Schutz für industrielle Netzwerke

Keine Chance für Hacker

8. Juli 2022, 17:28 Uhr | Jürgen Greger
Hacker im Darknet
Hacker im Darknet
© oz / stock.adobe.com

Der Stillstand einer Produktionsanlage durch Hackerangriffe kann teuer werden - nicht von ungefähr wollen sich Industrieunternehmen so gut wie möglich dagegen schützen. Der folgende Beitrag gibt einen Einblick in das Thema und verrät, wie man Cyber-Angreifern das Leben schwer macht.

2021 hatten Hacker Hochkonjunktur: Sie fuhren einige spektakuläre Attacken, unter anderem auf kritische Infrastrukturen wie Ölpipelines und Wasserwerke. Auch die Industrie ächzt unter permanenten Angriffsversuchen: die Vorfälle nehmen laut Prof. Axel Zimmermann von der Hochschule Aalen jährlich um über 30 Prozent zu. Während früher Malware, landläufig als Viren bekannt, bei Hackern besonders beliebt war, sind es heute Phishing und vor allem Ransomware. Mit ihr verschlüsseln die Kriminellen sämtliche Daten ihrer Opfer und erpressen dann Lösegeld fürs Entschlüsseln. Häufig wohl mit Erfolg, denn die wenigsten Betriebe hängen es an die große Glocke, wenn sie betroffen sind. Von den kleinen und mittelständischen Unternehmen in Deutschland waren laut Zimmermann schon 61 Prozent von Cybercrime betroffen, und die übrigen wird es früher oder später treffen, darin sind sich Experten einig.

Schützen können sich Betriebe mit dem Defence-In-Depth Konzept (dazu unten mehr). Ein wichtiger Baustein dabei sind Netzwerkkomponenten, die bereits ab Werk so gesichert sind, dass Angreifer nicht eindringen können. Die Schlüsselrolle spielen Switches für Industrial-Ethernet-Systeme wie etwa Profinet. Als Hersteller integrierter Kabel- und Verbindungssysteme hat Lapp ein breites Portfolio von Switches und Routern, die nach dem aktuellen Stand der Technik gesichert sind. Für Schutz auf hohem Niveau empfehlen sich vor allem die Managed Switches und NAT-Router mit Firewall. Sie lassen sich leicht konfigurieren und sind sofort einsatzbereit.

Anbieter zum Thema

zu Matchmaker+

Spiel mit dem Feuer

Jürgen Greger ist Produktmanager Industrial Communication bei Lapp.
Jürgen Greger ist Produktmanager Industrial Communication bei Lapp.
© Lapp

Technik allein ist aber nicht die Lösung; Betriebe brauchen ein ganzheitliches Cybersecurity-Konzept. Trotz der Gefahren hätten das nur 30 Prozent der kleinen und mittelständischen Unternehmen, so Axel Zimmermann. Unternehmen ohne ein solches Konzept spielen mit dem Feuer: Ihnen droht der Verlust von geistigem Eigentum und Geschäftsgeheimnissen oder die Sabotage der Produktion. Das kann teuer werden: Ein Stillstand in der Automobilproduktion kann Zigmillionen Euro pro Tag kosten. Manchmal trifft es auch Unternehmen, die sich eigentlich mit IT auskennen wie Citrix. Dort waren Hacker fünf Monate lang unentdeckt im Firmennetzwerk unterwegs. Sogar FireEye, eine Sicherheitsfirma für IT-Software, wurde gehackt, geplündert und die Sicherheits-Software entwendet.

Einige Unternehmen mögen sich an dieser Stelle fragen: Wenn sich schon IT-Firmen nicht schützen können, wie soll es dann uns gelingen? Resignieren ist keine Option, denn man kann sich schützen. Zwar gelingt es nie zu 100 Prozent, aber dennoch sollte der Aufwand für die Hacker so groß wie möglich sein, damit es sich für die Kriminellen nicht lohnt. Unterstützung bietet auf europäischer Ebene die ENISA, die europäische Agentur für Cybersecurity, oder in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Große Unternehmen unterhalten Computer Emergency Response Teams, kurz CERT. In Deutschland gibt es derzeit 48 CERT, darunter das CERT-Bund vom BSI oder das VDE-CERT für die Elektrotechnik-Industrie. Auch die Deutsche Telekom unterhält ein eigenes CERT-Team, ebenso Siemens und einige mehr.

Verfügbarkeit ist alles

Die meisten Industriebetriebe können sich das nicht leisten; sie sind auf externe Hilfe angewiesen. Ihre erste Anlaufstelle sind meist IT-Experten, die ihr Hauptaugenmerk auf die Vertraulichkeit richten. Doch das ist den Betrieben gar nicht so wichtig, wie sich zeigt, wenn man Experten aus dem Fabrikbetrieb fragt. Bei der Industrial Security, auch OT-Security genannt, liegt der Fokus vor allem auf der Verfügbarkeit. In der OT geht es um Maschinen und Produktionsanlagen; da können 300 Millisekunden Ausfall schon zu viel sein, eine fast 100-prozentige Verfügbarkeit rund um die Uhr ist dort das A und O.

Die Norm IEC 62443 deckt viele dieser Aspekte ab. Sie ist ein umfassender und international anerkannter Standard für Industrial Security und beschreibt im Detail die Verfügbarkeit von Anlagen. Neben einem allgemeinen Teil befasst sie sich mit Prozessen, dem System und auch einzelnen Komponenten. Angelehnt an die Norm ist das Konzept Defence-In-Depth. Das ist ein mehrschichtiges Sicherheitskonzept aus drei Teilen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität.

Abschließen und Segmentieren: Defence-In-Depth im Fokus

Was genau gehört also zu dem Status-Quo-Konzept? Die drei Teile des Defence-In-Depth-Konzepts sind nachstehend aufgeschlüsselt und um Hinweise dazu ergänzt:

Anlagensicherheit: Hier geht es hauptsächlich darum, Anlagen abzuschließen, etwa mit speziellen Schaltschränken. Nicht jede Person soll Zugang zum Netzwerk haben. Dazu gehört, Arbeitsanweisungen und Richtlinien den Mitarbeitern in entsprechenden Schulungen bekanntzumachen.

Netzwerksicherheit: Eine Strategie ist die Netzwerksegmentierung, etwa mit NAT oder VLAN. Hier empfiehlt sich, IP- und MAC-Filter einzusetzen, ungenutzte Ports zu deaktivieren sowie zu verhindern, dass offene Ports frei verfügbar im Netzwerk stehen. Zudem ist der Einsatz einer Firewall für die sichere Kommunikation mit der Außenwelt obligatorisch. Es gibt smarte Lösungen, die auch einzelne Maschinen oder kleine Fertigungszellen vom restlichen Unternehmensnetzwerk abschotten. Dann sollte man sichere Protokolle verwenden, etwa beim Aufruf einer Website.

Systemintegrität: Sie befasst sich hauptsächlich mit der Systemhärtung. Wir alle kennen Default-Passwörter wie 0000, das im Auslieferungszustand vom Gerätehersteller hinterlegt ist. Es sollte sofort durch ein sicheres Passwort ersetzt werden. Damit macht man es Hackern so schwer wie möglich, ein Netzwerk zu attackieren. Weitere Möglichkeiten sind Whitelisting und Virenschutz. Whitelisting deshalb, weil Betriebe wissen, welche Komponenten miteinander kommunizieren dürfen, zumindest in der Fertigungsebene. Die IT setzt dagegen hauptsächlich auf Blacklisting, weil man dort nicht wissen kann, wer auf die eigene Website zugreifen will; es gibt also spezifisch verbotene Bereiche. Die Authentifizierung befasst sich mit der Klassifizierung der Benutzer und mit dem Passwortmanagement (z.B. RADIUS oder TACACS+).

Nimmt man sich diese Empfehlungen zu Herzen, führt in der Fabrikvernetzung kein Weg an gemanagten Geräten vorbei. Lapp führt ein umfangreiches Portfolio von Switches für die Vernetzung in Fabriken, die besonders hohen Sicherheitsstandards entsprechen – und es Hackerangriffen damit schwer machen. Die Verluste durch Maschinen- und Fabrikstillstände können drastische Ausmaße annehmen. Als Anbieter zuverlässiger Verbindungslösungen betrachtet Lapp es als seine Aufgabe, sich dem anzunehmen und seine Kunden davor zu schützen.


Verwandte Artikel

U.I. LAPP GmbH