Die Bedrohungen aus dem Computer-Bereich haben längst auch Maschinen und Anlagen der Industrie erreicht. Die zunehmende Vernetzung über das Internet der Dinge (IoT) und der Einsatz digitaler Tools eröffnen zusätzliche Angriffsmöglichkeiten für Cyberkriminelle. Das gilt besonders, weil diese Anlagen der sogenannten „Operational Technology“ (OT) oft weniger geschützt sind als IT-Infrastrukturen.
Im Mai wurde die größte Benzinleitung der USA durch einen Hack angegriffen. Die Attacke auf die Colonial Pipeline führte zu einer vorübergehenden Abschaltung sowie zu Versorgungsengpässen im Osten der USA und zu Panikkäufen an den Tankstellen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst die Lage der IT-Sicherheit in Deutschland als „angespannt bis kritisch“ eingestuft. In seinem jährlichen Lagebericht fordert die Cybersicherheitsbehörde des Bundes, dass „Informationssicherheit einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller Digitalisierungsprojekte werden“ muss.
Für diese Entwicklung sind nicht nur die wachsende Zahl von industriellen IoT-Geräten und die zunehmende Vernetzung von Operational Technology und IT verantwortlich, sondern auch die komplexen Lieferketten unserer globalen Wirtschaft. Immer mehr Unternehmen sind in diese Ketten eingebunden. Sie verwenden eine Vielzahl unterschiedlicher Systeme, die sich zum Teil als sogenannte „Schatten-IT“ den Kontrollen entziehen. Oder sie nutzen unbekannte oder veraltete Anwendungen und Infrastrukturen, die außerhalb von Standardrichtlinien entwickelt wurden oder verwaltet werden. Die Komplexität erhöht sich zusätzlich dadurch, dass oft mehrere Parteien bei der Lieferantenauswahl eine Rolle spielen, aber kaum jemand vollständige Einblicke in ihre Sicherheitspraktiken bekommt.
Kein einfacher Ausweg: Acht Regeln für mehr Sicherheit
Einen einfachen Ausweg aus diesem Dilemma gibt es nicht. Das proaktive Management des gesamten Ökosystems wäre wünschenswert, aber dafür gibt es keine zentrale Instanz und seine Komplexität wäre kaum zu bewältigen. Im Einzelfall können reaktive Ansätze helfen, doch sie scheitern oft an fehlenden technischen oder personellen Ressourcen. Um dennoch ein Höchstmaß an Sicherheit zu erreichen, sollten Unternehmen die folgenden acht Regeln beachten:
1. Software-Entwicklungssysteme absichern
Es sind nicht nur die großen Software-Unternehmen, die Entwicklungsarbeit leisten. Viele Unternehmen haben dafür eigene Abteilungen, die sich um firmeneigene Anwendungen kümmern. Deswegen ist es wichtig, ihre Systeme vor den verschiedensten Bedrohungsvektoren zu schützen: beispielsweise die Entwicklungsumgebung mit ihren Tools und Plattformen, auf denen der Code geschrieben, kompiliert und getestet wird.
Dazu gehört auch der Schutz von Quellcodes. Risiken entstehen oft, wenn Quellcode oder Binärdateien aus unterschiedlichen Quellen übernommen werden. Für jede dieser Quellen muss es ein gewisses Maß an Vertrauen geben, damit kein Schadcode durch die Kontrollen schlüpft. Schließlich gilt es auch, die Freigabeprozesse sicher zu gestalten. Dabei sollten mehrstufige Prozesse garantieren, dass wirklich alle entwickelten Anwendungen oder Module sicher sind.
2. Sicherheit von Firmware und Treibern
Alle industriellen IoT-Geräte arbeiten mit Firmware und Treibern sowie Schnittstellen, die ihre Integration in vernetzte Systeme ermöglichen. Doch solche Geräte verfügen oft nur über Standard-Schutzmechanismen, wie voreingestellte Passwörter. Sie können zwar leicht geändert werden, aber das unterbleibt oft. Solche schwach geschützten Geräte lassen sich relativ leicht angreifen, mit Malware infizieren und als Einfallstor für weitergehende Attacken auf geschützte Infrastrukturen missbrauchen. Unternehmen müssen deshalb sicherstellen, dass jede Firmware und alle Treiber sowie die Einstellungen den höchsten Sicherheitsanforderungen entsprechen und auf dem neuesten Stand sind.
3. Physische Sicherheit
Zum Schutz von IT- und OT-Anlagen gehört auch der physische Schutz über Zugangskontrollen und spezielle Sicherheitsmaßnahmen. Sie verhindern schon zu einem großen Teil, dass der Zugriff auf die industriellen IoT-Geräten überhaupt möglich ist.
4. Sicherheit in der Produktion
Gerade im OT-Bereich sind Schutzmechanismen auf IT-Niveau oft noch die Ausnahme. Doch auch vernetzte Maschinen und Industrieanlagen brauchen Standards, die das Erkennen von Angriffen samt Gegenmaßnahmen sowie eine Systemwiederherstellung nach erfolgreichen Attacken ermöglichen. Dafür müssen die Einfallstore für Angriffe, wie vernetzte Sensoren oder Messinstrumente, geschützt werden sowie Schnittstellen und Übertragungswege verschlüsselt und gesichert werden. Außerdem sollten immer Backups bereitstehen, die vom laufenden System isoliert sind und eine schnelle Wiederherstellung nach Angriffen ermöglichen. In diesen Bereich gehört auch der Schutz des geistigen Eigentums von Unternehmen, das oft elektronisch abgelegt ist.
5. Sicherheit bei Lieferanten und in der Logistik
Die bisher genannten Sicherheitsmaßnahmen sind besonders wichtig, wenn Unternehmen externe Firmen wie Lieferanten, Dienstleister oder Logistikpartner in ihre Wertschöpfungsprozesse integrieren. Service Level Agreements können dabei (SLAs) helfen, Mindeststandards für die Sicherheit der Lieferkette einzufordern und zu garantieren.
6. Sicherheitsüberprüfungen und Garantien
Auch Audits und Kontrollen sollten zu diesen SLAs gehören, damit sich die Sicherheitsmaßnahmen regelmäßig überprüfen lassen. Sie müssen aber auch ein Teil der internen Sicherheitsprozesse sein. Beides ist wichtig, weil sich die Angriffsmöglichkeiten sehr schnell verändern und an neue Sicherheitslagen anpassen. Um immer auf dem aktuellen Stand zu bleiben, empfehlen sich Dokumente wie der regelmäßig erscheinenden Digital Defense Report von Microsoft.
Anzeige
Business Guide Microsoft Dynamics
Der Einkaufsführer für Microsoft Dynamics & Add-ons
- Themenbezogene Grundlagenbeiträge neutraler Experten
- Katalogeinträge (Firmenprofile)
- Success Stories der Microsoft Dynamics Partner
- Produktübersichten in tabellarischer Form
Zum Download des Microsoft-Guides
7. Vertrauensmanagement
Die Komplexität unserer Wertschöpfungsketten und die Dynamik der Bedrohungen verhindern, dass sich Rundum-Sorglos-Lösungen entwickeln können, die dauerhaft gültig sind. Doch durch die Kombination von SLAs und Audits lassen sich wenigstens Vertrauens- oder Positivlisten mit verlässlichen Partnern erstellen. Sie helfen bei der Auswahl von zuverlässigen Lieferanten, Dienstleistern oder Logistikern. Aber auch diese Listen müssen regelmäßig auditiert und bei Bedarf angepasst werden. Dabei ist vor allem Transparenz wichtig. Sie hilft, das Vertrauen gegenüber Kunden und Partnern zu dokumentieren, die ebenfalls auf die Sicherheit ihrer Lieferkette vertrauen wollen.
8. Überwachung und Zero Trust
Jeder der oben genannten Arbeitsbereiche erfordert eine regelmäßige Überwachung der Sicherheit sowie das Trainieren und Ergreifen von Gegenmaßnahmen. Neue Konzepte wie Zero Trust oder SIEM (Security Information and Event Management), das durch Azure Sentinel ermöglicht wird, können diese Prozesse weitgehend automatisieren. Sie werden durch maschinelles Lernen und künstliche Intelligenz unterstützt, die aus Milliarden von Signalen genau jene Abweichungen oder Anomalien erkennen können, die auf Cyberangriffe hinweisen.
In der Gesamtbetrachtung zeigt sich immer wieder, dass eine moderne Cloud-Infrastruktur den Großteil der Aufgaben zur Absicherung bereits abdeckt. Dennoch bleibt der Schutz von OT-Anlagen eine strategische Management-Aufgabe, der sich kein Unternehmen entziehen kann. Erst dann werden Wertschöpfungsketten so sicher gegen Cyberangriffe, wie es nach heutigen Maßstäben sein kann.
Über die Autorin
Melanie Weber, Industry Executive – Chemical, Pharma & Life Science Industry bei Microsoft Deutschland