Managementtipp : Cyber Blackout in der Produktion
Herbert M. hat eine ruhige Schicht vor sich, alles läuft wie gewohnt und nach Plan. Gegen 20 Uhr holt er einen USB-Stick aus seiner Tasche, den er von zuhause mitgebracht hat – auf ihm ist der neueste Kinofilm gespeichert. Eingesteckt, Kopfhörer rein, los geht’s. Plötzlich stürzt der Linien-PC ab und die Maschinen stoppen. Herbert wundert sich und startet den PC sowie die Produktionsmaschine neu. Alles läuft wieder, den Film schaut er aber doch lieber zuhause zu Ende. Dem Schichtleiter erzählt er lieber nichts von dem Zwischenfall.
Stunden später übernimmt Susanne T. pünktlich ihre Schicht. Die Maschinen laufen zu Beginn reibungslos – doch auch während ihrer Schicht schaltet sich der Linien-PC plötzlich ab, die Produktion steht erneut. Sie ruft den Schichtleiter an. Auch mit gemeinsamer Kraft können die Maschinen nicht neu gestartet werden. Mittlerweile ist es 3:00 Uhr nachts und alle zwölf Produktionsanlagen im Werk stehen still. Der Schichtleiter kann das Problem nicht lösen und bereitet den Bericht für den Werkstattleiter vor. Um 6:30 Uhr wird eine Krisenbesprechung abgehalten, die Ursachensuche verläuft weiter ergebnislos. Nun wird auch die IT via E-Mail informiert. Um 8:30 Uhr meldet sich die IT-Leiterin und die Analyse des Vorfalls durch Fachleute beginnt. Eine Cyberattacke wird als Ursache vermutet.
Unsere Geschichte ist kein Einzelfall und ereignet sich so oder so ähnlich mehrfach rund um die Welt in unterschiedlichen Unternehmen aller Größen. Nicht selten vergehen zwei Wochen, bis die Produktion wieder ordnungsgemäß aufgenommen werden kann. In einer immer weiter zunehmenden Vernetzung von Produktionsmaschinen und Supportsystemen kann trotz vorhandener Redundanzen der Ausfall einzelner Glieder in einer Kette große und kaskadierende Auswirkungen haben. Einen guten Überblick über komplexe Systeme zu behalten und sie zu verwalten, ist in der Praxis längst nicht mehr so einfach, wie das viele glauben (oder gerne hätten). Eine Krisensituation ist heute oft schwieriger zu bewältigen. Dennoch wird eine Verbesserung der Situation oftmals als eine erfolgreich überwundene Krise angesehen. Dem ist leider nicht so, denn es zeigt sich, dass nach dem ersten „Aufräumen“ neue Komplikationen auftreten oder die „Alten“ wiederkehren.
Kann uns das auch passieren?
Das Verständnis über die Wichtigkeit der Operational Technology (OT) Umgebung – also die Informationstechnologie und allen damit verbundenen Geräte & Systeme in der Produktionsumgebung – ist mittlerweile bis zu Cyberkriminellen durchgedrungen. OT steht daher gezielt im Fokus von Cyberattacken. Neben Produktionsausfällen mit direkt einhergehendem finanziellem Ausfall, Reputationsschäden und Offenlegung streng vertraulicher Informationen gehen Angreifer auch den Weg der Erpressung mittel sogenannter Ransomware, bei der Dateien verschlüsselt und erst gegen Lösegeldzahlung wieder freigegeben werden. Für Unternehmen kann das langwierige Schäden bis hin zur Geschäftsaufgabe bedeuten.
Hacker oder Hackergruppierungen haben äußerst unterschiedliche Motive, die sich von politischen oder finanziellen Gründen auch randomisiert darstellen. Einige Presseberichte aus der Vergangenheit zeigten, dass die Angriffe lediglich ausgeführt wurden „weil es einfach möglich war“. Der Einsatz von „Wiper Malware“ ist darauf ausgerichtet, Daten unwiederbringlich zu löschen und Systeme zu beschädigen. Diese Angriffe haben keinen wirtschaftlichen Hintergrund und somit werden potenzielle Ziele auch nicht nach Wirtschaftlichkeit, sondern nach politischer Ideologie gewählt. Man kann sich heutzutage nicht mehr damit rausreden, „eh nicht“ im Interesse bzw. im Fokus zu stehen, denn es kann jeden treffen, der in irgendeiner Art und Weise mit dem Netz verbunden ist.
Was unterscheidet nun die OT von der IT?
Da die Verfügbarkeitsanforderungen an Geräte in einer OT Umgebung sehr hoch sind, ist eine Konfiguration von Systemen nur in gewissen Zeitfenstern möglich und muss im Vorhinein im Detail geplant werden. Hierzu ist oft die Abstimmung mit verschiedenen Herstellern und Stakeholdern notwendig, um einen reibungslosen Ablauf zu gewährleisten. Dadurch gestaltet sich das Implementieren eines funktionierenden Patchmanagements nach Industriestandard als äußerst schwierig und kritische Updates können nicht zeitgerecht eingespielt werden. Hinzu kommt, dass für entdeckte Schwachstellen oft keine Patches angeboten werden sowie verwendete Software oft auf veralteten Betriebssystemen basieren, welche nicht mehr vom Hersteller unterstützt werden.
Zusätzlich werden im Besonderen neue Systeme oft durch den Hersteller ferngewartet, um Einstellungen vorzunehmen und Störungen schneller zu beheben. Dadurch entsteht eine inhomogene Remote-Access-Landschaft, in welcher viele verschiedene Lösungen verwendet werden. Ebenso taucht im Markt eine Flut von neuen Anbietern und Herstellern von IoT-Lösungen auf. Diese werden oft ohne spezielle Sicherheitsvorkehrungen in die vorhandene Systemlandschaft integriert. All diese Punkte zeigen auf, dass ein OT Netzwerk viele Angriffsvektoren und Risiken bietet, welche ohne einen strukturierten Ansatz nicht oder nur schwer eingedämmt werden können.
Was ist zu tun?
Der erste Schritt ist ein Security Assessment Ihrer OT Umgebung. Mithilfe spezifischer Methoden sollen die Lücken in Ihren Systemen und Prozessen aufgezeigt und anschließend über gesetzte Maßnahmen geschlossen werden. Teil des Prozesses sollten auch Penetrationstests sein, also simulierte Angriffe. Somit kann ermittelt werden, ob effektive Schutzmaßnahmen implementiert sind. Wesentlich sind auch organisatorische Maßnahmen wie bspw. das Business Continuity Management, um im Falle eines Notfalls rasch handeln zu können und die „richtige Rettungskette“ in Gang zu setzen.
Fazit
Zusammenfassend lässt sich sagen, dass die Gefahr eines Cyberangriffs auf OT-Systeme real ist und die potenziellen Folgen schwerwiegend sind. Unternehmen müssen Maßnahmen ergreifen, um die Sicherheit dieser kritischen Systeme zu gewährleisten. Dazu benötigt es einen strukturierten Ansatz der von der nötigen Governance über alle betroffenen Prozesse hinweg bis hin zur technischen Schließung der Sicherheitslücken alles abdeckt. Nur so können Unternehmen, die mit OT-Systemen verbundenen Risiken mindern und die Sicherheit ihrer kritischen Infrastruktur gewährleisten.
Autoren:
Thomas Steiner ist Director und Technical Lead Cybersecurity bei EY.
Florian Döring ist Manager bei EY mit Fokus auf Cybersicherheit von OT verfügt über langjährige Erfahrung in Produktionsbetrieben.
EY Cyber Lab: Für die Testung der Cybersicherheit von OT und IOT-Geräten hat EY am Standort Wien ein eigenes Labor eingerichtet.
