Industrial Cybersecurity
Nie war es für Industrieunternehmen wichtiger, eine umfassende Cybersecurity-Strategie zu etablieren. Wie ist der Status quo in Sachen Industrial Cybersecurity? Gegen welche Cyberbedrohungen muss sich die Industrie schützen? Wie sichert man IIoT-Netzwerke systematisch ab? Und welche Beitrag können Hersteller von Komponenten für eingebettete Systeme leisten?
Die Normenreihe ISO/IEC 62443 bildet die Basis für Industrial Cybersecurity
Cyberbedrohungen gefährden gesamten Produktionszyklus
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – oberster Cybersecurity-Behörde in Deutschland – empfiehlt Industrieunternehmen Notfallpläne zu aktualisieren, regelmäßig Back-ups zu machen und ihre Systeme aktuell zu halten. In Zeiten zunehmender Vernetzung von Information Technology (IT), Operational Technology (OT) zum IIoT (Industrial Internet of Things) ist es damit nicht getan. Alle, die am Produktlebenszyklus vernetzter Komponenten beteiligt sind, müssen ihre Hausaufgaben machen, nicht nur die Betreiber, sondern auch die Hersteller. Für industrielle Umgebungen gilt das in besonderem Maße.
Status quo der Industrial Cybersecurity
Der Anfang Juni 2022 veröffentlichten Studie „The State of Industrial Cybersecurity“ des Sicherheitsunternehmens Trend Micro zufolge erlebten 90 Prozent der befragten deutschen Unternehmen (aus den Bereichen Fertigung sowie Strom-, Öl- und Gasversorgung) in den letzten zwölf Monaten Cyberangriffe auf industrielle Systeme; 75 Prozent sogar mindestens sechsmal. Die Angriffe verursachten finanzielle Schäden von durchschnittlich etwa 2,9 Millionen Euro.
Knapp 90 Prozent der Befragten berichteten zusätzlich zum Kernbetrieb von Beeinträchtigungen der Lieferkette. Das musste vor kurzem auch Toyota erfahren: Als ein Ransomware-Angriff am 28. Februar 2022 einen wichtigen Zulieferer traf, musste der weltgrößte Autobauer seine Produktion in 14 Fabriken und 28 Produktionslinien stoppen, denn Tier-1-Zulieferer sind direkt in Toyotas Just-in-Time-Produktionssteuerung eingebunden.
Cyberangriffe: Angriffstypen und Angriffsvektoren
Wer sich wirksam vor Cyberangriffen schützen will, muss wissen, wie professionelle Hacker vorgehen. Wichtig: Unternehmen sind heutzutage zunehmend gezielten und sorgfältig vorbereiteten Angriffen ausgesetzt, sogenannten Advanced Persistent Threats (APT). Dem neuesten X-Force Threat Intelligence Index Report von IBM zufolge war 2021 die Fertigungsindustrie der am häufigsten angegriffene Sektor. Angriffe nutzten hier vor allem Sicherheitslücken von Systemen aus (47 Prozent) oder nutzten Phishing-Mails (40 Prozent); über alle Sektoren gerechnet ist Phishing der wichtigste Angriffsvektor.
Dabei reagieren Cyberkriminelle flexibel auf veränderte Rahmenbedingungen. Vier der fünf am häufigsten ausgenutzten Sicherheitslücken im Jahr 2021 waren neu (v.a. Log4j); zudem stieg die Zahl der entdeckten Schwachstellen im Zusammenhang mit IoT-Geräten (+16 Prozent) und industriellen Steuerungssystemen (+50 Prozent). Ausspähungsaktivitäten gegen industrielle Netzwerke nehmen zu, etwa gegen das häufig von SCADA-Systemen genutzte Modbus-Protokoll auf TCP-Port 502 (hier gab es in neun Monaten einen Anstieg von 2200 Prozent). Wahrscheinlich um Cloud-Umgebungen bedrohen zu können, setzen Angreifer auch verstärkt auf Malware für Linux (neue Linux-Ransomware wuchs um 146 Prozent) und auch speziell für Docker und andere Container (z.B. XorDDoS, Groundhog, Siloscape).
Der wichtigste Angriffstyp ist nach wie vor Erpressung per Ransomware. Aber auch hier gibt es Weiterentwicklungen: Der Trend geht in Richtung „Triple-Extortion“: Angreifer verschlüsseln Daten nicht nur, sondern stehlen sie auch und drohen mit ihrer Veröffentlichung sowie zusätzlich mit DDoS-Attacken (Distributed Denial of Service), um mehr Druck aufzubauen.
Angreifer können unterschiedlichste Wege in ein Netzwerk finden, etwa über Schwachstellen in Servern, schlecht gesicherte Wartungszugänge von Anlagen, kompromittierte Smartphones oder gutgläubige Mitarbeiter. Eine einzige „offene Tür“ kann ausreichen, damit Angreifer in ganze Produktionslinien eindringen können. Denn die Produktion ist zunehmend bis hinunter auf die Feldebene vernetzt und beispielsweise mit IoT-Geräten, MES- und ERP-Systemen oder für Wartungsaufgaben oder Updates direkt mit dem Internet verbunden.
Sie möchten das Thema vertiefen?
Auf der embedded world Exhibition&Conference 2025
haben Sie vom 11. bis 13. März 2025 die Möglichkeit,
sich mit Branchenexperten auszutauschen.
ISO/IEC 62443 beschreibt Maßnahmen zur IIoT-Sicherheit
Wegen dieser Komplexität empfiehlt sich gerade bei der Absicherung von IIoT-Umgebungen ein systematisches und strukturiertes Vorgehen. Dabei hilft die einschlägige Normenreihe ISO/IEC 62443, die Maßnahmen für die Netzwerk- und Systemsicherheit in industriellen Kommunikationsnetzen beschreibt.
Die ISO/IEC 62443 verfolgt einen „Defense-in-Depth“-Ansatz: Auf Basis einer detaillierten Bedrohungs- und Schwachstellenanalyse wird das Gesamtnetz in verschiedene Sicherheitszonen („Zones“) segmentiert. Diese Zonen sowie die Übergänge bzw. Kommunikationskanäle („Conduits“) zwischen ihnen werden separat abgesichert, um das Vordringen eines eingedrungenen Angreifers in weitere Bereiche (Network Propagation) zu verhindern. Dafür werden den Zones und Conduits in Abhängigkeit von Schutzwürdigkeit und aktueller Bedrohungslage individuelle Security Level (SL) zugewiesen.
Cybersecurity-Anforderungen für Komponenten von eingebetteten Systemen
Die ISO/IEC 62443 fordert, bei der Absicherung den gesamten Lebenszyklus eingesetzter Produkte und Systeme in den Blick zu nehmen. Hier sind besonders auch die Hersteller von vernetzten Komponenten für eingebettete Systeme gefordert. Die Norm unterscheidet drei grundlegende Rollen – Hersteller, Systemintegratoren und Anlagenbetreiber – mit jeweils spezifischen Security-Anforderungen.
Grundsätzlich müssen Hersteller vernetzter Maschinen, Anlagen oder Komponenten ihre Produkte über den gesamten Lebenszyklus hinweg sicher halten. Denn nur so ist in Zeiten von Industrie 4.0 ein bestimmungsmäßiger Gebrauch möglich. Dazu gehört beispielsweise schon bei der Entwicklung von Hard- und Software die Integration sicherer Verschlüsselungsmechanismen und Update-Wege.
Ebenso müssen Hersteller über neu entdeckte oder entstandene Risiken informieren und gegebenenfalls Patches und Updates zur Verfügung stellen. Betreiber oder Integratoren müssen ihrerseits dafür sorgen, dass Firm- und Software aktuell sind, Herstellervorgaben eingehalten und zudem IT- und OT-Systeme regelmäßig auf mögliche Schwachstellen überprüft werden.
Absicherung von IIoT-Komponenten
Um die Anwendung der in der ISO/IEC 62443 beschriebenen Methodik zu erleichtern, hat das BSI im Rahmen des sogenannten „IT-Grundschutzes“ auch Anleitungen zur Absicherung von IIoT- und ICS-Komponenten veröffentlicht. Die speziellen Anforderungen von industrieller IT beschreiben die Grundschutz-Bausteine mit dem Kürzel „IND“ (z.B. IND 2.2 „Speicherprogrammierbare Steuerung“, IND 2.3 „Sensoren und Aktoren“). Im „ICS Security Kompendium“ des BSI bekommen Betreiber ebenfalls wertvolle Informationen. Auch die Richtlinie VDI/VDE 2182 zur „Informationssicherheit in der industriellen Automatisierung“ beschreibt eine mit der ISO/IEC 62443 kompatible Vorgehensweise zur Absicherung automatisierter Maschinen und Anlagen.
Weil aber auch mit den umfassendsten Security-Maßnahmen ein erfolgreicher Cyberangriff nie ganz auszuschließen ist, benötigen Unternehmen auch eine detaillierte Notfallplanung mit Zuständigkeiten und Sofortmaßnahmen, um die Schäden eines Angriffs zu minimieren und den Regelbetrieb schnell wieder aufzunehmen. Dabei unterstützt die internationale Norm ISO/IEC 27035 „Information Security Incident Management“ mit Leitlinien zur Identifizierung, Bewertung und Behandlung von Sicherheitsvorfällen und Schwachstellen.
Aufbau von Cybersecurity-Know-how
Bei der Absicherung von OT und IT müssen Hersteller von Betreiber heute an einem Strang ziehen. Hersteller brauchen dafür ‚Security by Design‘, denn nachträgliche Absicherungen sind teuer und wirken nur kurz. Und Betreiber müssen das Prinzip ‚Zero Trust‘ verinnerlichen, denn es gibt in komplex vernetzten Umgebungen kein sicheres Innen mit absolut vertrauenswürdigen Komponenten und Akteuren mehr.
Hersteller und Betreiber sollten also jetzt ihre digitalen Hausaufgaben machen. Dafür müssen sie entsprechendes Security-Know-how aufbauen oder externe Spezialisten einbinden.
In Track 4 der embedded world Conference 2023 finden Sie Vorträge rund um das Thema Cybersecurity in eingebetteten Systemen. Besuchen Sie die safety & security Area in Halle 4.
Quelle: Die Originalfassung des Artikels von Stephan Strohmeier, NewTec GmbH, lesen Sie auf www.elektroniknet.de