2021 hatten Hacker Hochkonjunktur. Sie haben einige spektakuläre Attacken gefahren, darunter auf kritische Infrastrukturen wie Ölpipelines und Wasserwerke. Auch die Industrie ächzt unter fast täglichen Angriffsversuchen: die Vorfälle nehmen laut Prof. Axel Zimmermann von der Hochschule Aalen jährlich um über 30 Prozent zu. Während früher Malware, landläufig als Viren bekannt, bei Hackern besonders beliebt war, sind es heute Phishing und vor allem Ransomware. Dort verschlüsseln die Kriminellen sämtliche Daten ihrer Opfer und erpressen dann Lösegeld fürs Entschlüsseln. Häufig wohl mit Erfolg, denn die wenigsten Betriebe hängen es an die große Glocke, wenn sie betroffen sind. Von den kleinen und mittelständischen Unternehmen in Deutschland waren laut Zimmermann schon 61 Prozent von Cybercrime betroffen und die übrigen wird es früher oder später treffen, darin sind sich Expert:innen einig.
Schützen können sich Betriebe mit dem Defence-In-Depth Konzept (dazu unten mehr). Ein wichtiger Baustein dabei sind Netzwerkkomponenten, die bereits ab Werk so gesichert sind, dass Angreifer:innen nicht eindringen können. Die Schlüsselrolle spielen Switches für industrielles Ethernet und Profinet. LAPP, Weltmarktführer für integrierte Kabel- und Verbindungssysteme, hat ein breites Portfolio an Switches und Routern, die nach dem höchsten Stand der Technik gesichert sind. Für maximalen Schutz empfehlen sich vor allem die managed Switches und NAT-Router mit Firewall. Sie lassen sich einfach konfigurieren und sind sofort einsatzbereit.
Spiel mit dem Feuer
Technik allein ist aber nicht die Lösung. Betriebe sollten ein ganzheitliches Cybersecurity-Konzept haben. Trotz der Gefahren hätten das von kleinen und mittelständischen Unternehmen nur 30 Prozent, so Axel Zimmermann. Das ist ein Spiel mit dem Feuer. Unternehmen droht somit der Verlust von geistigem Eigentum sowie Geschäftsgeheimnissen oder die Sabotage der Produktion. Das kann teuer werden. Ein Stillstand in der Automobilproduktion kann Zigmillionen Euro pro Tag kosten. Oft trifft es auch Unternehmen, die sich eigentlich mit IT auskennen wie Citrix. Dort waren Hacker fünf Monate lang unentdeckt im Firmennetzwerk unterwegs. Sogar FireEye, eine Sicherheitsfirma für IT-Software, wurde gehackt, geplündert und die Sicherheits-Software entwendet.
Einige Unternehmen mögen sich an dieser Stelle fragen: Wenn sich schon IT-Firmen nicht schützen können, wie soll es dann uns gelingen? Resignieren ist keine Option, denn man kann sich schützen. Zwar gelingt es nie zu 100 Prozent, aber dennoch sollte der Aufwand für die Hacker so groß wie möglich sein, damit es sich für die Kriminellen nicht lohnt. Unterstützung bietet auf europäischer Ebene die ENISA, die europäische Agentur für Cybersecurity oder in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Große Unternehmen unterhalten Computer Emergency Response Teams, kurz CERT. In Deutschland gibt es derzeit 48 CERT, darunter das CERT-Bund vom BSI oder das VDE-CERT für die Elektrotechnik-Industrie. Auch die Deutsche Telekom unterhält ein eigenes CERT-Team, ebenso Siemens und einige mehr.
Verfügbarkeit ist alles
Die meisten Industriebetriebe können sich das nicht leisten, sie sind auf externe Hilfe angewiesen. Ihre erste Anlaufstelle sind meist IT-Experten, die ihr Hauptaugenmerk vor allem auf der Vertraulichkeit liegen. Doch das ist den Betrieben gar nicht so wichtig. Anders, wenn man Experten aus dem Fabrikbetrieb fragt. Bei der Industrial Security, auch OT-Security genannt, liegt der Fokus auf der Verfügbarkeit. In der OT geht es um Maschinen und Produktionsanlagen; da können 300 Millisekunden Ausfall schon zu viel sein, eine nahezu 100prozentige Verfügbarkeit von 24/7 ist dort das A und O.
Viele diese Aspekte werden von einer Norm abgedeckt, der IEC 62443. Sie ist ein umfassender und international anerkannter Standard für Industrial Security und beschreibt im Detail die Verfügbarkeit von Anlagen. Sie befasst sich neben einem allgemeinen Teil mit Prozessen, dem System und auch einzelnen Komponenten. Angelehnt an die Norm ist das Konzept Defence-In-Depth. Das ist ein mehrschichtiges Sicherheitskonzept aus drei Teilen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität.
Abschließen und Segmentieren: Defence-In-Depth im Fokus
Was genau gehört also zu dem Status-Quo Konzept? Die drei Teile des Defence-In-Depth Konzeptes sind nachstehend aufgeschlüsselt und um Hinweise dazu ergänzt:
Anlagensicherheit
Dort geht es hauptsächlich darum, Anlagen abzuschließen, zum Beispiel mit speziellen Schaltschränken. Nicht jede Person soll Zugang zum Netzwerk haben. Dazu gehört, Arbeitsanweisungen und Richtlinien den Mitarbeitern in entsprechenden Schulungen bekanntzumachen.
Netzwerksicherheit
Eine Strategie ist die Netzwerksegmentierung, etwa mit NAT oder VLAN. Hier empfiehlt sich der Einsatz von IP und MAC Filtern, das Deaktivieren ungenutzter Ports sowie zu verhindern, dass offene Ports frei verfügbar im Netzwerk stehen. Weiterhin ist der Einsatz einer Firewall für die sichere Kommunikation mit der Außenwelt obligatorisch. Es gibt smarte Lösungen, die auch einzelne Maschinen oder kleine Fertigungszellen abschotten vom restlichen Unternehmensnetzwerk. Dann sollte man sichere Protokolle verwenden, etwa beim Aufruf einer Webseite.
Systemintegrität
Sie befasst sich hauptsächlich mit der Systemhärtung. Wir kennen alle Default-Passwörter wie 0000, das im Auslieferungszustand vom Gerätehersteller hinterlegt ist. Dieses sollte sofort durch ein sicheres Passwort ersetzt werden. Damit macht man es Hackern so schwer wie möglich, ein Netzwerk zu attackieren. Weitere Möglichkeiten sind Whitelisting und Virenschutz. Whitelisting deshalb, weil Betriebe wissen, welche Komponenten miteinander kommunizieren dürfen, zumindest in der Fertigungsebene. Die IT setzt dagegen hauptsächlich auf Blacklisting, weil man dort nicht wissen kann, wer auf die eigene Website zugreifen will, es gibt also spezifisch verbotene Bereiche. Die Authentifizierung befasst sich mit der Klassifizierung der Benutzer:innen und mit dem Passwortmanagement (z.B. RADIUS oder TACACS+).
Nimmt man sich diese Empfehlungen zu Herzen, führt in der Fabrikvernetzung kein Weg an gemanagten Geräten vorbei. LAPP führt ein umfangreiches Portfolio an Switches für die Vernetzung in Fabriken, die mit den höchsten Sicherheitsstandards ausgerüstet sind – und es Hackerangriffen damit wahrlich schwer machen. LAPP weiß um die drastischen Ausmaße von Maschinen- und Fabrikstillständen. Als Anbieter von zuverlässigen Verbindungslösungen sieht es das Unternehmen als seine Aufgabe, sich der Thematik anzunehmen und seine Kund:innen davor zu schützen.