Damit Sie die Zeit bei Ihrem Vor-Ort Termin möglichst effizient nutzen können, finden Sie hier die wichtigsten Tipps für Ihren Anlagenbesuch. Vorab sollten Sie sich jedoch eines verinnerlichen: IT-Systeme müssen in der OT anders behandelt werden! Achten Sie bei Ihrer Besichtigung und möglichen „Penetrationstests“ stets darauf, dass der reibungslose Betrieb gewährleistet wird! 

Grundsätzliche Vorbereitungsmaßnahmen 

In der Planungsphase Ihres Besuchs der Produktionsanlagen sollten Sie sich über die konkreten Anforderungen bezüglich der Schutzkleidung informieren. Je nach Branche sind unterschiedliche Ausrüstungen für den Aufenthalt in Produktionsanlagen vorgeschrieben, wie beispielsweise Sicherheitsschuhe, Helme, Warnjacken, Schutzbrillen, Ohrschützer, Haarnetze oder Ähnliches. 

Weiterhin sind vor dem Betreten vieler Anlagen Sicherheitsunterweisungen notwendig, um den Regelungen für den Arbeitsschutz zu entsprechen. Planen Sie daher ausreichend Zeit für die Anmeldung ein. Bei einem Erstbesuch dauert dies üblicherweise etwas länger. 

Damit vor Ort alles funktioniert, sollten Sie Ihren Besuch immer ankündigen und sich von Ihren lokalen Ansprechpartnern anmelden lassen. Bei Erstbesuchen macht es Sinn, wenn Sie sich am Tor abholen lassen und das unbekannte Werksgelände nicht allein erkunden. Manche Produktionsstätten bzw. Industrieparks sind so weitläufig, dass sie üblicherweise mit dem Auto befahren werden. Dabei müssen Sie mit unbeschrankten Bahnübergängen und einschlägigen Fahrzeugen wie Gabelstapler, LKW etc. rechnen. 

Tipp: Eine Investition in bequeme Arbeitsschutze lohnen sich! 

Eine besondere Herausforderung sind Orte ohne eigene Adresse, die sich nur via GPS-Daten auffinden lassen (z.B. Windkrafträder, Travo-Häusschen, etc.). Informieren Sie sich also vorab bei Ihrem Ansprechpartner, wie Sie ans Ziel kommen. 

Bereiten Sie ihre Unterlagen so vor, dass sie sich in ihnen schnell zurechtfinden. Rechnen Sie damit, dass Sie viel mehr aufnehmen werden als ursprünglich geplant war. 

Gibt es öffentlich zugängliche Informationen über die Automatisierungslösung?  

Ein kritischer Punkt, der aus der Perspektive der Verteidigung häufig missachtet wird, sind öffentlich zugängliche Informationen, die für einen Angreifer von hohem Wert sein können. In der Regel sind diese Daten der erste Einstiegspunkt für jemanden, der eine Angriffsstrategie für die Anlage entwirft. Sie sollten also wissen, welche Informationen über die Organisation, Geräte, Einrichtungen, IP-Reichweite(n) etc. öffentlich zugänglich sind. Diese Informationen werden vom Angreifer genutzt, um Schwachstellen zu finden und passende Angriffsvektoren zu wählen. 

Testen Sie aus, welche Informationen das Sicherheitsteam beschaffen kann und welche potentiellen Angriffsflächen bestehen. Verifizieren und inventarisieren Sie dann beim Vor-Ort Termin die Geräte, Netzwerke und Systeme, die Sie während Ihrer Analyse gefunden haben. Auf dieser Grundlage können Sie eine initiale Planung zur Eliminierung von Schwachstellen und Absicherung der Einstiegsangriffsflächen vornehmen.  

Darüber hinaus ist es sinnvoll, die öffentlich zugänglichen sicherheitsrelevanten Informationen (natürlich nur mit Absprache mit dem Unternehmen) zu reduzieren, wo dies möglich ist. 

Nutzen Sie den Kontakt zu der Safety-Abteilung 

Bei einem Anlagenbesuch erhalten Sie in der Regel verschiedene Safety-Einweisungen. Kündigen Sie daher in jedem Fall Ihren Besichtigungstermin vorher an und nutzen Sie anschließend den Kontakt mit der Abteilung für Betriebssicherheit, um zu lernen.  

Das Safety-Team kennt die Anlage gut und kann Ihnen sowohl einen ersten Eindruck über die Sicherheitslage vermitteln als auch koordinierend unterstützen, wenn die Werks- und Betriebsleitung einbezogen werden soll.  Erkenntnisse aus deSafety können sehr hilfreich für die Belange der IT-Security sein, nutzen Sie also die Möglichkeiten, die ein Treffen mit den Experten vor Ort bietet. 

Wie gut sind die physischen Sicherheitsmaßnahmen aufgestellt? 

Achten Sie bereits bei der Ankunft auf die Wirksamkeit der physischen Sicherheitsmaßnahmen. Gibt es Möglichkeiten, beginnend mit der Eingangspforte, um Authentifizierungsmaßnahmen zu umgehen? Werden Sie aufgefordert, Ihren Ausweis vorzuzeigen? Gibt es Möglichkeiten „in der Menge unterzutauchen“, beispielsweise bei Schichtbeginn? Existieren Lücken bei den physischen Barrieren, beispielsweise unverschlossene Türen? Achten Sie jedoch bei Ihren Tests unbedingt darauf, die Betriebssicherheit einzuhalten! 

Sprechen Sie mit dem Anlagenpersonal 

Der beste Ort für ein Gespräch über Cybersicherheit ist direkt auf dem Werksgelände. Sie müssen verstehen, wie die Anlage und der physische Steuerungsprozess funktionieren und welche Systeme aufgrund ihrer Art besonders gefährdet sind 

Zudem hilft ein Gespräch mit dem Anlagenpersonal herauszufinden, welche Systeme besonders kritisch sind, also bei einer Störung z.B. den gesamten Produktionsprozess in Gefahr bringen oder ein Sicherheitsrisiko für die Menschen in der Anlage darstellen.  

Erarbeiten Sie sich einen Überblick 

Um zu beurteilen, welche Schutzmaßnahmen für die Anlage relevant sind, müssen Sie zuerst wissen, welche Komponenten sich in der Anlage befinden. Nutzen Sie das Asset-Inventarsofern eines vorhanden ist. Alternativ hilft ggfs. ein Blick in die Netzwerkpläne oder Maschinenbücher, auch wenn diese höchstwahrscheinlich veraltet sein werden. 

Tipp: Manchmal macht auch ein handliches Laptop-Stativ das Leben etwas einfacher, wenn es in den Anlagenbereichen keine Abstellmöglichkeiten oder Tische gibt. 

Für ein Asset-Inventar ist das Erheben folgender Daten empfehlenswert:

  • Name der Anlagegüter
  • Beschreibung der Funktion
  • IP-Adresse
  • MAC-Adresse
  • Modell/Hersteller
  • Die Seriennummer
  • Mittel zur Verbindung mit dem Netzwerk
  • Verwendete(s) Protokoll(e). 

Ergänzen Sie Ihre Inventaraufnahme mit einer Traffic-Analyse 

Natürlich werden Sie nicht jedes System bei Ihrem Anlagenbesuch identifizieren können. Beispielsweise können auch bei geplanten Wartungen bestimmte Bereiche unzugänglich sein.  

Eine Analyse des Traffic im Anlagennetz liefert Informationen, mit denen sich solche Wissenslücken schließen lassen. Diese Methode ist sicher und weniger zeitaufwendig als ein Vor-Ort-Besuch. Rechnen Sie damit, dass Sie insbesondere bei Erstaufnahmen schauen, wie Sie sich das Leben etwas einfacher machen können. Netzwerkanalyse-Werkzeuge können hier Zeit sparen und die Konsistenz erhöhen. 

Auch wenn eine solche Datenerhebung nicht alle Systeme erfasst, so ist der Umfang meistens schon so aussagefähig, dass er Ihnen bei der weiteren Identifizierung weiterhelfen kann. 

Lassen Sie sich nicht aus der Ruhe bringen! Lassen Sie sich Zeit, um den physischen Prozess gut zu verstehen und nachzufragen.