Die Cybersicherheit eines Industriesystems ist unerlässlich … aber komplex. Zwischen Business Continuity, Einbeziehung der Teams, Modellierung und Austausch bewährter Verfahren.
In unserem Barometer 2021 zur Cybersicherheit für die Industrie gab mehr als die Hälfte der Befragten (51 %) an, mindestens einen Cyberangriff auf ihr betriebliches Netzwerk erlebt zu haben. Und bei mehr als einem Viertel (27 %) hatten diese Cyberangriffe zu einem Stillstand oder einer Störung der Produktion geführt. Dies verstärkt die Notwendigkeit, in Cybersicherheit zu investieren, um die Angriffsfläche für industrielle Angriffe soweit wie möglich zu minimieren. Die Einführung von Cybersicherheitslösungen in einer Industrieanlage ist jedoch keineswegs ein leichter Weg. Latenzzeiten, Nichtverfügbarkeit, Unterbrechungen der Konformität: Wie können diese Risiken vermieden werden, damit diese wesentliche Vorgänge möglichst reibungslos ablaufen?
Ein wichtiger, aber komplexer Einsatz in der Industrie
Produktion um jeden Preis. Für die Industrie besteht eine der größten Herausforderungen darin, die Business Continuity zu gewährleisten, erklärt Vincent Nicaise, der bei Stormshield für Industriepartnerschaften und das Ökosystem der Industrie zuständig ist. „Wenn es um eine Fabrik geht, die rund um die Uhr, 7 Tage die Woche in Betrieb ist, wird es kompliziert, alles zu stoppen, um neue Geräte zu integrieren.“ Kompliziert, aber für erfahrene Teams „weitgehend machbar“, beruhigt der Industrieexperte. „Vor allem muss es geplant werden, manchmal sogar einige Monate im Voraus. Vor allem aber muss die Akzeptanz und Einbindung der verschiedenen Teams, der Werksleiter oder der Betriebsleiter erreicht werden, um die Umsetzung zu gewährleisten.“
Die Einführung einer Sicherheitslösung muss geplant werden, manchmal sogar einige Monate im Voraus. Vor allem aber muss die Akzeptanz und Einbindung der verschiedenen Teams, der Werksleiter oder der Betriebsleiter erreicht werden, um die Umsetzung zu gewährleisten.
Vincent Nicaise, Manager für Industriepartnerschaften und das Ökosystem der Industrie bei Stormshield
Eine weitere Schwierigkeit, die mit der OT einhergeht: Es handelt sich um Systeme, die manchmal schon Jahrzehnte alt sind und an denen mehrere Wartungsfirmen gearbeitet haben. „Wir verfügen nicht unbedingt über einen genauen Verlauf der Änderungen, was bedeutet, dass wir keine vollständige und gelassene Kontrolle über das System haben“, warnt Vincent Nicaise. Auch hier ist es zwingend erforderlich, „den Einsatz im Vorfeld weitgehend zu planen“, betont der Experte, und vor allem die fachspezifischen Teams in den Prozess einzubeziehen, um die Einführung zu kontrollieren: CISO-Team, Integratoren, die „die Herausforderungen und das Netzwerk kennen“. „Die Schwierigkeiten entstehen eher bei der Änderung der Infrastruktur als bei der Lösung selbst“, bestätigt Pierre Vidard, Projektleiter des Unternehmens für Industrielösungen Actemium Maisons-Laffitte. Ob es sich um eine Firewall, ein Netzwerk oder auch die Überwachung von SPS handelt, die Herausforderung besteht darin, dass bestehende Systeme und Anlagen nicht beeinträchtigt werden. Je nach Infrastruktur kann eine fehlerhafte Ausführung zu einem vorübergehenden Verlust der Übersichtlichkeit oder der Produktion führen. „Die Einführung von Cybersicherheitslösungen in der Industrie ist also eine echte Herausforderung, die eine echte Beherrschung der verschiedenen Schritte erfordert.
Der entscheidende Schritt der Kartierung des OT-Netzwerks
Bevor der mit der Einführung beauftragte Dienstleister tätig wird, muss er zunächst ein Audit durchführen. Dies ist ein wesentlicher Schritt, wodurch festgestellt werden kann, wo es an einem Standort einen mangelnden Schutz gibt und wie groß dieses Risiko für die Sicherheit des Netzes sein kann. „Das bedeutet, Konfigurationsanalysen von PCs durchzuführen, die verwendeten Betriebssysteme zu überprüfen, nach Konfigurationsproblemen oder zugänglichen Dateien mit Passwörtern zu suchen, Rechner mit Administratorrechten besonders zu überwachen usw.“, erläutert Pierre Vidard. Ein wichtiger Moment der Analyse, der Analyse laut dem Projektleiter auch die Kartierung des Netzwerks umfasst. „Wir verwenden Werkzeuge, um Netzwerke zu erfassen und den Datenfluss zwischen den Geräten zu kartografieren, sie zu erkennen und ihre Legitimität sowie – für Frankreich – ihre Übereinstimmung mit den Empfehlungen der ANSSI zu analysieren.“
Um die einwandfreie Einführung vor Ort zu gewährleisten, greifen die Experten anschließend auf Tests in der Vorproduktion zurück. Es handelt sich um eine Art Modell, das der Realität so nahe wie möglich kommt und an dem verschiedene Tests durchgeführt werden, um die Funktionen zu bestätigen. Ein physisches Modell, so Pierre Vidard, denn „die meisten industriellen Switches lassen sich nicht mithilfe einer Konfigurationsdatei in einer virtuellen Schnittstelle öffnen. Man muss das Material haben.“ Diese Einschränkung erschwert so manche Modellierungen, gibt Pierre Vidard zu, denn „man kann nicht unbedingt das gleiche Material wie der Kunde erwerben“. Dennoch ist die Technik nicht weniger effektiv. „Es kann immer noch Überraschungen bei der Inbetriebnahme geben, aber es beseitigt mindestens 90 % der möglichen Probleme“, meint der Projektleiter.
Die Einführung muss schließlich schrittweise erfolgen. „Wenn es mehrere Anlagen gibt, kann man die repräsentativste auswählen, diejenige mit der größten Akzeptanz, damit sie als Proof of Concept dient“, schlägt Vincent Nicaise vor. „So kann man an einem Sicherheitsprojekt arbeiten und ein Modell bestimmen, das man in allen Industrieanlagen duplizieren kann.“ So gesagt, ist der Einsatz einer Cybersicherheitslösung durchaus möglich – doch ist die Industrie bereit dafür?
Cybersicherheit und die Herausforderungen der Industrie 4.0
Dies hängt vor allem von der Reife des Sektors ab. In Frankreich sind die Betreiber von vitaler Bedeutung – aus den Bereichen Wasser, Energie, Öl und Gas, Atomkraft usw. – sowohl mit den Risiken vertraut als auch gesetzlich dazu verpflichtet, Schutzmaßnahmen zu ergreifen. Die verarbeitende Industrie ist ihrerseits noch im Rückstand. „Sie betrachten IT-Risiken, aber nicht OT-Risiken“, analysiert Vincent Nicaise.
Eine Feststellung, die auch Pierre Vidard teilt. „Eine der größten Herausforderungen ist es, die Kunden davon zu überzeugen, dass es sich lohnt, die Lösungen in ihrem industriellen Umfeld zu implementieren. Viele sprechen von Cybersicherheit als Reaktion auf einen Angriff, wissen aber nicht, was damit gemeint ist. Und dann lassen sie es sein, weil sie einen zu hohen Kostenvoranschlag erhalten haben oder sich ihre Prioritäten geändert haben. Für einen Anlagenbesitzer ist es kompliziert, ohne Produktionsgewinn ein Budget zu erwirtschaften. Doch müssen sie einsehen, wie hoch der Produktionsausfall und damit die finanziellen Auswirkungen eines Angriffs sind.“
Eine der größten Herausforderungen ist es, die Kunden davon zu überzeugen, dass es sich lohnt, die Lösungen in ihrem industriellen Umfeld zu implementieren. Viele sprechen von Cybersicherheit als Reaktion auf einen Angriff, wissen aber nicht, was damit gemeint ist. Und dann lassen sie es sein, weil sie einen zu hohen Kostenvoranschlag erhalten haben oder sich ihre Prioritäten geändert haben.
Pierre Vidard, Projektleiter des Unternehmens für Industrielösungen Actemium
Durch die Einführung von vernetzten Objekten entlang der gesamten Produktionskette könnte die Industrie 4.0 die Wahrnehmung der Bedeutung der OT-Cybersicherheit verändern. „Das Ziel ist es, die Produktionsmittel zu optimieren und die Wartung vorwegzunehmen, doch führt dies gleichzeitig zu einer größeren Angriffsfläche mit einer Vielzahl von zusätzlichen Komponenten“, räumt Vincent Nicaise ein. Es gibt immer mehr potenzielle Schwachstellen. „Insbesondere die Cloud – ein wesentlicher Bestandteil der Industrie 4.0, da sie die Speicherung von Rechenleistung und großen Datenmengen ermöglicht – dezentralisiert die Informationen. Um die Verfügbarkeit zu gewährleisten, „müssen die Datenströme gesichert werden“, bekräftigt Vincent Nicaise.
„Das Problem ist, dass die Fragen zur Cybersicherheit oft erst kommen, wenn das Netzwerk bereits geöffnet wurde“, betont Pierre Vidard. „Diese Öffnung erfolgt jedoch auf einem historisch autonomen und isolierten System, also ohne Firewalls oder Antivirenprogramme, nicht abgeschottet und mit Administratorkonten laufend. Sobald sie nach außen hin offen sind, sind die Systeme nicht mehr robust genug. „Trotz allem scheint das Bewusstsein in die richtige Richtung zu gehen, auch wenn die Kompetenzen innerhalb der Industrieanlagen nach wie vor uneinheitlich sind“, meint Pierre Vidard. „Diese Herausforderungen werden zunehmend demokratisiert. Einige Kunden wollen die Kontrolle über ihre Systeme haben und bilden intern aus, um ihre Kompetenzen zu erweitern. Andere Kunden haben diese Kompetenzen nicht und möchten sie auch nicht haben. Sie haben Mitarbeiter, die die grundlegenden theoretischen Prinzipien verstehen können, und beauftragen externe Unternehmen. Wieder andere haben so gut wie nichts von all dem.“
In jedem Fall sind Cybersicherheitsexperten in der Lage, von Fall zu Fall zu entscheiden, je nach Erfahrung und Reife des Teams. Und die Unternehmen bei einer reibungslosen technischen Einführung zu begleiten.