Vernetzte Produktion richtig absichern

Lesezeit
2 Minuten
Bis jetzt gelesen

Vernetzte Produktion richtig absichern

28.09.2022 - 14:00
Veröffentlicht in:
In der Regel sind Maschinen in Produktionsumgebungen auf lange Lebenszyklen ausgelegt, sodass sich dort viele alte, ungepatchte Systeme finden. Die Folge: Ransomware-Attacken auf die Produktion nehmen zu und Cyberkriminelle freuen sich über zahlungswillige Opfer. Um sich zu schützen, brauchen Unternehmen passgenaue Securitymaßnahmen, die auf das jeweilige Einsatzgebiet abgestimmt sind. Welche Rolle dabei die Begriffe MES und SCADA spielen, lesen Sie im Fachartikel.
Mehr als 60 Prozent der produzierenden Unternehmen waren schon einmal von einem Cyberangriff betroffen, so eine Studie des unabhängigen Marktforschungsinstituts Vanson Bourne im Auftrag von Trend Micro. Drei Viertel der Vorfälle führten zu Systemausfällen. Bei 43 Prozent der Unternehmen dauerten die Ausfälle sogar länger als vier Tage. So auch beim Automatisierungsspezialisten Pilz: Wegen einer Ransomware-Attacke stand seine Produktion zwei Wochen lang still. Ähnlich erging es dem norwegischen Aluminium-Hersteller Norsk Hydro, der durch den Vorfall nach eigenen Angaben einen Verlust von rund 30 Millionen Euro erlitt.

Viele Opfer entscheiden sich angesichts solch drohender Schadenssummen lieber dafür, Lösegeld zu zahlen, als längere Produktionsausfälle in Kauf zu nehmen. Beste Aussichten also für Erpresser, die das Geschäftsmodell Ransomware für sich entdeckt haben. Tatsächlich sind Cyberattacken auf produzierende Unternehmen nur selten Sabotageakte oder politisch motiviert. Meist geht es den Angreifern darum, mit möglichst wenig Aufwand möglichst viel Geld zu verdienen. Aus den Erfahrungen der vergangenen Jahre haben sie gelernt: In der Industrie gelingt das besonders gut.

Schwachstellen in der Produktion
Es gibt verschiedene Gründe, warum Produktionsanlagen einfache Ziele sind. In der Regel sind die Maschinen auf lange Lebenszyklen ausgelegt, sodass sich dort viele alte, ungepatchte Systeme finden. Für etliche gibt es schlichtweg keine Sicherheitsupdates mehr oder es fehlen entsprechende Freigaben der Hersteller. Häufig möchten IT-Verantwortliche laufende Systeme auch nicht anfassen, weil das den Betrieb gefährden könnte. So finden Cyberkriminelle zahlreiche offene Schwachstellen, die sie leicht mit altbekannten Exploits ausnutzen können.

Dazu kommt, dass Produktionsanlagen häufig nur unzureichend vor Cyberangriffen geschützt sind. Solange sie in einer weitgehend abgeschotteten Umgebung betrieben wurden, war das noch akzeptabel. Doch durch die Konvergenz von IT und OT (Operational Technology) sind Industriesteuerungen heute genauso angreifbar wie die Office-IT. Viele Maschinen verfügen über einen Internetzugang für die Fernwartung oder für die verbrauchsbasierte Abrechnung. Oft fehlt ein zentraler Überblick, welche Systeme eigentlich wohin kommunizieren. Meist gibt es zudem keine integrierte Security, und es lässt sich auch keine entsprechende Software installieren. Wenn Netzwerke dann noch nicht einmal segmentiert sind, kann sich ein Eindringling ungestört ausbreiten.

Spezialisierte OT-Malware
Wenig Hindernisse also – und lukrative Beute. Während die ersten Cybervorfälle in der OT eher zufälliger Beifang von breit gestreuten, unspezifischen Ransomware-Attacken auf die Office-IT waren, gibt es mittlerweile Malware, die direkt auf produzierende Unternehmen abzielt – etwa LockerGoga, Snake/Ekans oder DoppelPaymer. Mit einer IoT-Suchmaschine wie Shodan ist es zudem leicht, vernetzte Geräte aufzuspüren und sogar Details zum Betriebssystem zu ermitteln. Im Untergrund hat sich ein eigener cyberkrimineller Geschäftszweig entwickelt, in dem Spezialisten agieren, die genau wissen, wie sie Industriesteuerungen am besten angreifen und welche Daten am wertvollsten sind. Dazu kommt, dass Ransomware-Banden auch im Darknet miteinander handeln: Hacker, die einen Zufallstreffer landen, verkaufen ihren Fang gerne weiter an Kollegen, die sich mit OT auskennen.

Schutzmaßnahmen auf Netzwerkebene
Gerade im Produktionsumfeld ist es daher wichtig, Gefahren möglichst gut auf Netzwerkebene abzufangen. Denn auf den speicherprogrammierbaren Steuerungen (SPS) und Human Machine Interfaces (HMI) lässt sich in der Regel kein Endpunktschutz installieren. Eine wichtige Maßnahme besteht darin, das Netzwerk in verschiedene Segmente aufzuteilen und zum Beispiel besonders geschäftskritische Assets durch zusätzliche Kontrollen schützen.

Dafür kommen spezialisierte, industrietaugliche Firewalls und IPS-Werkzeuge zum Einsatz, die die Netzwerkkommunikation überwachen, gefährlichen Traffic erkennen und filtern. Sie arbeiten, ohne die latenzkritische Datenübertragung zu beeinträchtigen, und lassen sich integrieren, ohne in die Netzwerkkonfiguration einzugreifen oder Systeme zu verändern. Gelingt es einem Angreifer in ein segmentiertes Netzwerk einzudringen, ist er in seiner Bewegungsfreiheit eingeschränkt. Schnell steht er vor dem nächsten Schutzwall und kann nur wenig Schaden anrichten.

Eine wertvolle Securitytechnologie ist zudem Virtual Patching. Sie kommt in innovativen IPS- und Firewalls zum Einsatz und verhindert, dass eine Schwachstelle von außen ausgenutzt werden kann. Ein virtueller Patch wirkt wie ein Pflaster, das eine Wunde auf Netzwerkebene verschließt. Es schützt nicht nur vor einzelnen Exploits, sondern deckt eine Schwachstelle vollständig ab, sodass sie auch vor künftigen Exploits sicher ist. Virtual Patching kann sowohl nicht patchbare als auch patchbare Systeme besser absichern: Dadurch, dass Schwachstellen sehr schnell automatisiert geschlossen werden, gewinnen Administratoren Zeit, um – falls möglich – Herstellerpatches einzuspielen.

Seite 1: Spezialisierte OT-Malware


Seite 1 von 2 Nächste Seite >>


ln/Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Tags

Ähnliche Beiträge

Sicherheit in Microsoft Azure (2)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im zweiten Workshop-Teil schildern wir, wie Sie auf der Kommandozeile für den Security-Feinschliff sorgen und wie Sie den Azure-Login absichern.

Identity Access Management vs. Identity Governance and Administration

Die IT-Sicherheit differenziert zwischen Identity Access Management (IAM) und Identity Governance and Administration (IGA). Beide sind für Sicherheit und Compliance essenziell, aber in ihren Funktionen leicht verwechselbar. Wer IAM und IGA differenzieren kann, dem bereiten Authentifizierung, Berechtigungsmanagement und Cyberangriffe weitaus weniger Kopfzerbrechen. Der Fachbeitrag klärt, wie sich IGA und IAM unterscheiden und warum beide Konzepte komplementär zu betrachten sind.

Sicherheit in Microsoft Azure (1)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im ersten Teil des Workshops gehen wir darauf ein, welche Rolle lokale Konten für die Cloudadministration spiele und wie Sie Ressourcenhierarchien und Vererbungen im Blick behalten.