Automatisierung und Digitalisierung betrieblicher Abläufe bringen mittelständischen Unternehmen viele Vorteile, etwa bei der Produktionsflexibilität oder Preisgestaltung für den Markt. Doch je erfolgreicher ein Betrieb agiert, desto attraktiver wird er auch für Cyber-Kriminelle, beispielsweise für Erpressungsversuche durch Ransomware.
In puncto IT-Security sind mittelständische Unternehmen mittlerweile gut aufgestellt. Mitunter haben Umfragen ergeben, dass Mittelständler im IT-Security-Bereich bis zu 50 verschiedene Security-Tools einsetzen, um allen IT-Gefahren zu begegnen. Bei einer durchdachten Sicherheitsstrategie deckt der IT-Security-Bereich die internen geschäftlichen Abläufe ab, schützt die Kommunikation mit Kunden bei E-Mail- und Webverkehr und sichert grundsätzlich die Daten in Form von Archivierung, Backup oder Verschlüsselung.
Allerdings sind viele Unternehmer noch oft der Auffassung, dass die vorhandene IT-Security auch die wichtige Produktion mit absichert. Doch Produktionsmaschinen und Arbeitsnetzwerke benötigen Operative-Technologie (OT)-Sicherheit, denn klassische IT-Security-Lösungen sind anders konzipiert als eine OT-Security.
Was ist OT-Security?
Ein Netzwerk mit OT-Sicherheit schützt alle darin arbeitenden Geräte und Maschinen, auch wenn diese mit den exotischsten Betriebs- oder Steuerungssystemen arbeiten. Denn es ist meist schlicht technisch nicht möglich, eine Schutz-Software oder einen Agenten auf die Maschine zu bringen. Aber ist eine Maschine durch ein Interface in der Lage „IP“ (Internet Protokoll) zu sprechen, kann sie in ein Netzwerk integriert werden. Spezialisten nennen diese Maschinen „Industrial Internet of Things“, kurz „IIoT“.
Sobald sich ein produzierendes Gerät innerhalb eines Netzwerks befindet, ist es damit auch theoretisch angreifbar. Angreifer nutzen dann zum Beispiel einen speziellen Code, den nur die Maschine versteht, senden ihn durch das Netzwerk und verursachen damit Schaden oder starten eine Erpressung des Unternehmens. Aber auch nicht besonders geschützte Hilfs-PCs sind ebenfalls oft ein Ziel.
Der Ransomware-Angriff 2021 auf JBS, der US-Tochter des brasilianischen, weltgrößten Fleischproduzenten JBA S.A., zeigt die digitale Verwundbarkeit heutiger Industrieunternehmen, wenn sie über keinen adäquaten Schutz ihrer OT verfügen. So verschlüsselte Ransomware in diesem Fall zahlreiche Produktions-PCs für die Dokumentation bei der Fleischverarbeitung, was zu einem tagelangen Produktionsausfall führte.
Es wurde also nicht die Verwaltung mit IT-Security getroffen, sondern das OT-Netzwerk, welches ebenfalls mit PCs arbeitet. Für die Versäumnisse im Bereich seiner OT-Sicherheit zahlte JBS ein Lösegeld von 11 Millionen Dollar sowie zusätzlich die Kosten für den Produktionsausfall, die Umrüstung des OT-Netzwerks und die Neuanschaffung einer Security-Lösung in Rekordzeit.
Ein weiterer bekannter Fall ist die Attacke auf den amerikanischen Kraftstoffversorger und Pipeline-Betreiber Colonial Pipeline, bei der es Angreifern gelang, die Überwachungsebene für die Pipeline zu infiltrieren und dort Ransomware zu platzieren. Auf Anweisung des Betriebsleiters schalteten die Mitarbeiter die Pipeline ab. Damit war die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA gekappt und ein KRITIS-Versorger war lahmgelegt. Erst nachdem an die Angreifergruppe Darkside 4,4 Millionen Dollar Lösegeld gezahlt wurden, ging die Pipeline wieder in Betrieb.
Lösegeld zahlen oder nicht?
Die Frage, ob im Fall eines erfolgreichen Ransomware-Angriffs das betroffene Unternehmen das Lösegeld bezahlen sollte, wird selbst von Spezialisten nur uneinig beantwortet. Unternehmen müssen sich im Klaren sein, dass jeder gezahlte Euro einen weiteren Angriff finanzieren kann. Die politisch korrekte Antwort lautet daher: nicht bezahlen. Auch, weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert.
In der Praxis liegt der Fall anders. Geht es bei einem Betrieb um die nackte Existenz, wird jeder sofort einer Zahlung zustimmen. Denn wenn wesentliche Daten nicht mehr zugänglich beziehungsweise mit vernünftigem Aufwand wiederherstellbar sind, bleiben einem Unternehmen nicht mehr viele Optionen.
Die Lösegeldzahlung ist somit weniger eine moralische als eine kaufmännische Entscheidung. Und sie entbindet nicht von der Notwendigkeit einer forensischen Aufarbeitung und Aufräumaktion im Nachgang, zusätzlich zu neuen Schutzmaßnahmen, die gegen weitere Angriffe absichern. Umso mehr ist es angeraten, in Prävention zu investieren, solange man noch kann.
OT-Security mit externen Experten realisieren
Vor dem Hintergrund stetig steigender Bedrohungen müssen produzierende KMUs in Sachen OT-Security also umdenken und ihre Lage prüfen. Wie gefährdet ist der aktuelle Produktionsstandort? Sind die Netzwerke getrennt, verknüpft und von außen erreichbar? Gibt es überhaupt eine passable OT-Security und wann wurde diese zuletzt überprüft?
Viele dieser Fragen können Unternehmen gar nicht selbst beantworten, sondern brauchen dazu externe Beratung, bis hin zum Testangriff und einer Auswertung der Verwundbarkeit. Unternehmen sollten deshalb am besten bereits bei der Planung eines Neu- oder Umbaus eines Betriebs ihre OT-Sicherheitsstrukturen überdenken und prüfen.
Am Beispiel der Planung und Umsetzung des Schutzes eines Offshore-Windparks etwa lässt sich das verdeutlichen. Jedes Gerät im Netzwerk, ob klein oder groß wie ein ganzes Windrad, wird als IoT-Gerät (Internet of Things) gesehen und innerhalb des Netzwerks geschützt. Jegliche Kommunikation im Netzwerk wird überwacht, Zugriffe nach Rechten bewertet oder Anomalien analysiert. Bei Bedarf lassen sich Teile des Netzwerks isolieren oder Zugriffe sofort sperren. Moderne produzierende Technologien sollten daher immer mit modernen OT-Schutz-Technologien zusammenarbeiten.
Zertifizierte OT-Sicherheit gegenüber Partnern und Kunden
Im Zusammenhang mit OT-Schutz von Produktionsbetrieben wird auch gerne von der Smart Factory oder Industrie 4.0 gesprochen. Diese Begrifflichkeiten haben alle eine Schnittmenge, die es für Unternehmen zu verstehen und einzuordnen gilt. Gerade bei Smart Factory wird oft nur die digitale Produktionsumgebung gesehen, die sich selbst organisiert, sowie die Fertigungsanlagen und die Logistiksysteme. Allerdings lässt sich auch eine ganze Umgebung einer Smart Factory einer Risikoanalyse in Bezug zur Informationssicherheit gemäß IEC 62443 unterziehen.
Zertifizierer wie etwa VDE bieten an, im Industriebereich bei Büro-IT und Operations-OT die Schnittstellen zwischen Maschinen, den Management- und Bürosystemen sowie zum Internet zu prüfen. Dabei spielt es keine Rolle, ob das Netzwerk nur innerhalb einer Fabrik betrieben wird oder ob externe Kommunikationspartner, wie beispielsweise Zweigstellen, über das Internet mit diesem Netzwerk verbunden sind. Nach erfolgreicher Prüfung erhält der Netzwerkbetreiber das VDE Zertifikat für Informationssicherheit.
Die Verknüpfung von OT und IT eröffnet neue Möglichkeiten für die Industrie, führt aber auch zu einer Vielzahl von Bedrohungen für die Cyber-Sicherheit. Deshalb benötigen Unternehmen eine umfassende Sicherheitsstrategie, die den gesamten Sicherheitslebenszyklus von der Produktion bis hin zu den Geschäftsabläufen berücksichtigt, um das volle Potenzial von Automatisierung und Digitalisierung sicher auszuschöpfen.
Stefan Schachinger ist Produktmanager Network Security für die Bereiche IoT/OT/ICS bei Barracuda.