Bestandsaufnahme: Cybersecurity in der Industrie

In dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2014“ des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ein weiterer bemerkenswerter Fall enthalten. Demnach sind Hacker in das Netzwerk eines Stahlwerks eingedrungen, haben die Steuerung des Hochofens übernommen und die Anlage massiv beschädigt. Die Angreifer haben sich zunächst durch Phishing-E-Mails, die auf Mitarbeiter zugeschnitten waren, Zugriff auf das Office-Netzwerk der Anlage verschafft und sich von dort aus bis in die Produktionsnetze vorgearbeitet. Das BSI hat den Namen des betroffenen Unternehmens nicht genannt.

Nicht immer sind bei scheinbar ähnlich strukturierten Attacken die Industrieanlagen selbst das Ziel. Ein auf den ersten Blick ähnlicher Angriff auf Thyssen-Krupp im Jahr 2016 diente – ausweislich der Erkenntnisse des betroffenen Unternehmens – zur Industriespionage und verschonte die Industrieanlagen selbst [1].

Sicherheit vernetzter Anlagen

Das eigentliche Problem der Unsicherheit einzelner Steuerungssysteme existiert schon länger, gerät aber erst in letzter Zeit in den Fokus der Betrachtungen. Durch die zunehmende Vernetzung der Anlagen und – wie im Beispiel beschrieben – vor allen Dingen auch durch die Verbindung der bis dato weitgehend getrennten Netze auf Fabrikebene (sogenannte Operational Technology – OT) mit dem, was als IT (Informationstechnologie) des Betriebes bekannt ist. Ein ganz ähnliches Problem gibt es übrigens in Krankenhäusern bei Medizintechnikgeräten, bei denen die Angreifer ebenfalls immer wieder technische Schwächen, die entdeckt werden, ausnutzen können. Solange die Geräte für sich im „Stand Alone-Betrieb“ arbeiten, ist dies kein Problem. Mit zunehmender Vernetzung entstehen dann jedoch unter Umständen Gefahren für die Anlagen selbst, aber eben auch für die Nutzer und – im Falle von Krankenhäusern – Patienten. Traurige Berühmtheit erreichte etwas 2019 eine Meldung von GE (General Electric) über eine technische Schwachstelle in Betäubungsgeräten, die in der Empfehlung gipfelte, man sollte die Geräte vom Datennetz trennen. Hacker hätten – zumindest theoretisch – die Dosis von verabreichten Betäubungsmitteln unbemerkt verändern können [2].

Auch eher triviale und altbekannte Sicherheitsprobleme wie Ransomware-Attacken können Industrieanlagen und Logistikkon-trollsysteme lahmlegen, wenn die Netze zwischen Officebetrieb und Steuerungstechnik bzw. Waren- und Lagerwirtschaft nicht hinreichend getrennt sind. Beispiele von Maersk (2017), Norsk Hydro (2019), Garmin (2020), Palfinger (2021) und tegut (2021) zeigen deutlich die Problematik.

„Altes“ Sicherheitsmodell funktioniert nicht mehr

Wie oben bereits kurz ausgeführt, sind Sicherheitslücken in einzelnen Steuerungssystemen des IIoT (Industrial IoT) kein Problem, solange diese Systeme keine Verbindung nach außen besitzen. Mit einiger Verzögerung wiederholt sich im OT-Bereich nun jedoch eine Entwicklung, die aus dem Bereich der Office-IT bekannt ist: Es geht nicht mehr ohne Verbindungen nach außen. Damit ist alles außerhalb des Produktionsnetzes gemeint, also etwa Übergänge zu IT-Systemen des Unternehmens selbst oder auch Übergänge zu anderen Unternehmen (Abnehmern wie Lieferanten), mit denen man im Bereich von vernetzten Lieferketten zusammenarbeitet (gern auch unter dem Schlagwort „Industrie 4.0“ zusammengefasst) sowie Fernzugänge für einzelne Anlagen, die typischerweise durch Lieferanten zu Wartungszwecken genutzt werden.

All diese Zugangsmodelle sorgen dafür, dass die alte Vorstellung einer Burgmauer, die den Bereich Industrieanlagen abschottet, überdacht werden muss. In Fachkreisen spricht man auch von „Perimeter Security“. Anders gesagt, es kann in vielen Fällen nicht mehr ausgeschlossen werden, dass in komplexen Installationen „alles dicht“ gemacht wird. Damit richtet sich die Aufmerksamkeit notwendigerweise auf die Sicherung von einzelnen Systemen. Diese stehen in der Praxis oft mehr oder weniger ungesichert im Netz. Die Suchmaschine „Shodan“ – eine Suchmaschine für das Internet der Dinge – liefert immer wieder spannende Steuerungs- und Überwachungstechnik zur unbefugten Übernahme frei Haus. Mit etwas krimineller Energie und Kenntnissen lassen sich anderswo vorhandene Hürden vielfach ebenfalls relativ einfach überwinden.

Einen interessanten Blick auf die wichtigsten Angriffsvektoren liefert eine BSI-Studie aus dem Jahr 2019. Zu den wesentlichen 10 Cyberrisiken für Industrieanlagen nach BSI gehören demnach:

• Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware (Tendenz steigend)

• Infektion mit Schadsoftware über Internet/Intranet (Tendenz steigend)

• Menschliches Fehlverhalten und Sabotage (Tendenz stark steigend)

• Kompromittierung von Extranet- und Cloud (Tendenz stark steigend)

• Social Engineering und Phishing (Tendenz rückläufig)

• (D)DOS-Angriffe (Tendenz stark steigend)

• Internet-verbundene Steuerungskomponenten (gleichbleibend)

• Einbruch über Fernwartung (gleichbleibend)

• „Technisches Fehlverhalten“ und höhere Gewalt (Tendenz rückläufig)

• Kompromittierung von Smartphones im Produktionsumfeld (gleichbleibend)

Insecure by Design: Probleme für Industrieanlagen

Es sei an dieser Stelle ausdrücklich darauf hingewiesen: Cybersicherheit ist – gerade bei Industrieanlagen – vielfach nicht nur ein technisches Problem, sondern auch ein Problem der Verantwortung. Für IoT-Geräte im Haushalt scheuen viele Hersteller Sicherheitsupdates, da diese in der Regel dann anfallen, wenn das Produkt längst auf dem Markt bzw. häufig bereits abverkauft und das Ganze nur noch ein Kostenfaktor ist. Diese gefährliche Denkweise gibt es manchmal auch im Bereich von Steuerungssystemen und Komponenten für Industrieanlagen. Vom chinesischen Hersteller für Kamerasysteme Xiongmai, der Komponenten liefert, die wiederum in Maschinen weltweit eingebaut werden, ist bekannt, dass er auf eine Sicherheitslücke (ausweislich auf der Unternehmenswebsite) mit folgender Stellungnahme geantwortet hat: „Security issues are a problem facing all mankind. Since industry giants have experienced them, Xiongmai is not afraid to experience them once, too.“ Auf Deutsch: Sicherheitsfragen sind ein Problem der gesamten Menschheit. Da Branchenriesen sie erlebt haben, hat Xiongmai keine Angst, sie auch einmal zu erleben. Dies zeugt nicht gerade von Verantwortungsbewusstsein und setzt alle, die Abnehmer dieser Module sind, potentiell hohen Risiken aus.

Risiko „Supply Chain Security“

Das Risiko um was es hier geht, nennt man „Supply-Chain-Risiko“. Damit ist – anders als vielleicht erwartet – nicht gemeint, dass Komponenten nicht geliefert werden können und die Lieferkette reißt, sondern dass, Risiken über Zulieferkomponenten, wie eben die gerade genannten Kamerasysteme, in Endprodukte wie etwa Maschinen wandern, ohne dass dem Maschinenhersteller gewahr ist, dass er diese Risiken mit sich herumschleppt. Hier gibt es vielfältige Fallbeispiele. Wegen der enormen Tragweite soll hier nur ein Fall: „Ripple 20“ näher betrachtet werden. Demnach hat im Jahr 2020 die Cybersicherheitsfirma JSOF ein und dieselbe Lücke u. a. in Geräten von ABB, Cisco, Dell, Miele, Mitsubishi Electric, Ricoh, Schneider Electric, Xerox– um nur die bekanntesten Namen zu nennen – festgestellt. Betroffen von der gemeinsamen Lücke waren so unterschiedliche Geräte wie Drucker, USV-Stromversorgungen, Kraftwerkssteuerungen, Medizintechnik- und Laborreinigungsgeräte und natürlich Industriesteuerungsanlagen. Schuld an dem Dilemma war ein kleines Stück Software für die Netzwerkkommunikation, das in den Grundsätzen auf eine Entwicklung in den späten 1990er Jahren zurückgeht und von einer Firma stammt, die es längst nicht mehr gibt. Was nun? Die meisten der genannten Anbieter haben vorbildlich reagiert und nach einem Sicherheitshinweis durch die Firma JSOF Updates für ihre Systeme auf den Markt gebracht.

Das Grundproblem der Komplexität bleibt und wird auch in anderen Fällen für Probleme sorgen.