Mit Industrie 4.0 und der Digitalisierung steigt nun auch das Bewusstsein, die IT der Industrieanlagen gegen mögliche Einflüsse abzusichern. Eine große Herausforderung hierbei ist das fehlende Know-How in der IT-Abteilung für die spezifischen Anforderungen in der Betriebstechnik.

Aus diesem Grund haben wir hier das notwendige Wissen für einen erfolgreichen Einstieg in die Industrial Security zusammengestellt. Dieser Guide richtet sich vor allem an Personen, die bereits Erfahrungen im Umgang mit IT-Technologien haben und Verantwortung für die Security in der Anlage übernehmen sollen. Aber auch technisch weniger versierte Einsteiger erhalten hier einen verständlichen Überblick über das Thema.

Warum müssen sich Betreiber von Industrieanlagen mit IT-Sicherheit auseinandersetzen?

Was ist der Grund für die Verwundbarkeit der heutigen Industrianlagen gegenüber Bedrohungen aus dem Cyberraum?

Sie haben wahrscheinlich schon häufig gehört, dass die Digitalisierung den Vernetzungsgrad in den Anlagen vorantreibt und damit Einfallstore für schädliche Einflüsse öffnet. Das ist jedoch nur die halbe Wahrheit.

Um den Sachverhalt zu verstehen, müssen wir uns die Historie der IT im Automatisierungsumfeld anschauen:

Der Einzug von (unsicheren) IT-Standardtechnologien in das Industrieumfeld

Lange bevor in der Öffentlichkeit über „Digitalisierung“ gesprochen wurde, wurden bereits erste Maschinen von Bussystemen auf IP umgestellt. Hierdurch wurden immer mehr Standard-Technologien der IT (Router, Switche & Co) in die Automatisierungstechnik übernommen und ermöglichten eine Kopplung der Anlage an das Internet.

Die Sicherheit dieser IT-Standardtechnologien ist jedoch schwach ausgelegt, was sich beispielsweise darin zeigt, dass nach wie vor E-Mail-Kommunikation unverschlüsselt stattfindet oder viele Protokolle wie ARP oder IP in Ihrer Grundform leicht manipulierbar sind. Bei ihrer Entwicklung waren diese Technologien schlichtweg nicht darauf ausgerichtet, als Rückgrat für die Wirtschaft und unsere Gesellschaft zu fungieren, geschweige denn für den Einsatz in Industrie- und Fertigungsanlagen.

Auf Basis dieser Urzeit-IT-Technologien arbeiten jedoch bis heute die meisten Industrieanlagen.

Die Bestandsanlagen waren nie darauf ausgerichtet, an ein Netzwerk (geschweige den an das Internet) angeschlossen zu werden

Eine typische Anlage arbeitet mit Komponenten und IT-Systemen, die auf eine Laufzeit von 15 bis 30 Jahren ausgelegt ist. Das trifft sowohl auf alte Maschinen als auch auf Steuerungen und PC-Stationen zu, die größtenteils noch auf veralteten Betriebssystemen wie Windows XP oder Windows 98 laufen. Gemäß dem Motto „Never Change a Running System“ wird hier weitestgehend auf Updates und Patches verzichtet.

Durch Modernisierung werden die Bestandsanlagen nun netzwerkfähig gemacht und können fortan eigenen Programmcode auszuführen. Anhand dieser neuen Fähigkeit sind die ehemals abgeschotteten Systeme aber auch in der Lage Schadcode und ungewollte Datenpakete zu empfangen und auszuführen.

Diese fragilen Altsysteme werden nun mit einer digitalisierten Welt verbunden, die mehrere Jahrzehnte Vorsprung hat.

Die Professionalisierung der IT im Automatisierungsumfeld wurde vernachlässigt

Auf Basis dieser technologischen Entwicklung haben sich recht schnell praktische Anwendungsfälle ergeben. So lieferten beispielsweise Maschinenhersteller direkt Fernwartungszugänge mit aus. Aber auch zentrale Datenerfassungssysteme wurden in den Automatisierungsnetzen etabliert. Wenn mehr Anschlüsse im Netz notwendig waren, wurden diese einfach erweitert.

Mit der Zeit entstand eine riesige IT-Schattenlandschaft im Automatisierungsumfeld, die aber nie als „IT-Landschaft“ deklariert wurde. Nach bestem Wissen wurde diese von Anlagenpersonal, Lieferanten und auch dem herkömmlichen Elektriker „mal eben so“ – ohne Konzeption, Dokumentation oder Architekturgestaltung – eingeführt.

Als Ergebnis finden Sie heutzutage eine stark gewachsene Netzwerkinfrastruktur vor, die es den Betreibern unmöglich macht den Überblick zu bewahren und die weder skalierbar noch sicher betrieben werden kann.

Die Professionalisierung der neuen IT-Systeme wurde schlichtweg vergessen.

Wenn Sie heute eine Anlage besuchen, werden Sie häufig flache unsegmentierte Netze vorfinden. Sicherheitsrelevante Maßnahmen wie automatisierte Backup-Lösungen, zentrales Management von Switches oder software-automatisiertes Asset-Management werden Sie darin vergebens suchen. Die IT-Systeme wurden angeschafft, implementiert und laufen ohne Wartung im produktiven Betrieb. Viele davon sind teilweise auch mit Standard-Passwörtern aus dem Netz erreichbar.

Die Hersteller der Industriesysteme verwenden eigene Technologien

Die Problematik wird durch die Tatsache verstärkt, dass viele Hersteller proprietäre Technik verwenden, die meist nur wenige Sicherheitsfeatures enthält. Zum einen geben das die Echtzeitanforderungen nicht her, zum anderen kennen sich die Hersteller aber auch schlicht und einfach nicht mit den Grundsätzen sicherer Produktentwicklung aus.

Die Verwendung von herstellereigener Technik erschwert zudem auch den Zugang für die IT-Abteilung. Nicht selten kommt Hardware von Hirschmann oder Siemens zum Einsatz, die in der normalen Office-IT-Welt gänzlich unbekannt sind. Das gleiche gilt für Kommunikation mit proprietären Netzwerk-Protokollen.

Industrie 4.0 und die Digitalisierung als Katalysator der Vernetzung

Zusammengefasst, finden wir also eine Anlagenlandschaft vor…

  • die nur noch schwer zu überblicken ist,
  • die weder sicher noch skalierbar betrieben werden kann,
  • in der – auf Grund der Vielzahl an herstellereigenen Systemen – eine Standardisierung fehlt,
  • die leicht kompromittier- und angreifbar ist,
  • in der sich Angreifer ungehindert ausbreiten können,
  • und die – mangels Patches – selbst für bereits bekannte Schwachstellen anfällig ist.

Auf dieser Ausgangslage sollen nun Industrie 4.0 Konzepte wie Künstliche Intelligenz, IoT, Predictive Maintenance, Cloud oder Big Data implementiert werden. Die Vorstandsebenen haben erkannt, dass die Digitalisierung notwendig ist, um wettbewerbsfähig zu bleiben.

Das moderne Industrieunternehmen ist nicht nur horizontal (Maschinen und Anlagen kommunizieren untereinander) und vertikal (ERP-System kommuniziert mit der Anlage) vernetzt ist, sondern tauscht seine Daten auch mit der gesamten Wertschöpfungskette (Kunden und Lieferanten) aus.

Daher ist der Anreiz groß, „mal auf die Schnelle“ Digitalisierungsprojekte zu starten. Diese Euphorie wird jedoch auf Grund der schwachen Basis-Infrastruktur schnell gebremst. Entweder werden die Projektarbeiten blockiert, weil die notwendige Grundlage nicht vorhanden ist, oder die Lösungen werden trotz allem implementiert, wodurch Schwachstellen und Angriffsflächen vervielfacht werden.

Die „Ship-it-First“ Mentalität der Industrie 4.0- und IoT-Anbieter

Die Anbieter von Innovationslösungen verfolgen individuelle Ansätze, um Märkte rasch zu erschließen und Marktpotential zu nutzen. Für Security bleibt hier meist keine Zeit. Die Fokus liegt weniger auf ressourcenintensiven Sicherheitsfeatures als vielmehr auf der Performance der Produkte, die durch eine Integration von Sicherheitsmaßnahmen vermindert würde.

Grundsätzlich gilt:

 Die meisten Geräte, die „Smart“ im Namen tragen, sind sicherheitstechnisch wenig smart!

Ein Beispiel: Predictive Maintenance Lösungen gewährleisten einen permanenten produktiven Betrieb von Komponenten und Anlagen und vermeiden Ausfälle, die zu einem Produktionsstillstand mit hohen Kosten führen können. Sie bedeuten aber auch eine zusätzliche Vernetzung mit Lieferanten, deren Anforderungen an ein Sicherheitskonzept nicht Ihren eigenen Maßstäben entsprechen muss.

Wie real ist die Gefahr wirklich?

Sie kennen nun die Hintergründe der Verwundbarkeit von heutigen Automatisierungsnetzen.

Dem entgegenzuwirken kostet Geld und die Entscheidung über den Einsatz der notwendigen Mittel hängt von der Bewertung der tatsächlichen Gefahrenlage ab. Um dies leisten zu können, müssen die Betreiber zwei Dinge wissen:

  1. Welche Systeme kritisch für den Betriebsprozess sind und deren Ausfall spürbare Konsequenzen verursachen würde und
  2. wie hoch das Risiko ist, dass diese Systeme betroffen sind.

Die Kritikalität der Systeme lässt sich in Abstimmung mit den Fach- und Prozessverantwortlichen relativ einfach bestimmen. Schwieriger wird es bei der Abschätzung des Risikofaktors, weil hier die Wahrscheinlichkeit eines Vorfalls angegeben werden muss. Niemand kann mit Sicherheit sagen, ob und wann eine Bedrohungslage zum Schadenfall führen wird, womit wir es letztendlich mit einer subjektiven Einschätzung („Bauchgefühl“) zu tun haben.

Das stellt die Betreiber vor eine Herausforderung. Auf der Suche nach hilfreichen Informationen, die eine Entscheidungsfindung begründen sollen, finden sich viele umsatzgetriebene Marketingbotschaften der Security-Anbieter. Daneben zitieren Branchenexperten zahlreiche Studien, die erschreckende Lücken in den Sicherheitssystemen von Unternehmen aufzeigen, um emotional motivierte Handlungsimpulse zu setzen.

Bei derlei Veröffentlichungen wird letztlich die individuelle Situation im eigenen Unternehmen nicht abgebildet und sie verhelfen Entscheidern kaum zu einer spezifischen Bewertung der individuellen Anforderung.

Wie wahrscheinlich ist ein Angriff durch Hacker und Malware?

Bei der Suche nach einer fundierten Orientierungshilfe für die notwendigen Investitionsentscheidungen empfiehlt es sich zunächst, sich an unabhängige Quellen zu wenden. Der Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) aus dem Jahr 2019 benennt beispielsweise folgende Zahlen:

  • In 2019 gab es im Schnitt 320.000 neue Schadcodevarianten pro Tag
  • Es wurden 252 Fälle von Cyberangriffen auf Unternehmen der kritischen Infrastrukturen gemeldet
  • Über 64 Mio. Schadcodevarianten für Microsoft Windows Systeme wurden identifiziert

Darüber hinaus erinnern wir uns an die zahlreichen Angriffe aus dem letzten Jahrzehnt:

Extrem fortgeschrittener Angriff mit dem Ziel, das iranische Atomprogramm zu stören. Generische Manipulation einer Siemens Steuereinheit, die sich prinzipiell auf alle Branchen anwenden ließe.

Der Angriff war zunächst auf das Abfangen von Online-Banking-Daten spezialisiert und hatte vor allem Behörden und Unternehmen des Finanzsektors im Fokus. Zu den Opfern gehört unter anderem auch das Kammergericht Berlin. Heutzutage kursiert eine deutlich fortgeschrittenere Version, die sich u.a. auch den Mailverlauf in Outlook zu eigen machen kann.

Eine politisch-orientierte Malware, die mittlerweile mehrere Varianten besitzt und die auch auf ukrainische Einrichtungen während der politischen Krise angesetzt wurde.

Im Zusammenhang mit BlackEnergy wurde die auch unter Crashoverride bekannte Malware genutzt, um Störungen am ukrainischen Stromnetz auszuführen, indem SCADA Systeme kompromittiert und OT-Systeme stillgelegt wurden.

Globaler Cyberangriff auf Windows Rechner, Ransomware verbreitete sich stündlich millionenfach weiter und infiltriert auch Rechner bei der Deutschen Bahn und in Krankenhäusern.

Verschlüsselungstrojaner, der verheerende Schäden von über 1 Milliarde US-Dollar nach sich zog. Prominetne Opfer war die Reederei Maersk, Logistik-Dienstleister Fedex, Pharmaunternehmen Merck oder Lebensmittelproduzent Mondelez. Insbesondere der letzte Fall hat Schlagzeilen gemacht, weil sich die Züricher Versicherung geweigert hatte, den Schaden im Rahmen der CyberRisk-Versicherungspolice zu übernehmen.

Als „mörderischste Malware der Welt“ ist diese Malware darauf ausgelegt, Sicherheitssysteme in Anlagen zu deaktivieren. Das Ziel war die Sprengung einer Petrochemie-Anlage in Saudi-Arabien.

Die Ransomware-Attacke zwang den norwegischen Aluminiumhersteller Norsk Hydro die Produktion auf manuellen Betrieb umzustellen und hat so auch die gesamte Lieferkette ins Wanken gebracht. Die weiterentwickelte Version MegaCortex ist bis heute noch stark verbreitet im Umlauf.

Der Anbieter für Automatisierungs- und Sicherheitstechnik wurde Opfer eines Verschlüsselungstrojaners, der dessen Kommunikationssysteme in die Knie gezwungen hat. Nennenswert ist hierbei die Tatsache, dass Pilz selbst ein Portfolio an Sicherheitssystemen – unter anderem der Industrial Security – anbietet.

Diese Malware ist explizit darauf ausgerichtet, industrielle Steuerungsprozesse ins Visier zu nehmen um Lösegeldforderungen durchzusetzen. Zwar kann Snake keinen direkten Einfluss auf Industrieprotokolle nehmen, ist aber in der Lage, die unterstützenden IT-Systeme in einem möglichst breiten Umfang – wie bereits von WannaCry und NotPetya bekannt – anzugreifen.

Betrachtet man diese Fälle und bezieht auch die Dunkelziffer mit ein, die sich insbesondere aus den zahlreichen nicht öffentlich gemachten Vorfällen in kleinen und mittelständigen Industriebetrieben ergibt, können wir durchaus festhalten:

Ja, die Bedrohung durch Malware, Hackerangriffe und Industriespionage ist durchaus real! Industrielle Cyberkriminalität entwickelt sich immer mehr zu einem lukrativen Geschäftszweig.

Jeder, der ein Haus baut, wird Vorkehrungen gegen einen Blitzschlag treffen und nicht annehmen, dass ein Blitz sich das Nachbarhaus aussucht.

Natürlich führt nicht jede Schwachstelle zwangsläufig zur Katastrophe und Extreme beim Umgang mit Gefahren sind nicht hilfreich. Weder soll das Thema Security vernachlässigt und als bloßer Kostenfaktor bagatellisiert, noch Anlagen mit Sicherheitsfeatures überladen werden, bis die Funktionalität blockiert wird.

Der Königsweg liegt in einem differenzierten Mittelweg.

Die meisten Störfälle entstehen nicht durch externe Angriffe

Vielleicht ist es dem immergleichen Angst-Marketing der Security-Dienstleister geschuldet, aber beim Ausdruck „Security“ denken viele vor allem an den Schutz gegen externe Bedrohungen, wie Hacker, Trojaner oder Ransomware.

Dabei basiert nur ein vergleichsweise geringer Anteil der Störfälle auf Angriffe mit zielgerichteter und böswilliger Absicht. Die meisten Ausfälle sind Fehlkonfigurationen, Human Error und der Unstabilität der Anlageninfrastruktur geschuldet.

Insbesondere im Industriekontext gibt es viele Bedrohungsszenarien, die nichts mit externen Angriffen zu tun haben.

Ein Beispiel: Ein Switch in der Anlage fällt aus und sorgt damit für Störungen in zahlreichen Betriebsprozessen, weil das Netz in der Anlage unsegmentiert ist.

Oder: Die IT führt im Verwaltungsgebäude nebenan einen Netzwerkscan aus. Weil aber die Firewall zwischen Produktionsnetz und Office falsch konfiguriert ist, tauchen einige der Datenpakete (die normalerweise für die IT-System im Office-Netz harmlos sind) im Anlagennetz auf und stören dort die sensiblen Steuereinheiten.

Der wahre Mehrwert der Industrial Security

Somit hilft Industrial Security nicht nur bei der Abwehr von Hackern und Schadcode, sondern führt auch zur Stabilisierung und Optimierung der Betriebsprozesse. Richtig angewendet, bringt Industrial Security zwei große Vorteile:

  1. Sie erhalten Klarheit darüber, welche die wirklich wichtigen Prozesse sind und sorgen dafür, dass deren Verfügbarkeit gewährleistet wird. Das Ziel ist es, „sicher genug“ zu sein, um durch gezielte Investitionen die kritischen Systeme abzusichern. Sowohl gegen externe Bedrohung als auch gegen interne Störfaktoren. So werden unnötige Kosten vermieden, die entstehen, wenn entweder zu umfassende oder nur punktuelle Maßnahmen umgesetzt werden.
  2. Angewendete Industrial Security bedeutet in den meisten Fällen, dass die IT im Anlagenumfeld professionalisiert wird und dadurch Betriebsprozesse kosteneffizienter ablaufen, Mitarbeiter mehr Zeit für Ihre Arbeit haben und ein solides Fundament für Digitalisierungsprojekte gelegt wird.

Effektive Security ist weit mehr als reiner Selbstzweck. Die grundlegende Aufgabe der Industrial Security ist es, die Funktionsfähigkeit der IT-Systeme im OT-Umfeld sicherzustellen. Diese wiederum haben zur Aufgabe, die eigentlichen wirtschaftlichen Prozesse (z.B. die Produktion von Wirtschaftsgütern) zu gewährleisten. Funktionieren die IT-Systeme eines Unternehmens, so funktionieren auch die wirtschaftlichen Prozesse.

Sie sehen also: Selbst wenn sich das Risiko bzw. die Eintrittswahrscheinlichkeit eines Security-Vorfalls nicht eindeutig bestimmen lässt, so existieren dennoch genug wirtschaftlich vertretbare Argumente, um in die Professionalisierung der IT-Systeme im Automatisierungsumfeld zu investieren.

Wichtig ist, dass Industrial Security nicht nur als reine Ansammlung von Schutzmaßnahmen verstanden wird, sondern Sie auch den ganzheitlichen und umfassenden Mehrwert sehen. So klärt sich auch die Frage, ob eine Investition sich erst dann rechnet, wenn auch wirklich ein Cyberangriff stattfindet.

Worin unterscheidet sich die klassische IT-Sicherheit von der industriellen IT-Sicherheit?

Nachdem Sie nun die Antwort auf das „Warum“ der Industrial Security kennen, widmen wir uns in diesem Kapitel der Frage, wie sich Industrial Security überhaupt definiert.

Fangen wir beim Offensichtlichen an: Industrial Security wird im Umfeld der Betriebstechnik (Englisch: Operational Technology – OT) angewendet. Um also den Unterschied zwischen der traditionellen IT-Security und der Industrial Security zu verstehen, müssen wir vor allem den Unterschied zwischen der IT und der OT klären.

Die Komponenten der Operational Technology (OT)

OT sind diejenigen IT-Systeme, die die eigentlichen Produktionssysteme wie z.B. Steuerungen mit notwendigen Diensten wie Datenspeicher, Monitoring, DNS, etc. unterstützten.

Der Ausdruck OT hat sich etabliert, um die technologischen und funktionellen Unterschiede zwischen traditionellen IT-Systemen und industriellen Kontrollsystemen (englisch: Industrial Control System – ICS) zu verdeutlichen. Im englischen Raum wird daher meist der Ausdruck OT-Security bzw. ICS-Security verwendet.

Das Purdue Reference Modell erklärt anschaulich den Aufbau und das Zusammenwirken der Komponenten der OT in den verschiedenen Unternehmensebenen:

Purdue Reference Model for ICS

Purdue Reference Model for ICS

Die OT wird auf Level 0 bis 3 angewendet, die IT hingegen auf Level 4:

In diesem Bereich läuft der unterstützende (Geschäfts-) Betrieb eines Unternehmens ab. Dazu gehören beispielsweise Systeme der Buchhaltung, des Vertriebs oder der Personalabteilung. Ebenso werden hier Kundenaufträge verarbeitet oder die Materialbeschaffung organisiert.

Zwischen Level 4 und Level 3 befindet sich die Schnittstelle der Unternehmens-IT zum Anlagennetz. Eine Kommunikation zwischen Office- und Anlagennetz entsteht beispielsweise dann, wenn Produktionsdaten für Reporting-Zwecke an das ERP-System übermittelt werden.

Verbindungen aus dem Enterprise-Netz in das Anlagennetz gelten als hochgradig unsicher. Nicht nur, weil dort die Kommunikation mit dem Internet stattfindet, sondern auch, weil viele der im Office-Netz üblichen Datenpakete zu Störungen in den sensiblen Steuergeräten führen können.

Typische Systeme:

  • ERP-System (Enterprise Resource Planning)
  • Internetzugang
  • Fernwartungszugänge
  • Büroarbeitsplätze

Auf Level 3 sind Systeme angesiedelt, die in erster Linie die Funktion der Betriebsführung innehaben. Hierzu gehört zum einen das Bereitstellen jeglicher Systeme, Dienste und Anwendungen, die für das Industrienetz notwendig sind, zum anderen werden hier die einzelnen Automatisierungsschritte geplant.

Typische Systeme:

  • Engineering-Stationen
  • MES (Manuacturing Execution System) – Als „ERP-System der Anlage“ führt, steuert und kontrolliert solch ein Prozessleitsystem den gesamten Betrieb. Im Gegensatz zum SCADA-System, wo kurzlebige Echtzeit-Daten unmittelbar den Betriebsprozesses steuern, geht es hier um die langfristige Verwertung und Analyse der Daten, beispielsweise als Vorbereitung für strategische Entscheidungen. Dementsprechend ist das MES-System auch häufig die Schnittstelle zwischen den Industriesystemen und den Unternehmenssystemen.
  • Historian – Hier erfolgt die Datenerfassung der Produktions- bzw. Anlagedaten
  • Anlagen-IT (DNS, DHCP, Active Directory…)

Innerhalb von Level 2 befinden sich Systeme, die für die Überwachung und Steuerung der spezifischen Prozessführung verantwortlich sind. Der Bereich zwischen Level 2 und Level 0 wird im Englischen auch häufig „shop floor“ genannt. Die Datenverarbeitung erfolgt noch nicht in Echtzeit, eine Störung der ansässigen Systeme hat keinen unmittelbaren Einfluss auf die Verfügbarkeit der Automatisierungslösung. Durch eine Kompromittierung dieser Systeme erhalten Angreifer jedoch Einfluss- und Manipulationsmöglichkeiten auf bestimmte Teile der Automatisierungslösung.

Typische Systeme sind:

  • HMI (Human Machine Interface) – Eine Benutzeroberfläche zur Beobachtung und Steuerung der Automatisierungsprozesse. Häufig in Form eines Displaypanels umgesetzt.
  • Wartungsstationen
  • Kommunikationssysteme wie beispielsweise ein OPC-Server

Eine HMI mit Touchscreen und Notausschalter der Firma Edson | Bildquelle: Edson.com

In Level 1 befinden sich die Systeme, die unmittelbaren Einfluss auf die Ausführung und Steuerung des physischen Prozesses haben. Zu ihren Aufgaben gehört die Überwachung von Sensoren und die Aufrechterhaltung einer ordnungsgemäßen Funktion der Anlage. Sie arbeiten in Echtzeit, eine Störung auf diesem Level führt zu einer direkten Beeinträchtigung des automatisierten Prozesses.

Typische Systeme:

  • SPS – Speicherprogrammierbare Steuereinheiten, welche die daran angeschlossenen Komponenten auf Basis eines vorprogrammierten Ablaufsequenz steuern.
  • SCADA – „Supervisory Control And Data Acquisition“-Systeme überwachen und steuern den Betriebsprozess. Hier geht es vor allem um direkte und unmittelbare Steuerung des Prozesses. Um diese Echtzeit-Daten zu erhalten, arbeitet ein SCADA-System eng mit den SPS-Einheiten zusammen.
  • SIS – (Safety Instrumented System) – Sicherheitssysteme zur Erfüllung der Funktionalen Sicherheit (beispielsweise die Abschaltung von überhitzten Geräten)

Die Simantic S7-400 Steuereinheit von Siemens | Bildquelle: Siemens.com

Im untersten Level läuft der eigentliche physikalische Prozess ab. Die Befehle der auf Level 1 befindlichen Systeme werden hier in Echtzeit umgesetzt. Dieses Level wird auch als „Device“- oder Feldebene bezeichnet.

Typische Systeme:

  • Motoren
  • Ventile
  • Pumpen
  • Sensoren
  • Etc.

Ein Codeleser der SICK AG | Bildquelle: kem.industrie.de

Im Gegensatz zur IT werden OT-Komponenten verwendet, um physische Betriebsprozesse zu stellen und aufrechtzuerhalten, wo hingegen in der IT – vereinfacht ausgedrückt – Daten und Informationen von A nach B transportiert werden.

Die unterschiedlichen Anforderungen von IT und OT

Nun, da Sie einen umfassenden Überblick über die gängigen Bestandteile der OT haben, verstehen Sie, dass für beide Bereiche unterschiedliche Rahmenbedingungen herrschen.

Hierzu hat Sarah Fluchs von admeritia bereits gute Vorarbeit geleistet und beide Bereiche hinsichtlich der wichtigen Kriterien gegeneinander abgeglichen. Den Original-Beitrag gibt es hier.

IT vs OT von Sarah Fluchs – admeritia | Bildquelle: https://medium.com/@fluchsfriction/why-ot-has-different-needs-than-it-18ba9baa36e7

Folgende Anforderungen müssen Sie also für die Security im OT-Umfeld berücksichtigen:

Begrenzte Systemressourcen

OT-Geräte können meist keine System-Ressourcen für Security-Zwecke erübrigen. Es fehlen Kapazitäten für Virenscanner, Verschlüsselung und andere Sicherheitsmechanismen. Viele Geräte lassen sich daher nicht lokal schützen!

Sensibilität der OT-Geräte

Unbekannte bzw. unübliche Datenpakete können bereits zu Störungen in den sensiblen OT-Systemen führen. Es ist wichtig hervorzuheben, dass schon der Ausfall einer einzelnen Komponente zur Störung des gesamten Anlagenprozesses führen kann!

Abhängigkeit zu den Herstellertechnologien

Integrierte Asset-Management Lösungen sind häufig nur für Geräte des Herstellers vorhanden. Proprietäre Protokolle erschweren zudem die Etablierung effektiver Schutzmaßnahmen, beispielsweise können viele Standardfirewalls keine Datenpakete von Siemens oder Honeywell erkennen. Darüber hinaus kann die Implementierung solcher Maßnahmen auch im Konflikt mit den Garantierichtlinien stehen.

IT als Nebenkompetenz

IT-Wissen ist nur eine von vielen Kompetenzen, die ein Ingenieur oder Betriebstechniker aufweisen muss und wird auch im beruflichen Alltag nur als eine von vielen Aufgabenfeldern wahrgenommen. Und nach wie vor werden IT-Themen in der Ingenieursausbildung nicht in der notwendigen Tiefe behandelt.

Regulationen

Das öffentliche Interesse an sicheren Produktionsanlagen ist vor allem bei den kritischen Infrastrukturen groß. Der Gesetzgeber hat vor allem für diese Industrien gesetzliche Regelungen geschaffen, für deren Einhaltung die Betreiber Sorge zu tragen haben.

Hochverfügbarkeit / Auslastung

Eine Anlage läuft im Optimalfall 24 Stunden und das an 7 Tagen in der Woche. Jede Downtime verursacht z.T. sehr hohe Kosten. „Mal eben einen Reboot durchführen“ ist wegen der Anforderung an die Hochverfügbarkeit völlig inakzeptabel. Patches und Updates können, wenn überhaupt, nur innerhalb von Wartungsfenstern mit langem Vorlauf durchgeführt werden.

Besondere Anforderungen/Verhalten von Software

Im Automatisierungsumfeld gibt es eigene Software-Lösungen von Herstellern wie Siemens, ABB, Honeywell und Co. Diese haben teilweise spezielle Anforderungen an das darunterliegende IT-System. Das kann z.B. bedeuten, dass immer ein User „eingeloggt“ sein muss, da sonst der Datenbankdienst stoppt. Es muss immer besondere Aufmerksamkeit auf die Sonderanforderung dieser Lösungen gelegt werden.

Schutzziele der Industrial Security

Bedingt durch die unterschiedlichen Anforderungen zwischen der IT und der OT ist eine grundlegend unterschiedliche Herangehensweise im Sicherheitsmanagement erforderlich.

Sowohl die klassische IT Security, als auch die Industrial Security haben dieselben Schutzziele: Vertraulichkeit (Confidentiality), Unveränderlichkeit (Integrity) und Verfügbarkeit (Availability). Den CIA-Ansatz kennen Sie möglicherweise schon aus der Informationssicherheit. In der Industrial Security verändert sich jedoch die Priorisierung der Schutzziele im Vergleich zu Ihrer Gewichtung in der IT:

In der klassischen IT-Security geht es vor allem um die Vertraulichkeit von sensiblen Informationen wie Kundendaten oder Firmeninterna. Traditionelle IT-Schutzmaßnahmen richten sich gegen den unberechtigten Zugriff auf Daten. Hier haben insbesondere Themen wie „Privacy“ oder „Datenschutz“ eine hohe Priorität. Anforderungen an die Verfügbarkeit von IT-Systemen spielen meist eine untergeordnete Rolle. Wenn ein E-Mail-Dienst oder ein Netzwerkspeicher für kurze Zeit ausfällt, ist das zwar ärgerlich und kostet natürlich auch Zeit und Geld, aber die Behebung der Störung ist meist unproblematisch und die Auswirkungen sind in der Regel nicht schwerwiegend.

Im Gegensatz dazu, hat der Ausfall oder die Störung einer Anlage unmittelbar schwerwiegende finanzielle Konsequenzen (Produktionstau, Nicht-Einhaltung von vertraglichen Lieferterminen, Störung der Logistikplanung durch Warte- oder Leerlaufzeiten, etc.). Zwar ist die Wahrung der Vertraulichkeit von Produktdaten oder Personaldaten auch wichtig, nichtsdestotrotz ist in der OT das Schutzziel Vertraulichkeit der Verfügbarkeit untergeordnet, weil der finanzielle Schaden bei Störungen der Verfügbarkeit unmittelbar und mit wesentlichen Auswirkungen entsteht.

Funktionale Sicherheit als zusätzliches Schutzziel

Durch die zunehmende Vernetzung können sich Störungen der IT verstärkt auch auf die Funktionale Sicherheit auswirken. Die Funktionale Sicherheit (Englisch: Safety) stellt sicher, dass beim Betrieb von Maschinen und automatisierten Anlagen keine Gefahren für Mensch und Umwelt entstehen. Dafür werden akzeptierte Funktionsbereiche definiert, in deren Zustand sich eine Anlage befinden muss.

In der Industrial Security gilt also:

Prio 1) Verfügbarkeit (und Safety)

Prio 2) Integrität

Prio 3) Vertraulichkeit

Wie wird industrielle IT-Sicherheit umgesetzt?

In der Praxis werden Sie schnell feststellen, dass selbst das beste technische Konzept nicht umgesetzt werden kann, wenn vorher nicht bestimmte Herausforderungen auf personeller und organisatorischer Ebene gemeistert werden.

Um dies leisten zu können, muss die Industrial Security also nicht nur technische Lösungen liefern, sondern ist vor allem der Treiber für weitrechende personelle und organisatorische Anpassungen.

Hierzu gehören:

Festlegung von Rollen und Verantwortungsbereichen

Es ist häufig unklar, wer die Verantwortung für die IT-Infrastruktur im OT-Umfeld – und für die Security darin – innehat. Der Aufgabenbereich der IT endet vielerorts am Anlagentor, die Verwaltung der OT-Netzwerke wird dann vom Anlagenpersonal „einfach mitgemacht“. Häufig wird das Anlagenpersonal mit Doppelrollen besetzt, so kann es vorkommen, dass z.B. ein Elektriker zusätzlich als Netzwerk-Administrator im Werk tätig ist.

Industrial Security definiert klare Rollen und Aufgaben und schafft ggf. Ressourcen, wenn sie noch nicht vorhanden sind.

Schaffung effizienter Organisationslinien

Damit eine Professionalisierung der IT im OT-Umfeld funktioniert und Security-Projekte erfolgreich umgesetzt werden können, müssen sich IT und OT in ihren Kommunikations- und Entscheidungswegen effizient miteinander austauschen können. Nur so können Synergieeffekte zwischen beiden Bereichen – beispielsweise beim Wissenstransfer – entstehen.

Hierzu gehört auch die Schaffung einer zentralen Position, die als Schlüsselfigur bei der Umsetzung von OT-Projekten fungiert.

Aufbau von OT-Know-How in der Corporate IT

In vielen Fällen fällt das fehlende Fachwissen zum professionellen Betrieb von IT-Systemen im OT-Umfeld ins Gewicht. Zusätzlich fehlen personelle Ressourcen, um Maßnahmen organisatorisch und technisch umzusetzen. Industrial Security Konzepte setzen hier an und sorgen für den Aufbau von nötigem OT-Fachwissen und entsprechenden Ressourcen.

Auflösung von Mythen und falsche Glaubenssätzen

So hält sich beispielsweise die Annahme, dass eine Anlage vor Bedrohungen aus dem Cyberraum abgeschottet ist („Air Gap“), bis heute hartnäckig. Dass dies nicht stimmt, hat der berühmte Stuxnet-Fall bereits vor 10 Jahren gezeigt, in dem Schadcode via USB-Stick in die Anlage transportiert wurde.

Positive Besetzung der IT-Security beim Anlagenpersonal

Viele Mitarbeiter in der Betriebstechnik empfinden IT-Security-Maßnahmen als Behinderung ihrer täglichen Aufgaben. Sicherheit ist aufwändig und umständlich. So hat sich der Ausdruck „OT vs. IT“ etabliert, welcher zwar einen Konflikt zwischen beiden Bereichen meint, tatsächlich aber nur ein Kommunikationsproblem wiedergibt. Industrial Security beinhaltet auch, ein Bewusstsein für die Notwendigkeit von Sicherheitsmaßnahmen zu schaffen und ihre Beachtung als alltägliche Routine zu etablieren.

Positive Besetzung der IT-Security bei Entscheidern

In den Köpfen vieler Entscheider ist Industrial Security vor allem ein lästiger Kostenfaktor, Investitionen in Security-Maßnahmen führen nicht zu einer direkt messbaren Rentabilität. Hier muss das negative Stigma aufgelöst werden. Die Denkweise sollte über die hinreichende Erfüllung von Compliance-Richtlinien und regulatorischen Vorgaben hinausgehen. Ein hohes Sicherheitsniveau kann sich beispielsweise positiv auf Versicherungsprämien auswirken und essentiell im „Digitalisierungswettlauf“ gegen Wettbewerber sein.

Die drei Säulen der Industrial Security

Neben den technischen Schutzmaßnahmen, sind also vor allem die Menschen wichtig, die im OT-Umfeld tätig sind. Dazu gehören auch definierte Organisationsstrukturen, in deren Rahmen die Prozesse durch Menschen am Laufen gehalten werden. Das Zusammenspiel dieser drei Bereiche ist für die Industrial Security wesentlich.

 

Personelle Maßnahmen

Sowohl die Mitarbeiter der IT-Abteilung als auch das Personal der Betriebstechnik müssen an einem Strang ziehen, um die Verfügbarkeit und Integrität der Betriebsprozesse aufrechtzuerhalten. In den meisten Fällen fällt hier das fehlende Fachwissen zum professionellen Betrieb von IT-Systemen im OT-Umfeld ins Gewicht. Dieses fehlende Know-How wirkt sich auch auf den Zustand der Industrial Security im Automatisierungsumfeld des Unternehmens aus.

Darüberhinaus gilt es, bei den Mitarbeitern das Bewusstsein für Security-relevante Situationen zu schärfen. Dazu gehören beispielsweise Awareness-Maßnahmen und kontinuierliche Schulungen.

Personellen Maßnahmen können beispielsweise sein:

  • Auflösung von Doppelrollen von Mitarbeitern (z.B. sollte kein Elektriker noch „nebenbei“ die Tätigkeitkeit eines Netzwerkadmins im Werk ausführen)
  • Aufbau und Ausbildung von Personal in der IT-Abteilung, um Maßnahmen organisatorisch und technisch umsetzen zu können
  • Aufbau von Know-How zur OT in der IT-Abteilung
  • Aufbau von Know-How zur Industrial Security in der IT und in der Betriebstechnik
  • Awareness-Trainings

Technische Maßnahmen

Wie bereits im ersten Kapitel erläutert, ergeben sich die technischen Herausforderungen vor allem durch die historisch gewachsene und unzureichende Grund-Infrastruktur. Aus diesem Grund richten sich die technischen Maßnahmen zum großen Teil auf die Nacharbeitung der IT-Professionalisierung, wie beispielsweise dem Aufbau einer passenden Netzwerk-Architektur.

Da sich viele Geräte lokal nicht schützen lassen, werden viele Schutzmaßnahmen auf Netzwerkebene umgesetzt. Neben Firewall-Systemen, können das beispielsweise Datendioden, USB-Schleußen oder Monitoring-Lösungen sein. Darüber hinaus muss das Thema Security auch auf die Zusammenarbeit mit den einzelnen Hersteller ausgeweitet werden (z.B. durch die Nutzung zertifizierter Produkte oder durch gesicherte Fernwartungslösungen).

Technische Maßnahmen können beispielsweise sein:

  • Entwicklung einer Netzwerksegmentierung
  • Etablierung eines Standards für ein skalierbares OT-Basismodell
  • Etablierung eines Asset-Managements
  • Einführung eines Patch-Managements
  • Trennung von Verwaltungs- bzw. Office-Netz und Anlgennetzwerk
  • Implementierung von präventiven Schutzmaßnahmen (z.B. Anti-Viren Schutz)
  • Implementierung von defensiven Schutzmaßnahmen (z.B. Monitoring mit Alarm-Funktion)

Organisatorische Maßnahmen

Für erfolgreiche Projekte ist eine gute Kommunikation unumgänglich. So auch im Fall der Industrial Security bzw. der Professionalisierung der IT im OT-Umfeld. Damit Entscheidungen effizient getroffen werden können, müssen Organisationsstrukturen vorhanden sein, die eine unmittelbare Kommunikation zwischen IT und OT ermöglichen. Ein Schlüsselfaktor hierbei ist die Nennung eines Verantwortlichen für die IT-Projekte im OT-Umfeld und die Industrial Security.

Darüber hinaus hilft ein strukturiertes Incident-Management dabei, konkrete Maßnahmen festzusetzen, die im Falle einer Störung zu ergreifen sind.

Organisatorische Maßnahmen können beispielsweise sein:

  • Bewertung von OT-Risiken im Risk-Management des Unternehmens
  • Schaffung von zentralen Verantwortlichkeiten für die IT im OT-Umfeld
  • Schaffung von Synergieeffekten zwischen IT und OT
  • Entwurf einer OT-Security-Strategie
  • Aufbau eines SOC
  • Etablierung von klaren Compliance- und Governance Richtlinien (z.B. wie mit aufgefundenen USB-Sticks zu handhaben ist)

Idealerweise werden diese Maßnahmen anhand des Defense-In-Depth-Prinzips umgesetzt. Dieses besagt, dass viele unterschiedliche Maßnahmen zusammenwirken müssen, um das Aushebeln einzelner Maßnahmen zu verhindern. So kann beispielsweise eine Firewall umgangen werden, indem ein USB-Stick eingeschleust oder der Anhang einer Phishing Email geöffnet wird. Defense-In-Depth greift aber auch bei der Fehlkonfiguration von Schutzmaßnahmen oder bei der Vergabe von zu großzügigen Nutzerrechten.

Was unternimmt die Politik gegen die Bedrohungslage?

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verfolgt die Bundesregierung das Ziel, die Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.

Hier geht es unter anderem um den Schutz von kritische Infrastrukturen (KRITIS), die bei einem Ausfall oder einer Beeinträchtigung dramatische Folgen für Wirtschaft, Staat und Gesellschaft verursachen können. Die Verfügbarkeit dieser Infrastrukturen soll durch das IT-Sicherheitsgesetz erzwungen werden.

Das IT-SiG adressiert 7 Sektoren:

Seit 03.05.2016 (Der erste Teil der BSI-KRITIS-Verordnung (§ 10 BSI-Gesetz))

  • Energie
  • Informationstechnik und Telekommunikation
  • Wasser
  • Ernährung

Seit 30.06.2017 (Erste Verordnung zur Änderung der BSI-KRITIS-Verordnung)

  • Finanz- und Versicherungswesen
  • Gesundheit
  • Transport und Verkehr

Welche Unternehmen von dem IT-Sicherheitsgesetz betroffen sind, wird durch die BSI-KRITIS-Verordnung (§ 10 BSI Gesetz) festgelegt. Innerhalb der Verordnung gibt es für jeden Sektor einen eigenen Paragrafen sowie einen eigenen sektorspezifischen Anhang. In diesen Anhängen werden die jeweiligen Schwellwerte und Kalkulationen definiert, die für eine Bestimmung nach KRITIS für den jeweiligen Sektor, ausschlaggebend sind.

Es ist festgelegt, dass Unternehmen oder verbundene Unternehmen, die eine Anzahl ab 500.000 Menschen „versorgen“, als KRITIS eingestuft werden. Innerhalb der KRITIS-Verordnung wird weiterhin auch auf spezifische Anlagenkategorien eingegangen, die innerhalb eines Sektors als kritisch gelten. Für diese Anlagenkategorien werden innerhalb der Verordnung die Schwellwerte definiert.

Aufbauend auf dem ersten Gesetz wird seit 2018 an einem neuen Entwurf gearbeitet. Nachdem ein erster Referentenentwurf bereits Mitte 2019 von der Bundesregierung abgelehnt wurde, wurde nun im Mai 2020 eine überarbeitete Zweitversion in die Ressortabstimmung gegeben. Es ist zu erwarten, dass die Anforderungen an Anlagenbetreiber nochmals deutlich verschärft und auch die Hersteller in die Verantwortung genommen werden. Außerdem werden die Befugnisse des BSI deutlich erweitert und ggf. sogar der Strafrahmen erhöht. Eine Senkung der Schwellwerte wird vermutlich den Kreis der Anlagen, die in die Kriterien für KRITIS erfüllen, vergrößern. Außerdem wird der Sektor Entsorgung/Abfall in den Gültigkeitsbereich hinzukommen.

Normen und Standards

Als wichtigste Norm für die Industrielle IT-Sicherheit gilt die IEC62443.

Es handelt sich dabei um eine Serie von Dokumenten, die auf bereits etablierte Standards (z.B. ISO27001) aufsetzt, in denen die spezifischen Anforderungen im Produktions- und Automatisierungsumfeld abgebildet sind. Die Norm beinhaltet Dokumentationen zu Konzepten, die den Aufbau einer sicheren Anlage beschreiben, wobei konkrete technische und organisatorische Anforderungen definiert werden.

Neben der Anforderung an einen Betreiber sind weitere Rollen beschrieben, wie die des Anlagenplaners bzw. Integrators, der für den Entwurf und die Zusammenstellung des Anlageprozesses verantwortlich ist sowie des Herstellers, der die Steuersysteme und Anlagenkomponenten liefert und meistens deren Wartung übernimmt. Damit ist die IEC62443 einer der ersten Normen, die einen ganzheitlichen Ansatz verfolgt und den kompletten Lebenszyklus der Anlage abdeckt.

Darüber hinaus gibt es weitere Standards, wie den IT Grundschutz des BSI oder die NIST 800-82 sowie branchenspezifische Normen für die unterschiedlichen Anforderungen je Industriesparte.

Gibt es eine Checklisten-Security?

Wenn Sie nicht nur Compliance, sondern wirkliche Sicherheit etablieren möchten, müssen Sie aus dieser Vielzahl von Normen und Standards diejenigen Aspekte und Maßnahmen auszuwählen, die im eigenen Unternehmen und für Ihre individuelle Situation relevant sind.

Normen und Standards sollten lediglich einen Überblick und Anhaltspunkte liefern, die individuelle Betrachtung ist jedoch immer zwingend notwendig.

Die Gefahr besteht hierbei, dass Sie in eine Checklisten-Mentalität verfallen und die Sinnhaftigkeit einzelner Maßnahmen nicht hinterfragen oder die korrekte Implentierung nicht weiter verfolgen. Wenn beispielsweise eine Norm die Segmentierung einer Perimeter-Firewall verlangt und Sie diese etablieren, kann zwar dieser Punkt durch einen Auditor abgesegnet werden, Ihre Firewall kann aber womöglich immer noch falsch konfiguriert sein und ist folglich weiterhin unsicher.

Lassen Sie sich nicht in ein falsches Sicherheitsgefühl wiegen. Verwechseln Sie auch nicht die oftmals minimalen Anforderungen der Normen mit dem für Sie notwendigen Sicherheitsniveau.

Zusammenfassung

Digitalisierung und Vernetzung ist kein neues Thema, sondern hat in Produktionsanlagen während der letzten Jahrzehnte schleichend stattgefunden, allerdings ohne die Etablierung von technischen und organisatorischen Maßnahmen zur Absicherung der Kommunikationsströme.

Nicht nur eine wachsende Bedrohung durch externe Angreifer, sondern auch die technische Beschaffenheit moderner komplexer Automatisierungslösungen, die zunehmend störanfällig auf Einflüsse von außen reagieren, erfordern Maßnahmen, um die Verfügbarkeit einer Anlage sicherzustellen. Industrial Security-Konzepte sichern neben der Anlagenverfügbarkeit zudem den Schutz von Mensch und Natur beim Ausfall von Maschinen und bringen durch effizientere Betriebsprozesse und die Möglichkeit neuer Geschäftsmodelle weitere Vorteile für Ihr Unternehmen mit sich.

Entscheidungen über notwendige Investitionen zur Etablierung einer wirkungsvollen Industrial Security sollten Sie auf fundierte Analysen gründen und entsprechend der individuellen Anforderungen in Ihrem Unternehmen treffen.

Und beziehen Sie alle involvierten Parteien wie Hersteller und Mitarbeiter in den Wandel mit ein!

Nutzen Sie das Fachwissen der herstellerunabhängigen Community in einem noch jungen, aber sehr dynamischen Segment. Erhalten Sie ausgewählte Inhalte und Erfahrungsberichte aus Industrial Security Projekten, indem Sie kostenlos Mitglied in unserem Industrial Security Stammtisch werden!