Smart Factories verändern die Produktion. Sie bieten wirtschaftliche Vorteile, ihre Einführung erfordert jedoch zunächst nicht unerhebliche Investitionen. Dabei steht für Unternehmen die Frage im Vordergrund, wie sie den größten Wert daraus ziehen können. Eine Re-Evaluation der Security-Strategie sollte bei diesen Überlegungen eine wichtige Rolle spielen.
Lesetipp: Banken-Trojaner Ramnit
Denn schon ein einzelner Cyberangriff kann die Vorteile smarter Produktionsanlagen zunichtemachen. Deshalb sollte die Security bei der Entwicklung hin zur Industrie 4.0 nicht vernachlässigt werden. Ein Rückblick auf stattgefundene Angriffe der vergangenen Jahre sowie eine Analyse der gängigsten Bedrohungen für Netzwerke kann dabei helfen, mögliche Schwachstellen aufzuzeigen.
Vergangene Cyberangriffe auf Industrieanlagen
Vergangene Angriffe sollten nicht nur daran erinnern, wie real Cyberbedrohungen für industrielle Systeme sind. Sie können auch als Fallstudien dienen, um diese Bedrohungen noch besser zu verstehen. Die Grafik bietet eine Übersicht von Angriffen aus den letzten 14 Jahren.
Foto: Trend Micro
Diese Vorfälle zeigen die möglichen Schäden durch Angriffe auf industrielle Steuerungssysteme, vor allem auf SCADA-Systeme (Supervisory Control and Data Acquisition). Abhängig vom Ziel sind weitreichende Folgen möglich, wie Angriffe auf kritische Infrastrukturen in der Vergangenheit zeigten. Solche Angriffe sind auch heute noch möglich und zu erwarten.
Angriffsszenarien
Viele dieser Attacken geschahen mittels bereits bekannter Angriffsmethoden. Aufgrund der Eigenschaften von Smart Factories können sie sich dort oftmals einfach vom Netzwerk aus ausbreiten und Auswirkungen auf die physische Welt haben. Unternehmen sollten sich daher mit Bedrohungsszenarien und den gängigsten Methoden für Netzwerkangriffe beschäftigen und ihre Sicherheit dahingehend ausbauen.
Ausnutzung von Schwachstellen
In einer Smart Factory sind in der Regel zahlreiche Geräte und Anlagen mit einem einzigen Netzwerk verbunden. Eine Schwachstelle in einem einzigen Gerät kann damit das gesamte Netzwerk angreifbar machen. Dies geschah zum Beispiel im Fall des Wurmes Stuxnet, der sich gegen kritische Infrastrukturen richtete. Beispiele wie dieses verdeutlichen, wie wichtig es ist, regelmäßig Updates und Patches einzuspielen, um Sicherheitslücken zu schließen.
Malware
Bisher war Malware die beliebteste Methode bei Angreifern. Wie im Fall der Angriffe BlackEnergy und Killdisk kann Schadsoftware auch industrielle Steuerungssysteme infizieren. Der Trojaner Triton war dabei besonders bemerkenswert, da er sich gezielt gegen industrielle Sicherheitssysteme richtete und damit eine gesamte Fabrik lahmlegte. Erst vor kurzem wurde zudem Kryptowährungs-Mining-Malware in den Systemen eines europäischen Wasserversorgers entdeckt.
Lesetipp: IT-Sicherheit in der Industrie
Angreifer nutzen verschiedene Arten von Schadsoftware für ihre Angriffe, beispielsweise Trojaner, Rootkits oder Ransomware. Zudem arbeiten sie ständig daran, die Infektionsmethoden noch besser zu machen, um möglichst schadenträchtige oder auch besonders unauffällige Angriffe durchzuführen. Sie nutzen dabei Techniken wie Social Engineering, Spear Phishing und Watering-Hole-Angriffe. Deshalb sollten Betreiber von Smart Factories auch Security-Awareness-Schulungen für alle Mitarbeiter zur Pflicht machen.
DoS- und DDoS-Angriffe
Das Ziel von DoS-Angriffen (Denial of Service) ist es, ein Netzwerk, ein Gerät oder eine Ressource lahmzulegen. DDoS (Distributed Denial of Service) ist eine spezielle Art von DoS-Angriffen, bei denen eine große Anzahl kompromittierter Geräte (ein sogenanntes Botnet) dafür genutzt wird, die Verbindungen oder den Prozessor eines Zielsystems anzugreifen.
Lesetipp: Wenn der Wasserkocher gehackt wird
Beispielsweise legte das Mirai-Botnet einige bekannte Websites und Online-Dienste lahm. Dieser Angriff zeigt die Effektivität und möglichen Folgen solcher Attacken. Da sein Quellcode inzwischen veröffentlicht wurde und im Untergrund immer mehr Anbieter von DDoS-as-a-Service zu finden sind, besteht ein erhöhtes Risiko von zukünftigen Angriffen auf vernetzte Produktionssysteme. Im Umkehrschluss bedeutet dies auch, dass kompromittierte industrielle Steuerungssysteme für Botnet-Angriffe auf andere Unternehmen missbraucht werden könnten.
Man-in-the-Middle-Angriffe (MitM)
Bei MitM-Angriffen positionieren sich Angreifer in Kommunikationsprozessen physisch oder logisch zwischen Sender und Empfänger und kontrollieren den Datenverkehr zwischen beiden Parteien. Solche Datenverbindungen gibt es in Smart Factories reichlich - zum Beispiel zwischen Steuerungssystemen und Anlagen. Neben einem möglichen Diebstahl von Informationen können Angreifer auch eigene Daten oder Code in das System einbringen und somit, beispielsweise durch unsichere Kommunikationsprotokolle wie MQTT oder CoAP, Firmware-Upgrades während der Übertragung verändern. MitM-Angriffe zeigen, dass neben Endgeräten und Netzwerken auch die Kommunikationskanäle wirksam geschützt werden müssen.
Überwachung und Informationsdiebstahl
Eine unauffälligere Angriffsweise stellt der Diebstahl von Informationen oder die Überwachung auffindbarer Systeme dar. Von außen zugängliche HMIs (Human-Machine-Interfaces) könnten zum Beispiel den Zugriff auf Kundendatenbanken und damit den Diebstahl personenbezogener Daten ermöglichen. Ebenso kann es nach dem Eindringen in ein Netzwerk möglich sein, Informationen zum Zustand und Betrieb von Anlagen abzugreifen, die für die Automation benötigt werden. Betreiber können diesen Angriffen durch den Einsatz von Intrusion-Detection- und -Prevention-Systemen (IDS/IPS) begegnen.
Hacking von Geräten
Die große Anzahl vernetzter Geräte im Feld mindert nicht die Bedeutung jedes einzelnen davon für die Sicherheit. Bereits durch ein einziges kompromittiertes Gerät können Angreifer das gesamte Netzwerk infizieren. Gelingt ihnen ein physischer Zugriff, können sie sogar das Gerät selbst manipulieren oder lahmlegen und damit die gesamte Produktionslinie beeinträchtigen.
Ein neuer Blick auf die Sicherheit in der Produktion
Diese Angriffe sind weit verbreitet und gefährden alle Arten von Netzwerken. Mit der zunehmenden Konvergenz von IT und OT in Smart Factorie können sie dort jedoch direkte physische Folgen haben. Damit erreichen sie ein neues Bedrohungsniveau.
Lesetipp: IoT-Security in Kinderschuhen
Unternehmen sollten darauf mit einer Sicherheitsstrategie reagieren, die ebenfalls IT und OT zusammenführt. Dazu gehört, bestehende Security-Maßnahmen neu zu evaluieren und in gefährdeten Bereichen zu verstärken. Auf der Betriebsebene sollten Unternehmen ihre Anlagen im Feld - von Roboterarmen bis hin zu HMIs - prüfen und sicherstellen, dass diese nicht online auffindbar sind und wirksame Authentifizierungsmechanismen einsetzen.
Die vergrößerte Angriffsoberfläche von vernetzten Fabriken erschwert die Erkennung und Abwehr von Cyberangriffen. Durch einen Wissensaustausch von IT- und OT-Abteilung können mehr Mitarbeiter mit unterschiedlichen Hintergründen an der Security mitwirken. Zudem sind Unternehmen gut beraten, einen mehrschichtigen und vernetzten Sicherheitsansatz zu verfolgen, der Netzwerke, Endpunkte und Cloud-Umgebungen ebenso beinhaltet wie OT-Systeme.
Da die Absicherung von Smart Factories ein hohes Maß an Planung erfordert, wird Security am besten bereits in der Planungsphase mit berücksichtigt. Integratoren sollten dabei auf die großen Datenmengen vorbereitet sein, die solche Anlagen erzeugen. Die Ausstattung und das verwendete Kommunikationsprotokoll sollten ebenso darauf ausgelegt sein wie Standard Operating Procedures im Falle eines Sicherheitsvorfalls.
Lesetipp: IoT sicherer machen - so könnte es funktionieren
Unternehmen sind bei der Einrichtung von Smart Factories mit zahlreichen Herausforderungen konfrontiert. Auch wenn die Cyber-Sicherheit möglicherweise zusätzliche Hürden schafft, ist sie doch ein wichtiger Teil des Planungs- und Implementierungsprozesses. Sie dient letztendlich dazu, die geleisteten Investitionen zu schützen.
Mehr Informationen zur Absicherung von Smart Factories sind hier veröffentlicht.