Die Zahl der von einem Cyberangriff betroffenen Branchengruppen ist Ende 2020 explodiert. Und das Jahr 2021 startet auf mindestens ebenso hohem Niveau. Während regelmäßig auf 5G und IIoT als neue zu verriegelnde Einstiegspunkte hingewiesen wird, scheinen die in letzter Zeit beobachteten Angriffe sehr klassisch zu sein. Das reicht aus, um seine Prioritäten für 2021 zu revidieren.
Die ersten Cyber-Attacken gegen die Industrie betrafen vor allem Gas-, Energie-, Atom- und Wasserunternehmen. Dies schien mehr mit Geopolitik zu tun zu haben. Aber seit einigen Jahren werden die Ziele diversifiziert. Es sind nicht mehr nur Akteure aus dem Energiebereich, sondern auch aus der Fertigung, dem Vertrieb, der Lebensmittelverarbeitung und sogar dem Transport und der Mobilität. Beneteau, Toyota, Trigano, X-Fab: Die Zahl der in den letzten Monaten bekannt gewordenen Fälle zeigt Unternehmen aller Größen und Branchen. Wie Sie sehen, ist niemand sicher.
Snake, das Emblem einer neuen Angriffsfläche
Die Qualität einiger sehr gezielter Industrieangriffe wirft Fragen auf. Ähnlich wie WildPressure lief im März 2020 eine Angriffskampagne, die den Milum-Trojaner verwendete und auf Industrieunternehmen im Nahen Osten abzielte. Oder das Eindringen Ende April in die Kontrollsysteme einer israelischen Kläranlage.
Auch Ransomware wird immer ausgefeilter, wie ekanS/Snake, das im Januar 2020 veröffentlicht wurde. Diese neue Art von Ransomware stellt eine besondere Bedrohung für die OT-Welt dar, da sie in der Lage ist, Software und Kommunikationsprotokolle gezielt anzugreifen, die spezifisch für die Industrie sind.
Dies ist ein Wendepunkt. Diese neue Art von Ransomware, die bisher auf IT-Netzwerke beschränkt war, hat sich zu einer ernsthaften neuen Bedrohung für OT-Netzwerke entwickelt. Diese Malwares sind komplexer und verheerender und sind Ausdruck der zunehmenden Komplexität der Intrusionstechniken.„Ransomware passt sich den Branchen an“, sagt Khobeib Ben Boubaker, Head of Industrial Security Business Line bei Stormshield. Aber auch wenn sich die Form ändert, das Prinzip ist immer dasselbe: Es geht darum, die Vernetzung von OT und IT zu unterwandern und auszunutzen, um bis in die industriellen Unterschichten vorzudringen.“Diese Entwicklung der Angriffe betrifft direkt operative Fragen. Dies ist ein entscheidendes Thema, das alle Hersteller angehen müssen.
Die Fragilität von Industriesystemen
In ein paar Jahren, ist die Cyber-Sicherheit von industriellen Systemen zu einem wichtigen Thema geworden. Mit drei Hauptschwächen, an denen im Jahr 2021 noch gearbeitet werden muss:
- Die Vernetzung der Anlagen untereinander. Die Verwaltung eines ausgedehnten Industrieparks (über eine verteilte Architektur), bei dem die Anlagen zunehmend vernetzt sind, stellt ein großes Risiko für die Ausbreitung eines Angriffs dar.
- Die zunehmende Durchdringung der industriellen Systeme mit Informationssystemen. Industrielle Systeme sind bereits von Natur aus komplex und arbeiten in einem ständigen Hin und Her der Echtzeitkommunikation, von Sensoren zu SPS und von SPS zu SCADA. Mit der zunehmenden OT/IT-Konvergenz schwappt die Kommunikation von SCADA zu MES und von MES zu ERP über, wodurch sich neue Angriffsmöglichkeiten ergeben.
- Die Cyber-Governance. Bei dieser OT/IT-Konvergenz ist die Governance-Frage in vielen Branchen noch nicht gelöst. Auf der einen Seite müssen die IT-Teams kompetenter werden, was die Herausforderungen und Besonderheiten des OT angeht, und eine Mission haben, die Denkweise des allgemeinen Managements in Bezug auf das OT-Sicherheitsbudget zu ändern. Andererseits müssen OT-Teams lernen, im gesamten Sicherheitsprozess mit diesen IT-Teams zusammenzuarbeiten.
„Was ausgenutzt wird, ist die Tatsache, dass es in der Industrie immer mehr Konvergenz gibt, um mehr und mehr mit der IT verbunden zu sein“, fasst Khobeib Ben Boubaker zusammen. Diese Konvergenz zielt darauf ab, Antwortzeiten zu verkürzen, die Produktion zu überwachen oder das Ressourcenmanagement zu optimieren. Doch mit der zunehmenden Vernetzung der Fabriken vergrößert sich auch die Angriffsfläche. Und mit Industrie 4.0 und dem Versprechen von vernetzten Objekten, die durch 5G gefördert werden, wird die Fabrik, die historisch als isolierte Zitadelle konzipiert war, zu einer vernetzten Umgebung voller Sensoren. Diese digitale Transformation darf aber nicht auf Kosten der Cyber-Sicherheit gehen. Im Hinblick auf die Cyber-Sicherheit industrieller Systeme geht es zunächst um die Zusammenhänge zwischen IT und OT. ERP auf der IT-Seite und MES auf der OT-Seite sind zunehmend miteinander vernetzt und tauschen immer mehr Daten aus. Im Falle eines Angriffs auf der IT-Seite hat dies auch Auswirkungen auf die OT.
Genau das geschah bei mehreren industriellen Akteuren. Im Februar 2021 wurde der Reisemobil- und Caravanhersteller Trigano Opfer einer Ransomware, die einen Teil der Server des Konzerns blockierte und die Produktion an mehreren Standorten in Frankreich, Italien, Spanien und Deutschland stoppte. Das Unternehmen stellte nach und nach alle diese Dienste wieder her und nahm sogar die Produktion nach einem einwöchigen Stillstand wieder auf. Dieselbe Strafe im großen Stil für Honda. Opfer einer Ransomware im Juni 2020, musste der japanische Hersteller einen Teil seiner Produktion unterbrechen. Insgesamt waren 11 Anlagen betroffen in den USA, Brasilien, der Türkei und Indien. Und neuerdings ist es der indische Stahlkonzern Tata Steel, der mit einer Ransomware konfrontiert ist.
Segmentieren, segmentieren und nochmals segmentieren
Und das Honda-Beispiel ist besonders interessant, da der Angriff in einem Werk begann, bevor er sich auf andere ausbreitete. Der erste Schritt besteht also darin, eine Segmentierung zwischen allen Anlagen vorzunehmen, damit ein Angriff gestoppt und an einer Stelle eingedämmt wird. Ein Beispiel ist der Pharmakonzern Fareva, dessen Rechenzentrum in Savigny-le-Temple (Seine-et-Marne) zum Ziel eines Angriffs wurde. Daraufhin schaltete das diensthabende IT-Personal das ERP ab. „Unsere IT-Mitarbeiter haben schnell reagiert und uns vor größeren Verlusten bewahrt. Etwa 0,5 % unseres Systems sind von diesem Virus verseucht“, sagte Bernard Fraisse, Vorstandsvorsitzender von Fareva, in Les Echos. Bei diesem auf den Transport und die Verpackung von pharmazeutischen Produkten spezialisierten Zulieferer wurde jedoch das Computersystem in fast allen Werken lahmgelegt. Alle französischen Standorte waren betroffen, mit Ausnahme von zwei, die sich in Ille-et-Vilaine befinden und nicht mit dem zentralen Server des Unternehmens verbunden sind. Eine „Segmentierung“, die sie beschützt hat.
„Die Segmentierung in der industriellen Welt ist der erste Sicherheitspunkt“, warnt Khobeib Ben Boubaker. Dadurch wird sichergestellt, dass das Produktionssystem, das Qualitätssystem oder das Sicherheitssystem nicht alle voneinander abhängig sind. Dies begrenzt Rückprall-Angriffe. „Diese digitale Hygiene ist unerlässlich. Und legt den Grundstein für globale Sicherheit, noch bevor der Einsatz von 5G oder IIoT in Betracht gezogen wird.
Sie besteht aus drei Hauptstufen der Sicherheit. Der erste Schritt ist die Aufrechterhaltung der Barriere zwischen IT und OT. Es geht darum, die Informationssysteme untereinander zu segmentieren, die Fabriken untereinander, das Büronetzwerk und das industrielle System, das industrielle System und das Internet ... Kurz gesagt, um sicherzustellen, dass es eine erste Sicherheitsebene zwischen den Fabriken und dem Rest gibt. Der zweite Schritt ist die Segmentierung des industriellen Netzwerks. Heutzutage sind die industriellen Systeme der Fabriken oft flach, das heißt, es gibt keine Segmentierung. Die Geräte befinden sich manchmal alle im selben Netzwerk. Im Falle eines Angriffs reicht es aus, wenn ein Gerät betroffen ist, damit sich der Angriff auf die gesamte Anlage ausbreitet. Die Bereitstellung einer Segmentierung ermöglicht es, bestimmte Bereiche zu sichern, den Angriff zu verlangsamen und einzudämmen. Der dritte Schritt besteht schließlich darin, so nah wie möglich an den Industrieautomaten zu sein und die Kommunikation zwischen ihnen zu sichern.
„Wir müssen eines verstehen: Ob IT oder OT, wir haben es mit Computerkommunikation zu tun“, sagt Khobeib Ben Boubaker. Genau wie die traditionelle IT muss auch die industrielle IT ihre Kommunikation mit angepassten Firewalls kontrollieren.“Und das gilt auch für die Cloud.
Die neuen Sicherheitsherausforderungen des Cloud Computing
Während die Hersteller noch vor einigen Jahren auf On-Premise-Umgebungen schworen, reduzieren heute immer mehr Unternehmen ihre On-Premise-Investitionen und entscheiden sich für die Cloud.
Die Cloud wird daher allmählich zu einem neuen Parameter, der in der Gesamtsicherheitsstrategie berücksichtigt werden muss. Und da das industrielle System direkt mit der Cloud verbunden ist, bringt die Nutzung der Cloud neue Sicherheitsherausforderungen mit sich:
- Die Bedeutung der Sicherung von in die Cloud hochgeladenen Daten
„Mithilfe der Cloud können sie eine bestimmte Menge an Informationen speichern. Doch wie sensibel sind diese Daten? Einige Informationen können kommerziell oder mit der Produktion verbunden sein ... Es ist notwendig, den Grad der Sensibilität dieser Daten zu definieren. Und das richtige Maß an Sicherheit entsprechend der Risikoanalyse einzurichten“, sagt Khobeib Ben Boubaker.
Oft wird die Cloud mit Anwendungen oder Lösungen für die vorausschauende oder vorbeugende Wartung in Verbindung gebracht. Diese separaten Elemente der Anlage ermöglichen es, den Betriebszustand der Ausrüstung und des Prozesses zu kontrollieren und Daten zurück in die Cloud zu senden ... also in die Außenwelt. Die „Herausgabe“ von Daten ist immer ein risikoreiches Unterfangen, da die Gefahr eines Lecks oder einer Veränderung besteht. Der Industrielle, der sich für die Auslagerung seiner Daten entscheidet, muss sicherstellen, dass die Anwendung und die in die Cloud gestellten Tools sicher sind, durch den Einsatz von Firewalls in der Cloud zur Sicherung des Zugangs und der Daten, die zwischen der Cloud und einem Industriestandort übertragen werden. Sichern Sie also die Kommunikation zwischen dem Industriesystem und der Cloud.
- Die Bedeutung der Sicherung Ihrer Infrastruktur
Eine weitere Herausforderung besteht darin, eine sichere Cloud-Plattform zu haben, um ein Zurückspringen auf das industrielle System zu vermeiden. „Einige Cloud-Anbieter bieten auch Sicherheit über verwaltete oder dezentralisierte Dienste, die von einem anderen Anbieter betrieben werden. Aber auch wenn dies durch das IT-Team oder eine dritte Partei geschieht, müssen Sie sicherstellen, dass die richtigen Sicherheitsmaßnahmen getroffen werden“, bemerkt Khobeib Ben Boubaker.
Fehler sind (häufig) menschlich
Ein weiteres wichtiges Thema ist die Fernwartung. Im Februar 2021 gelang einem Cyber-Angreifer der Einbruch in das Computernetzwerk einer Wasserversorgungsanlage in Florida, wo er versuchte, den Natriumhydroxidgehalt des Wassers zu verändern. Das Eindringen wurde von einem Computertechniker bemerkt, der erstaunt feststellte, dass jemand aus der Ferne seinen Mauszeiger bewegte, um die Konzentration dieses ätzenden chemischen Zusatzstoffes gefährlich zu erhöhen.
Dieser Angriff wirft nicht nur die Frage der Cyber-Sicherheit der Wasserversorgung, sondern zeigt auch grausam die Zerbrechlichkeit der Anlage. Ein Computernetzwerk, das auf dem veralteten Betriebssystem Windows 7 basiert, das Fehlen einer Firewall zwischen dem Internet und dem Informationssystem der Struktur oder das gleiche Kennwort für TeamViewer auf allen Computern der Station. All das sind Löcher im Getriebe und Gelegenheiten für Cyber-Kriminelle.
Es ist auch eine Frage der Kultur. „Sehr oft haben die Hersteller mehr Angst vor Fahrlässigkeit per USB-Stick als bei einem Angriff aus der IT“, erinnert Khobeib Ben Boubaker. Allerdings stellen alle Wartungsleute, ob intern oder extern, eine potentielle Schwachstelle dar. „In dem Moment, in dem sich jemand aus der Ferne mit dem Firmennetzwerk verbindet, um Daten von einem Server abzurufen, öffnet er eine Bresche zwischen dem Server und der Außenwelt! Es ist zwingend erforderlich, dass der Kommunikationstunnel sicher ist: dass die Person ordnungsgemäß authentifiziert werden kann und dass der Austausch verschlüsselt ist.“
Im Jahr 2021, Priorität auf ... die Grundlagen
Zwei Strategien werden im Allgemeinen von Industriellen zur Absicherung ihrer Aktivitäten eingesetzt. Einerseits ein globaler Ansatz, alles gleichzeitig zu sichern: Firewalls, Segmentierung, USB-Schlüsselverwaltung, Härtung der Arbeitsplätze, Benutzerauthentifizierung, Zugriffsverwaltung etc. Die Sicherung der Anlage basiert dann auf einem ganzen Programm, das die Integration dieser Sicherheit mit mehreren Lösungen beinhaltet. Immer mehr Hersteller folgen diesem globalen Sicherheitsansatz und verlassen sich auf ein Beratungsunternehmen, das ein Audit durchführt, Risiken identifiziert, Sicherheitslösungen vorschlägt und dann die verschiedenen ausgewählten Sicherheitsbausteine über einen Integrator integriert, um die komplette Anlagensicherheit zu gewährleisten. Aber auch dieser Ansatz erfordert ein erhebliches Budget.
Ein großes Hindernis für einige Industrielle. Auf der anderen Seite entscheiden sich einige dafür, Schritt für Schritt vorzugehen und die Grundlagen zu priorisieren, indem sie zuerst die OT-IT-Barriere absichern und dann die Sicherheit der Anlagen in eine Reihenfolge bringen (z. B. beginnend mit den lokalen Anlagen und dann mit denen im Ausland). Die Segmentierung ihrer Netzwerke, die Aufrechterhaltung einer guten digitalen Hygiene und die Sicherung der Nutzung der Cloud sind die Hauptprioritäten für die industrielle Welt in diesem Jahr. Damit wird eine solide Grundlage geschaffen, bevor der Einsatz von 5G und IIoT in Betracht gezogen wird.