Cyber-Sicherheit und IoT Wie passt das zusammen?

Die Digitalisierung bringt nicht allein Vorteile mit sich – sondern ebenso Gefahren. Mit Industrie 4.0 geht eine zunehmende Vernetzung von Geräten und Netzwerken einher. Gut zu wissen, wie Bedrohungen von vornherein auszuschließen sind.

Das Szenario ist bekannt und gefürchtet: Eine gezielte und konzentrierte Cyber-Attacke legt weite Teile der Stromversorgung eines Landes lahm. So geschehen unter anderem in der Ukraine Ende 2015, bei der rund eine Viertelmillion Menschen stundenlang im wahrsten Wortsinn »im Dunkeln« saßen. Ursache war »Black Energy 3«, mit dessen Hilfe SCADA (Supervisory Control and Data Acquisition)-Systeme in 30 Umspannstationen gestört wurden. Die Betriebstechnik – die sogenannte Operational Technology (OT) beziehungsweise das operative Netzwerk – waren das eigentliche Ziel des Angriffs. Sie waren bereits im Vorfeld ins Visier genommen und über Phishing E-Mails kompromittiert worden.

Jedoch gerät nicht allein die öffentliche Infrastruktur, sondern ebenso die Privatwirtschaft immer wieder ins Fadenkreuz der Cyber-Angreifer. Beispielsweise unterbrachen diese im Jahr 2017 für ein ganzes Wochenende die LKW-Produktion von Renault. Urheber war die Ransomware »WannaCry« – genauso wie beim Logistik-Unternehmen Maersk, wo sie Schäden in Höhe von rund 300 Millionen US-Dollar verursachte. Bei dem Angriff zielte die Malware auf die klassische Informationstechnik (IT)-Infrastruktur anstelle der operativen Anlagen – jedoch mit ähnlichem Effekt. In allen Fällen fielen die Anlagen aus, die Kernprozesse waren komplett zum Stillstand gekommen.

Das Spektrum der potenziellen Gefahren ist groß. Angefangen von gezielten Angriffen auf SCADA-Systeme, bis hin zu Ransomware-Attacken wie WannaCry. Angriffe wie die Stuxnet-Malware von 2012 auf die iranischen Uran-Anreicherungszentrifugen verlangen echtes Experten-Know-how. Attacken wie WannaCry hingegen, setzen auf Schwachstellen bei Windows-Systemen und verschaffen sich so Zutritt zur IT der potenziellen Opfer. »Unter dem Radar« gibt es dabei heute kaum noch Platz: Kleinere Unternehmen können ebenfalls für Hacker interessant sein.

Vielfältige Motive für Cyber-Attacken

Wie bei jedem kriminellen Handeln gibt es unterschiedliche Motive. Bislang standen bei Attacken auf IT- be­ziehungsweise OT-Systeme vor allem räuberische Erpressung oder Bereicherung im Vordergrund. Ebenso sind persön­liche Racheakte denkbar, etwa von Ex-Mitarbeitern. Nicht zuletzt können bei Angriffen auf die öffentliche In­frastruktur eines Landes oder einer Kommune ein feindlich gesinnter Staat oder eine vergleichbare Körperschaft dahinter stehen – »klassische« Spionage und eine (Geo)-Politik der Nadelstiche verlagern sich zunehmend in den virtuellen Raum.

Neue Perspektiven für Hacker erschließen sich mit den Entwicklungen in den Bereichen IoT und Industrie 4.0. So wird mit entsprechenden »Digitalagenten« bereits beim Fertigen eines Geräts bösartige Software in das Produkt implementiert. Sie beschädigt und sabotiert sowohl das Gerät selbst, als auch die gesamte Produktionsstraße. Ein negativer Aspekt für jene, die das Internet der Dinge vorantreiben möchten, ist, dass entsprechende Kanäle kompromittiert werden. So wird die gesamte Wertschöpfungskette brüchig.

Die Gefahr ist vielfältig: Es können Prozesse gestoppt, ganze Systeme zum Absturz gebracht oder Daten gestohlen werden. Letzteres ist besonders interessant für Cyber-Kriminelle, wenn sie mit der Aktion an wertvolles geistiges Eigentum von Unternehmen kommen, seien es Baupläne für Produkte oder Prozessbeschreibungen. Sie könnten dann in die Hände des Wettbewerbs gelangen oder Hackern dazu dienen, digitale Zwillinge beim Unternehmen gezielt zu verfälschen. Es gibt noch viele weitere Optionen, die den IT-Verantwortlichen Sorgen bereiten. Neben den entstehenden materiellen und immateriellen Schäden bleibt vor allem das Vertrauen auf der Strecke. Ohne Sicherheit kein Vertrauen – und ohne Vertrauen kein echter Fortschritt, denn niemand würde in unsichere digitale Assets investieren.

IT und OT oft (noch) getrennt

Eine Herausforderung ist die traditionelle Trennung von Informations- und Betriebstechnik. Die IT-Verantwort­lichen konzentrieren sich vor allem auf Datensicherheit und –integrität. Auf der anderen Seite sorgen sich die für die Betriebstechnik zuständigen Mitarbeiter um Kontinuität und physische Unversehrtheit der Anlagen und Personen. Im Zuge des IoT verschmelzen jedoch die Grenzen von OT und IT. IT-Komponenten werden in der Regel viel öfter ausgetauscht als Komponenten der Betriebstechnik. In der IT ist es üblich, alle Geräte zentral zu verwalten und regelmäßig Software-Updates durchzuführen. In der OT, gerade im KRITIS-Bereich (KRITIS, kritische In­­frastrukturen), steht die Regulierung stärker im Vordergrund. Schon die Kommunikation ist unterschiedlich: IT basiert weitestgehend auf dem TCP/IP-Protokoll, während in der OT eine Vielzahl an Protokollen wie Modbus im Einsatz sind. Im Interesse einer umfassenden Sicherheit ist es erforderlich, IT und OT in den Köpfen der Beteiligten näher zusammenzubringen.

Bedeutet »Sicherheit« für IT-Verantwortliche und jene, die mit der OT betraut sind, das Gleiche? Offenbar nicht immer. Bei genauerem Hinsehen zeigt sich durchaus eine Kluft. Sie ist lediglich mit einem modifizierten Verständnis des Begriffs »Qualität« zu überbrücken. Sicherheit muss zu einem bestimmenden Qualitätsmerkmal werden – und Qualitätsmanagement ist jedem im Unternehmen ein Begriff. Ob Datensicherheit (ISO 2700) oder der Schutz personenbezogener Daten (DSGVO), ob physische Sicherheit von Mitarbeitern in der Produktion oder die Zuverlässigkeit von Produktionsprozessen (IEC 62443, NIS): Sie alle sind Aspekte eines grundlegenden, ganzheitlichen Sicherheitsverständnisses – inklusive der Konsequenzen für das Verteilen von Rollen und Verantwortlichkeiten.