Cybersecurity : Cybersicherheit: So werden Sie Hacker sicher los

Warum Cybersecurity viel Unsicherheit hervorruft, zeigen die vielen Fälle von Cyberangriffen. Immer wieder versuchen Kriminelle große Unternehmen zu erpressen, indem sie androhen, Daten zu verschlüsseln, zu löschen oder Produktionsanlagen abzuschalten oder so zu verändern, dass sie für Mensch und Umwelt gefährlich sind. Im Extremfall stehen ganze Werke still, was einen Produktions- und Gewinnausfall mit sich bringt. Auch Verletzungen oder gar Tötungen von Mitarbeiterinnen und Mitarbeitern sind bei Hacker-Angriffen nicht auszuschließen.

Die Anzahl der Cyber-Attacken nimmt also zu, die Bedrohungen werden schlimmer und dahingehend auch die Auswirkungen auf Unternehmen. Cybersecurity ist ein wichtiges Thema. Immerhin gab es allein im Jahr 2014 laut „Verizon Data Breach Report“ 80.000 gezielte Cyber-Angriffe. Der Aktuellste ist wohl jener auf die Impfstoff-Dokumente des Covid-19-Impstoffherstellers Biontech. „Lag der Fokus noch vor einigen Jahren ausschließlich auf der IT, so sind heute aufgrund der starken IT-Unterstützung im Produktionsbereich auch Produktionssysteme bei einem entsprechenden Sicherheitsvorfall betroffen“, sagt Thomas Masicek, Head der Unit Cyber Security bei T-Systems.

Helmut Wöginger, Vice President Group Business Development bei Andritz, weiß, wer besonders oft gehackt wird: „Je mehr jemand hinausposaunt, dass er cybersecure ist, desto mehr lockt er Hacker an, die beweisen wollen, dass dies nicht der Fall ist“, stellt Wöginger klar. „Andritz wurde auch schon gehackt, aber wir konnten das rasch wieder in den Griff bekommen“.

Wir bleiben in der Steiermark und werfen einen Blick auf die Sicherheitslage des Anlagenbauers SMB. „Die SMB ist sicher, aber nicht sehr sicher“, schätzt Andreas Pein, Leiter IKT bei SMB. Er sieht eine Menge Potenzial zur Verbesserung. Um das Unternehmen noch sicherer zu machen, kommen bei SMB neue Firewall-Regeln zum Einsatz, das Konzept der internen Netzwerkstruktur wird verbessert und relevante Software Systeme werden evaluiert.

Seit etwa drei Jahren ist Andritz mit ihrem israelischen Joint Venture Partner Otorio mit einer gemeinsamen Lösung auf dem Markt. „Wir bieten ein Security Operations Center an. Das sogenannte RAM² Portal setzt an der Schnittstelle zwischen IT und Anlagensteuerung, also Operations Technology (OT), an und überwacht vollständig und automatisch alle Assets und mögliche Attacken auf das Firmennetzwerk“, erklärt Wöginger.

Laut ihm liegen die größten Cyber Sicherheitsrisiken bei gewissen Software-Tools, die nicht auf dem letzten Stand sind, weil sie eher von verminderter Bedeutung sind. Das können zum Beispiel Zeiterfassungssysteme sein. Auch Tochtergesellschaften, die mit ihren Aktualisierungen vielleicht ein bis zwei Generationen zurückliegen oder gefälschte Emails mit Anhang können zur Gefahr werden. „Man glaubt vielleicht die Datei ist ein CV, doch dahinter steckt dann ein kleines Programm, das eine Pforte öffnet und das Firmennetzwerk sowie die Anlagensteuerung infiziert“, so Wöginger.

Und so gehen Andritz und Otorio vor: „Wir installieren ein Device im Netzwerk des Unternehmens, im OT, das sämtliche nach außen hin offene Eintrittspforten bei Geräten abcheckt, ob sie auf dem letzten Stand sind. Bei diesem installierten Gerät kann es sich um einen Mini-Computer handeln oder man nützt die Cloud.“

Es wird also kontinuierlich geprüft wie sicher das System ist und bestehende Gefahren werden eliminiert. Abgesprochen mit dem Kunden wird ein IoT-Penetrationstest, kurz Pentest, gemacht. „Das heißt wir versuchen kontrolliert auf die Produktionsanlagen des Kunden zuzugreifen. Das glaubt der Kunde dann meistens nicht und sagt, wir würden das nie schaffen. In sehr vielen Fällen kommen wir aber trotzdem in die Steuersoftware hinein und hinterlassen eine Kleinigkeit wie ein Foto oder Piktogramm, das vorab ausgemacht wurde. Dann sind die Kunden oft sehr überrascht“, schildert Wöginger.

Ein wesentliches Sicherheitsrisiko ist häufig auch die Digitalisierung, denn Cybersicherheit kann durch sie leicht zur “Cyberunsicherheit” werden. „Heute haben wir vollintegrierte Produktionsprozesse, die von einem Bestellsystem befüttert werden. Eigentlich ist der gesamte Produktionsprozess digitalisiert. Greift man an einer einzigen Stelle ein, funktioniert das ganze System nicht mehr. Das ist das eine Risiko. Das zweite ist, dass nicht einmal mal mehr Notfallprozeduren funktionieren, wenn die IT nicht im gewünschten Sinn funktioniert“, berichtet Masicek.

Und welche Rolle spielt 5G? Cybersicherheit stellt sich modernen Herausforderungen. Thomas Masicek erklärt, dass OT-Netze historisch im Prinzip abgeschottet waren. Viele Unternehmen stellen nun ihre Steuerungsanlage ins Internet und haben ihre IT-Architektur nicht mehr im Griff. „Wenn ich 5G so einsetze, wie es konzipiert ist, als verlängerten Arm meines internen Produktionsnetzwerkes, und auch in Sicherheitssegmente unterteile, entsteht dadurch kein höheres oder niedrigeres Risiko als mit anderen Technologien“. Aber die Komplexität nimmt zu und Masicek hebt hervor, dass es Experten braucht, die in der Lage sind, die Plattformen in unterschiedliche Netzsegmente zu unterteilen und damit auch für die nötige Sicherheit im OT-Netz zu sorgen.

Produktionssysteme werden in der Regel auch aus der Produktion verantwortet und nicht aus der IT. Das sieht Masicek problematisch und auch Pein von SMB spricht von einem internen Kampf zwischen IT und OT: „Cybersecurity ist ein Thema der IT und die Awareness bei den Fachbereichen ist nicht so groß“. Die Bedrohungen durch Hackerangriffe sind laut Masicek allerdings im Grunde genommen gut vorhersagbar und dadurch auch bis zu einem gewissen Punkt verhinderbar - wenn man seine Hausaufgaben macht.

Doch wie schütze ich nun meine Industrieanlagen? Laut Masicek von T-Systems sollte man sich erstens ein entsprechendes Zonenkonzept für den OT-Bereich überlegen. Wie man es aus der IT kennt, gibt es unterschiedliche Sicherheitszonen. Beispielsweise kann man jede Produktionsstraße in ein eigenes Segment einteilen, damit sich bei einem Angriff die Schadsoftware nur in einem kleinen Bereich ausbreitet, also nicht die gesamte Produktion betroffen ist, sondern nur eine einzige Produktionsstraße.

Zweitens empfiehlt er die genaue Überwachung des Übergangs vom IT-Netz zum OT-Netz. Da ein direkter Angriff meist im IT-Bereich startet, müssen IT und OT getrennt sein. Außerdem rät Masicek zur OT-Überwachung mittels Intrusion Detection Systemen und zur Weiterbildung für Cybersicherheit, um Awareness im Produktionsbereich zu schaffen.

Auch Wöginger von Andritz rät zu einer Schulung zur Cybersicherheit und zur Vorsicht bei Fake Emails. Außerdem empfiehlt er das Netzwerk aktuell zu halten und ein Sicherheitssystem zu installieren. Jenes von Andritz und Otorio decke nach Wöginger viel ab.

Pein von SMB sieht auch in der Zertifizierung von Cybersicherheit einen Knackpunkt: Auf diese wird seiner Meinung nach in den nächsten Jahren verstärkt ein Augenmerk gelegt werden, wobei er auch sagt: „Eine ISO Zertifizierung ist für uns nicht so leicht finanzierbar, doch eine Einschränkung nur auf den IT-Bereich wäre denkbar“. Ein Unternehmen, dass Cybersicherheit als Chance sieht, kann sich wohl im Konkurrenzvergleich auch seines Wettbewerbsvorteils sicher sein.