Cybersecurity : Hackerangriffe in der Industrie nehmen massiv zu!

Wie aus einem Bericht der Wirtschaftswoche hervorging, wurde der Industriekonzern Thyssenkrupp Opfer eines Cyberangriffes. Hacker platzierten in den IT-Systemen versteckte Zugänge, um wertvolles Know-how auszuspähen. Erst nach 45 Tagen wurde der Angriff entdeckt. Eigentlich sehr rasch, denn nach dem jüngsten Bedrohungsbericht des kalifornischen IT-Sicherheitsanbieters Fireeye kommen Unternehmen Datendieben erst nach durchschnittlich 146 Tagen auf die Spur. Ein Angreifer bleibt also 20 Wochen unentdeckt.

Als Konsequenz darauf hat Thyssenkrupp ein intelligentes Abwehrkonzept beschlossen, um Angreifer innerhalb weniger Stunden zu entdecken und auszuschalten. Dazu wird der massive Datenfluss im Unternehmen mithilfe eines Früherkennungs- und Frühwarnsystem ausführlich analysiert. Wichtig ist dem Unternehmen aber, dass das Abwehrsystem nicht bei einem externen Anbieter ausgelagert sondern im eigenen Unternehmen installiert ist. Denn hausinterne Spezialisten überwachen den Datenfluss sicher sensibler als externe Anbieter.

Wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite mitteilt, konnte eine international agierende Tätergruppierung hunderttausendfach private und geschäftliche Computersysteme mit unterschiedlicher Schadsoftware infizieren. Hierzu nutzte sie eine Botnetz-Infrastruktur mit dem Namen »Avalanche«. In dieser konnten insgesamt 20 verschiedene Botnetze identifiziert werden, die die Infrastruktur zur Verbreitung von Spam- und Phishing-E-Mails sowie von Schadsoftware nutzen. Zwar sind derzeit keine Infizierungen an Industrie 4.0 Geräten bekannt, jedoch kann die Übertragung durch die Zielgruppen Android- und Windows-Systeme nicht ausgeschlossen werden.

Wie die Plattform heise.de berichtet, wurde auch im Web-Interface einiger Internet-Router des Herstellers Netgear Sicherheitslücken entdeckt. In einem Test von heise Security wurde festgestellt, dass es ausreicht eine verseuchte Webseite aufzurufen, um Opfer eines Hackerangriffs zu werden. Auch das BSI hat die Lücke als sehr hoch eingestuft. Mittlerweile hat Netgear für drei Modelle Sicherheits-Update zur Problemlösung herausgegeben.

Das sind nur drei Möglichkeiten, wie professionelle Datendiebe in Systeme eindringen können. Nach einer Umfrage der Deutschen Presseagentur (dpa) zeigen sich die großen Dax-Konzerne noch sehr reserviert gegenüber IT-Abwehrstrategien. „Die Frage ist heute nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann", sagte eine Sprecherin der Deutschen Telekom zur „Jedes Unternehmen muss jederzeit mit einem Angriff rechnen." Passiert es trotzdem werden die meisten Fälle von den betroffenen Firmen aus Imagegründen erst gar nicht veröffentlicht.

Nicht nur die Vernetzung zwischen Büro- und Produktions-IT öffnet dem Bösen Tür und Tor. Auch der Datenaustausch zwischen – ungeschützten – Systemen der Steuerungs- (SPS/PLC) und SCADA-Ebenen durch OPC Classic, OPC UA oder der Windowsdatei-Freigabe (SMB) ist eine potenzielle Angriffsfläche. Außerdem steigen die Anforderungen durch zunehmende direkte Kopplung mit Lieferanten, Partnern und Kunden – und damit auch die Gefahren. Die meisten Industrial Firewalls können die hierfür genutzten dynamischen Verbindungen mit ihren unterschiedlichen Ports oder auch den Standard Web-Port (80) nicht ausreichend kontrollieren. Es bilden sich Schwachstellen, die Cyberangriffen viele Möglichkeiten der Verbreitung und der unbemerkten Beschaffung von Informationen eröffnen.

Damit es erst gar nicht zur Infektion kommt bietet Industrial Automation GmbH das Früherkennungs- und Frühwarnsystem IRMA an. Anwender sind damit jederzeit in der Lage, Cyberangriffe rechtzeitig zu identifizieren und daraus die nötigen Abwehrmaßnahmen einzuleiten. IRMA ist ein Industrie-System zur Erkennung und Abwehr von Cyberangriffen in Produktionsnetzwerken. Die Software überwacht kontinuierlich sämtliche Produktionsanlagen, liefert Informationen zu Cyberangriffen und ermöglicht die Analyse und intelligente Alarmierung mittels einer übersichtlichen Management-Konsole. So können verzögerungsfrei Aktionen gestartet werden, um den Angriff zu stoppen oder seine Folgen wirkungsvoll zu entschärfen.

Etablierte Sicherheitselemente wie Antivirenschutz, Intrusion Detection oder Prevention Systeme erkennen nur bekannte traditionelle Schadsoftware wie Malware oder Trojaner. Für die neuesten Vorgehensweisen und Technologien heutiger Cyberangriffe ist dies nicht mehr ausreichend. IRMA hingegen bietet einen ganzheitlichen Schutz für

die vollständige Übersicht der IT-Systeme, Netzwerk- und Datenverbindungen in der Produktion zur Planung und Ergänzung der Sicherheitsinfrastruktur

die Alarmierung bei Security-Vorfällen durch die kontinuierliche Überwachung

die Absicherung von »nicht patchbaren« Systemen z.B. Windows NT/ 2000 / XP, alte SPS, OPC Classic

die Absicherung von »zertifizierten« Produktionsanlagen und Prozessen (z.B. Pharma, Chemie, Nahrungsmittel) ohne Re-Zertifizierung

Beurteilung aller identifizierten Informationen im Risikomanagement-Prozess in Bezug auf mögliche Betriebsrisiken, z.B. Ausfall, Produktionsqualität, Datenschutz

Überwachung bestehender und neuer Produktionsanlagen und deren Systeme:

_ Insbesondere für Systeme, für die es aktuell keine Schutzmöglichkeit gibt bzw. aufgrund der hohen Betriebslaufzeit nicht mehr geben wird durch Soll-Ist-Vergleich der identifizierten Systeme und Datenverbindungen Alarmierungen

_ Erstellen von Reports für Auditierungen

Analysedaten zur Erstellung einer angepassten Sicherheitsarchitektur und Sicherheitstechnik in der Produktion

www.industrial-automation.at