Schritt in Richtung Vernetzung wahrscheinlicher wird. Ein argloser Klick auf eine kontaminierte E-Mail im sensiblen Produktionsumfeld kann bereits genügen, um Unbefugten Tür und Tor zu öffnen – das verdeutlicht, wie wichtig eine fundierte Auseinandersetzung mit dem Thema Sicherheit auf allen Ebenen ist und sowohl technologische, menschliche und prozessbasierte Schwachstellen einbezieht. 

Analyse und Risikobewertung

Zunächst gilt es, sich einen genauen Überblick über die eigenen schützenswerten Unternehmens-Assets, ihre Netzwerk-Anbindung und damit verknüpfte Schwachstellen und Risiken zu verschaffen. Grundsätzlich wird eine Risikoanalyse im Bereich IT-Security anhand der Normreihe IEC 62443 beziehungsweise VDI 2182 vorgenommen.

Im nächsten Schritt erfolgt eine Bewertung der potenziellen Risiken – sowohl im Hinblick auf die funktionale Sicherheit von Anlagen und Schnittstellen als auch im Hinblick auf organisatorische und soziale Faktoren. Am Ende des Analyse- und Bewertungsprozesses steht eine vollständige Auflistung aller Assets, relevanter Schutzziele und Bedrohungen. Aus den Ergebnissen lassen sich schließlich sinnvolle Schutzmaßnahmen ableiten und nach Kosten und Wirksamkeit priorisieren. Alle Informationen müssen sorgfältig protokolliert und regelmäßig aktualisiert werden. Für die Erhebung und Dokumentation empfiehlt sich ein Information-Security-Management-System (ISMS), das die Informationen sicher speichert.

Awareness schaffen: First Line of Defense

Die Mehrheit aller Cyberattacken nutzt mittlerweile gezielt die Schwachstelle Mensch, um Zugang zum Unternehmensnetzwerk zu erlangen. Durch die Möglichkeiten der digitalen Kommunikation hat Social Engineering eine neue Dimension erreicht. Phishing-E-Mails gehören zu den bewährtesten Methoden: Immer wieder gelingt es Angreifern auf diese Weise, unbedarfte Personen zur Preisgabe vertraulicher Informationen zu bewegen.

First Line of Defense: Die Sensibilisierung der Mitarbeiter für Cyber-Risiken hat oberste Priorität.

© TÜV Süd

Die Stärkung des Risikobewusstseins in der First Line of Defense hat dementsprechend hohe Priorität. Mitarbeiter müssen in der Lage sein, einen Cyberangriff als solchen zu erkennen und mögliche Risiken einordnen können. Verbindliche Richtlinien und Awareness-Trainings helfen, das Bewusstsein für Bedrohungen zu schärfen. Dazu zählen Vorgaben zur Nutzung von Privatgeräten am Arbeitsplatz ebenso wie Vorgaben zur Handhabung von Systemen und Komponenten, Installation von Software und Umgang mit Security-Systemen. Ziel ist es, eine durchgängige Sensibilität für das Thema zu schaffen und so das Risiko durch Fehlverhalten zu minimieren. Awareness-Maßnahmen sind vergleichsweise kostengünstig umzusetzen und gehören mit zu den wichtigsten Grundlagen für ein wirkungsvolles Sicherheitskonzept.

Technische Schutzmaßnahmen

Auf technischer Ebene lassen sich eine Reihe ergänzender Schutzmaßnahmen treffen. Dazu zählt beispielsweise der Einsatz von industriespezifischen Firewalls und leistungsstarken Anti-Virenprogrammen ebenso wie eine sinnvolle Netzwerk-Segmentierung und Abschottung von Teilbereichen. Die Trennung von Office-IT und nachgelagerten Produktionssystemen gilt als Mindestvoraussetzung. Unternehmensweit sollten Komponenten mit ähnlichem Schutzbedarf in Zonen zusammengefasst und von benachbarten Segmenten abgegrenzt werden – im Fall eines Angriffs lässt sich so der Schaden auf Teilbereiche einschränken. 

Die Kommunikation zwischen den einzelnen Bereichen sollte ausschließlich in isolierten Zonenübergängen stattfinden. Der Einsatz von Firewalls und Datendioden zur Filterung der Kommunikation sowie Module zur Angriffserkennung erhöhen die Sicherheit zusätzlich. Zugangs- und Netzwerk-Überwachung, mehrstufige Authentifizierungsverfahren und Verschlüsselung – insbesondere bei Remote-Zugängen – sind weitere Beispiele. Außerdem müssen Updates bei Software und Komponenten regelmäßig eingespielt werden. Ein großes Problem stellen hierbei veraltete Legacy-Systeme dar, die mit modernen Sicherheits-Updates nicht oder nur teilweise kompatibel sind. In solchen Fällen ist zu evaluieren, ob ein IoT-Anschluss tatsächlich notwendig ist und die damit verbundenen Risiken rechtfertigt.

Supply Chain Security: Zugangsbegrenzung und verbindliche Standards

In Deutschland sind vor allem KMU stark in die Lieferketten großer Konzerne ein­gebunden und haben Zugriff auf Teil­bereiche des Unternehmensnetzwerks. Gleichzeitig sind sie im Schnitt weniger geschützt und bieten damit günstige Angriffsflächen.

Um Cyberattacken über die Lieferkette vorzubeugen, empfiehlt sich das Prinzip des geringstmöglichen Zugriffs mit Beschränkung auf die nötigsten Funktionen. ISO 27001 gibt zum Thema Supply-Chain-Sicherheit einen verbindlichen Handlungsrahmen für Unternehmen vor. Wichtig ist unter anderem, einen klar definierten Zugang sowie standardisierte Verfahren einzurichten, über die Lieferanten und Sub-Lieferanten an das Firmennetzwerk angebunden werden. TÜV Süd etwa engagiert sich im Rahmen der Charter of Trust, einer Allianz internationaler Unternehmen für verstärkte Cyber Security. Hier wurden inzwischen 17 ‚Baseline Requirements‘ in puncto Sicherheit für Lieferanten verabschiedet, zu denen diese sich verpflichten sollen.  

Risikomanagement: Zuständigkeiten und Prozesse definieren

IT-Sicherheit erhält angesichts der steigenden Bedrohungslage eine neue Bedeutung, was sich entsprechend in der Organisationsstruktur und in den Pro­zessen eines Unternehmens widerspie-geln muss. Grundsätzlich sollten Unternehmen ein IT-Sicherheitsteam mit einem hauptverantwortlich Beauftragten definieren. Das Team koordiniert die Umsetzung und Einhaltung der IT-Sicherheitsstra­tegie und ist für die Behandlung von ­Störungen und Sicherheitsvorfällen verantwortlich. Der Aufbau eines solchen Teams ist zeit- und ressourcenintensiv, sodass alternativ die Kompetenz externer Experten erwogen werden kann. 

Incident Response Management: Gerüstet für den Notfall

Cyber-Security-Vorfälle lassen sich nie vollständig ausschließen. Für den Krisenfall müssen die Zuständigkeiten und Handlungsabläufe in Form eines Incident Response Plans (IRP) definiert sein. In jedem Fall sollte ein internes Meldesystem zur Erfassung und Behandlung von IT-Sicherheitsvorfällen aufgebaut werden. Zudem müssen Regelungen, Back-up- und Widerherstellungsmaßnahmen für den Fall eines schwerwiegenden Angriffs ausgearbeitet werden, bei dem Datenbestände nicht nur entwendet, sondern vollständig gelöscht werden.

Vernetzte Produktion: Mit dem Internet of Things steigt die Verwundbarkeit durch Cyber-Angriffe.

© TÜV Süd

Die Incident Response erfolgt in mehreren Schritten. Bei einem konkreten Verdacht beobachtet das Response-Team zunächst die Vorgänge im Netzwerk, sichert Log-Dateien und führt Analysen durch. Anschließend werden geeignete Maßnahmen zur Schadensbegrenzung und -behebung eingeleitet. Gängige Methoden sind Netzwerk-Isolation und -Deaktivierung bis hin zur Erstellung IT-forensischer Images, zum Entfernen von Backdoors und Einspielen von Security Patches. In der Regel wird ein vollständiges Re-Imaging aller betroffenen Systeme durchgeführt, bevor die gesäuberten Systeme kontrolliert wieder produktiv geschaltet werden. Abschließend werden die Learnings aus dem Vorfall und vorbeugende Maßnahmen für die Zukunft festgehalten. 

IT- und OT-Security: Kompetenzen bündeln

IT- und OT-Security umfassen klassisch klar getrennte Bereiche. Die OT war traditionell auf in sich geschlossene Systeme in Produktions- und Industrieanlagen ohne Anbindung an das Internet beschränkt, Berührungspunkte zur IT waren selten. Mit zunehmender Vernetzung verschwimmen diese Grenzen, neu entstandene Schnittstellen zwischen IT und OT bringen neue Sicherheitsanforderungen mit sich.

Folgerichtig sollten beide Bereiche in Security-Fragen verstärkt zusammenarbeiten und ihre Kompetenzen in einem gemeinsamen Cyber Defense Center bündeln, um einen komplementären Schutz aller Unternehmensbereiche zu gewährleisten. In der Realität jedoch findet mehrheitlich noch eine getrennte Verarbeitung statt, wodurch Synergien nicht vollständig ausgeschöpft werden und Übertritte von Angreifern aus IT-Netzen in die OT-Welt nicht detektierbar sind.

Generell lässt sich sagen, dass die Angriffe häufig über Phishing orchestriert werden, und eine der besten Investitionen für mehr Sicherheit Awareness-Schulungen der eigenen Mitarbeiter sind. Wichtig ist, Bewusstsein zu schaffen für den großen Einfluss eines jeden Mitarbeiters auf die gesamte Unternehmenssicherheit. Auch das Absichern der Supply Chain ist von zunehmender Wichtigkeit. Eine Schwäche in einem Lieferantennetzwerk, das direkt mit der Zielfirma verbunden ist, stellt eine einfach zu nehmende Hürde dar und wird früher oder später ausgenutzt.

Kurzum: Absolute Sicherheit wird es auch in Zukunft nicht geben – eine dynamische, intelligente Security-Strategie, die technische, organisatorische und menschliche Komponenten sinnvoll miteinander verknüpft, minimiert jedoch das Risiko von Cyberattacken deutlich. Ziel ist es, alle Maßnahmen sinnvoll miteinander zu verknüpfen und so den größtmöglichen Schutz in einem wirtschaftlichen Rahmen zu erreichen.

Autor: 
Dr. Volker Baier ist CISO Industrial Security bei TÜV Süd Sec-IT.