Der koordinierte Hackerangriff auf mehrere Energieversorger in der Ukraine Ende 2015 ist einer der prominentesten Worst Cases für einen Hackerangriff auf kritische Infrastrukturen. Wie erst kürzlich bekannt wurde, versuchte die hierfür verantwortliche Cyberkriminellen-Bande ihr „Glück“ wohl auch bei deutschen Energieversorgern. Diese (und andere Fälle) verdeutlichen ein gewaltiges Problem, das insbesondere in Industrie-4.0– und auch IoT-Szenarien regelmäßig relevant wird: Geht es nun eigentlich um Safety oder Security?

Wenn Fachleute aus Produktion und Fertigung über Sicherheit sprechen, haben sie die betriebliche oder funktionale Sicherheit von Anlagen im Kopf – Safety also. IT-Fachleute hingegen denken bei Sicherheit an die Absicherung von IT-Systemen gegen Fremdeinwirkung – Security. So unterschiedlich die Deutungen des Begriffs im Deutschen sind, so unterschiedlich sind auch die Positionen der Verantwortlichen in den Bereichen Informationstechnik (IT) und Operational Technology (OT).

 

Limitierte Möglichkeiten

Bei allen Unterschieden müssen beide Parteien einen Weg finden, aufeinander zuzugehen. Denn durch die zunehmende Digitalisierung der OT reicht Safety (also die physikalische Absicherung) nicht mehr zur Gefahrenabwehr aus. Mit der Vernetzung und dem Einzug von Betriebssystemen und Software in die Anlagensteuerung, beziehungsweise den Produktionsprozess, wird die OT mit dem für sie bis dato kaum relevanten Themenkomplex IT-Sicherheit konfrontiert.

Das ist allerdings auch dringend nötig, denn das Sicherheitsrisiko für die Operational Technology nimmt kontinuierlich zu – wie eine Studie der FHDW feststellt: „Mit hoher Wahrscheinlichkeit können die meisten Unternehmen einen professionellen Angriff auf ihr OT-Netzwerk nicht rechtzeitig erkennen“, warnen die Autoren, um im Anschluss den wenig ermutigenden Satz nachzuschieben: „Wenn ein Unternehmen Ziel eines Angriffs wird und diesen erkennt, sind seine Reaktionsmöglichkeiten sehr beschränkt.“

 

 „Patch doch Deine Systeme regelmäßig“

„Das Bewusstsein für Gefahren und Risiken ist auf beiden Seiten vorhanden“, stellt Frank Stoermer, Security Principal bei DXC Technology, in Gesprächen mit seinen Kunden immer wieder fest. Allerdings liegen die Welten so weit auseinander, dass von der IT geforderte, ganzheitliche Lösungsansätze in der Praxis meist nicht funktionieren. Ein häufig anzutreffendes Problem sind beispielsweise veraltete Windows-Versionen, die keine Security Patches mehr erhalten.

Die Ransomware-Epidemien, die mit WannaCry und (Not)Petya Mitte 2017 losgetreten wurden, konnten sich etwa nur mit Hilfe einer bis dahin unbekannten Windows-Schwachstelle im großen Stil ausbreiten. Obwohl besagte Lücke inzwischen geschlossen wurde, arbeiten einige Unternehmen dennoch völlig ungerührt und ungeschützt weiter. Der Apple-Zulieferer TSMC beispielsweise: Kritische Produktionsaufgaben liefen dort nach wie vor über nicht gepatchte Windows-7-Systeme. Bis zum August 2018, als auch die Produktion beim taiwanesischen Halbleiter-Hersteller durch WannaCry ein unfreiwilliges, temporäres Ende fand.

Laut des Global ICS & IIoT Risk Reports 2017 haben 75 Prozent aller Fertigungsstandorte mit diesem Problem der veralteten Systeme zu kämpfen. Rund die Hälfte dieser Standorte kommt auch noch gänzlich ohne Virenschutz-Software aus und in 60 Prozent der Produktionsumgebungen kursieren Passwörter im Klartext-Format. Gänzlich ungeschützt sind außerdem ganze 28 Prozent aller Anlagen – und somit Freiwild für kriminelle Hacker.

 

Erteilt nun die IT dem Produktionsleiter den Auftrag: „Patch doch Deine Systeme regelmäßig“, kann das die OT nicht umsetzen.

 

Einerseits weil Microsoft den Support für Uralt-Software eingestellt hat, andererseits weil Roboter oder Maschinen mit spezieller Technik nicht einfach mit Standardsoftware auf den neuesten Stand gebracht werden können. Überhaupt kann man die Prozesse nicht einfach unterbrechen und Wartungsfenster beantragen, um Patches einzuspielen. „Das funktioniert in der Produktion so nicht“, weiß Stoermer.

 

Wer ist hier eigentlich der Boss?

 

Eine Frage, die bei Beratungsgesprächen immer wieder auftaucht: Wer hat in Sachen Security eigentlich den Hut auf? Jemand aus der IT im Stab des CIO wäre unter Umständen zu weit entfernt von der OT. Ein Produktionsleiter, beziehungsweise ein OT-Mitarbeiter, ist zwar nah an den Systemen um die es geht, im Regelfall aber IT-seitig nicht mit dem nötigen Knowhow gesegnet. Die Realität zeigt: In den wenigsten Betrieben ist überhaupt festgelegt, wer an dieser Stelle „Boss ist“.

Wenn Stoermer und sein Team in die Betriebe gehen, ist die Optimierung der Kommunikation zwischen IT und OT regelmäßig ein Thema auf der Agenda. Um diese beiden Welten näher zusammen zu bringen, verfolgt DXC einen strukturierten Lösungsansatz. Dazu verschaffen sich die Profis zunächst einen vollständigen Überblick über die Systeme, die Sie einsetzen und Ihre Softwarestände. Das Ziel: diese Parameter fortlaufend zu überwachen, um Anomalien oder Sicherheitsvorfälle zu erkennen. Auf dieser Basis erarbeiten die Spezialisten schließlich einen maßgeschneiderten Lösungsansatz. „Geht man mit den Anforderungen pragmatisch um, ist das manchmal ganz einfach“, verrät Stoermer.

Man müsse nur die jeweilige Problematik genau analysieren und entsprechende Schlüsse ziehen. So ist es manchmal sinnvoller, anstatt der Eins-zu-Eins-Umsetzung eines umfassenden Sicherheitskonzeptes einfach eine Firewall vor eine angreifbare Maschine zu setzen. Und was tun, wenn ein einheitliches Enterprise-Fernwartungssystem nicht geeignet ist? „Dann muss eben eine andere Lösung gefunden werden, die das Risiko begrenzt und dem Techniker beispielsweise ausschließlich Zugriff auf eine Maschine erlaubt – und nicht auf das ganze Netzwerk“, antwortet Stoermer.

 

You’ll never walk alone

Mit Hilfe dieses risikobasierten Ansatzes, der für jedes Unternehmen individuell erarbeitet werden muss, können auch Ihre IT und OT zusammenfinden. Lassen Sie sich unverbindlich von DXC-Experten beraten, wie Sie Ihre Fertigung sicher und effizient organisieren können. Natürlich umfasst deren Expertise auch die Systemintegration im laufenden Betrieb: „Niemand wird bei diesem Prozess alleingelassen“, verspricht Stoermer.