Suche
Industrieanlagen sicherer machen

Schatten in der Smart Factory: Fabriken im Hackerzugriff

Marco Di Filippo

©Shutterstock / NV77

Sie gehören zum Herzstück eines Unternehmens, sind aber oft verwundbarer als jeder Büro-PC: Prozessleittechnik, Anlagensteuerung und Industriesoftware sind, gemessen an ihrer Relevanz, oft schlecht gegen Angriffe geschützt. Das muss sich ändern.

Die Smart Factory vernetzt Menschen, Maschinen und Informationen in sogenannten cyberphysischen Systemen. Selbstlernende und sich selbst organisierende Fabriken entstehen. Werkstücke lassen sich über Tags identifizieren und lokalisieren. Produkte finden vollautomatisch ihren Weg durch die Fertigung, kommunizieren mit Produktionsrobotern und stehen über die Cloud auch in Verbindung mit den Steuerungssystemen einer Firma – ob Enterprise Resource Planning, Product Lifecycle Management oder Manufacturing Execution System. Das heißt: Alle Maschinen oder Betriebsmittel lassen sich zentral verwalten, organisieren und reibungslos einsetzen. Über die Cloud behalten die Betreiber einzelne Maschinen und vernetzte Fertigungslandschaften im Blick. Mithilfe von Business-Intelligence-Anwendungen lassen sich Daten in Echtzeit auswerten, Verfahren und Prozessschritte anpassen und auch die Wahrscheinlichkeit bevorstehender Ausfälle prognostizieren und durch rechtzeitige Wartung verhindern.

Firmen vernetzen sich und ihre Anlagen dabei nicht nur intern, sondern auch übergreifend. Mit anderen Standorten und Partnerunternehmen schließen sie sich in Wertschöpfungsnetzwerken zusammen. Und sie profitieren davon: Um rund 78 Milliarden Euro soll die Produktivität der deutschen Wirtschaft dank Industrie 4.0 bis zum Jahr 2025 steigen, sagt der Branchenverband Bitkom.

Industrie 4.0: höhere Produktivität, höheres Risiko

Sensoren, Aktoren und Prozessoren sind heute selbstverständlicher Bestandteil von Maschinen. Aus autarken Produktionsinseln sind Fertigungsverbünde geworden, um Herstellungsverfahren digital zu verbessern. Die Vernetzung kennt kaum noch technische Grenzen, denn in Zukunft soll jedes Gerät über eine eigene IP-Adresse erreichbar sein. 30 Milliarden vernetzte Geräte soll es laut einer Prognose des Beratungshauses Gartner bis 2020 geben. Heißt, 30 Milliarden Chancen für eine digital optimierte Produktion, aber auch 30 Milliarden potenzielle Angriffspunkte für Hacker.

Wie real dieses neue Sicherheitsrisiko aufgrund der zunehmenden Vernetzung ist und welche Folgen Angriffe auf Unternehmen haben können, hat sich erst in Mai und Juni 2017 gezeigt. WannaCry und Petya nutzten eine Schwachstelle in vielen Windows-Systemen gezielt aus. Beide Ransomwares drangen in die IT-Systeme der Unternehmen vor, nisteten sich auf Festplatten ein, pflanzten sich ungehindert fort, verschlüsselten Dateien und versuchten, Lösegeld zu erpressen. Was erst nach Problemen für Bürorechner aussah, hatte drastische Folgen für die Werkshallen: Bei Renault standen Produktionsbänder still, an der Reaktorruine von Tschernobyl fielen Sensoren aus, die Reederei Maersk musste Systeme weltweit neu starten und bei Beiersdorf in Deutschland stockte die Produktion.

Laut einer 2016 veröffentlichten Studie des Centre for Economics and Business Research (Cebr) aus London hat die deutsche Wirtschaft aufgrund derartiger Attacken innerhalb von fünf Jahren Verluste in Höhe von 65,2 Milliarden Euro erlitten. Macht pro Jahr einen Schaden von rund 13 Milliarden Euro. Dabei besonders stark im Visier der IT-Invasoren: Produktion und Fertigung.

In einer bis heute einmaligen Umfrage hat der Verband der Anlagen- und Maschinenbauer (VDMA) den Status quo der Security in Produktion und Automation ermittelt. Laut der im Jahr 2014 veröffentlichten Studie war bereits knapp jedes dritte Unternehmen (29 Prozent) von Produktionsausfällen in Folge von Cyberangriffen betroffen. 63 Prozent der Verbandsmitglieder gehen davon aus, dass die Anzahl an Industrial-Security-Vorfällen weiter steigt.

Die fünf größten Bedrohungen für die Sicherheit von Industrieanlagen

  • Menschliches Fehlverhalten und Sabotage
  • Einschleusen von Schadcode auf Maschinen und Anlagen
  • Technisches Fehlverhalten und höhere Gewalt
  • Onlineangriffe über Office-/Enterprise-Netze
  • Unberechtigter Zugriff auf Ressourcen

Industrieanlagen sicherer machen

Um Industrieanlagen sicherer zu machen, setzen Firmen auf Simulationen. Was das bedeutet, zeigt das HoneyTrain Project der Firma KORAMIS. Das HoneyTrain Project simulierte ein fiktives Nahverkehrsunternehmen im Rechenzentrum (Abb. 1). Die Simulation umfasste nicht nur eine realistische Website mit Fahrplänen, Veranstaltungs- und Fahrgasthinweisen samt Ticketshop und Transaktionen, sondern auch virtuelle Firewalls, Überwachungskameras mit Livebildern von den Bahnsteigen, Servern und das gesamte Schienennetz mit Weichen, Signalen, Ampeln, Schranken und Bahnübergängen. 19 000 unterschiedliche Parameter waren Teil dieser Simulation in der Cloud (Abb. 2). Ob Pneumatikpumpen oder Weichenstellungen – das HoneyTrain Project bot eine täuschend echte und für Hacker mehr als attraktive Inszenierung. Kurz nach dem Start auf der CeBIT schlugen die IT-Invasoren dann auch wie erwartet zu.

Abb. 1: Das HoneyTrain-Project wurde zum Teil auch als Modell im Labor simuliert

Abb. 1: Das HoneyTrain-Project wurde zum Teil auch als Modell im Labor simuliert

Abb. 2: KORAMIS simuliert reale Industrieanlagen mit allen Maschinen- und Sensorparametern in der Cloud und stellt so die IT-Sicherheit der Produktionsbetriebe auf die Probe

Abb. 2: KORAMIS simuliert reale Industrieanlagen mit allen Maschinen- und Sensorparametern in der Cloud und stellt so die IT-Sicherheit der Produktionsbetriebe auf die Probe

Über einen Zeitraum von sechs Wochen beobachtete das Unternehmen alle Aktivitäten und wertete das Vorgehen der Angreifer aus: 27 Prozent griffen den Mediaserver an und 34 Prozent die Firewall. Aber mit 39 Prozent zielte die Mehrheit aller Cyberattacken auf die Steuerungsanlagen des Verkehrsbetriebs. Hacker gehen dabei meist nach dem gleichen Muster vor: Sie spähen im Internet über automatisierte Prozesse nach offenen Ports oder IP-Adressen. Lassen sich lohnenswerte Ziele identifizieren, nehmen die Angreifer diese unter Beschuss und versuchen, in die IT-Systeme einzudringen. Das HoneyTrain Project verzeichnete 2,5 Millionen automatisierter Scans binnen sechs Wochen. 0,0002 Prozent davon führten auch zu einem erfolgreichen Angriff mit menschlicher Intelligenz. Was wenig klingt, bekommt angesichts der hohen Gesamtanzahl an Attacken wirtschaftlich Gewicht.

Lesen Sie auch: Stets wachsam: Sicher in GitHub mit Security Alerts und Dependency Graphs

Cloud-Simulationen decken Schwachstellen auf

Ob Industrieanlagen, kritische Infrastrukturen oder komplette Produktionslandschaften: Um Schwachstellen bei seinen Auftraggebern ausfindig zu machen, setzt KORAMIS ebenfalls auf Simulationen in der Cloud (Abb. 3). Dazu benötigt das Unternehmen IT-Ressourcen, die sich je nach Projekt, Dauer und Bedarf flexibel skalieren lassen. Im Rechenzentrum der Telekom laufen die dafür notwendige Infrastruktur aus virtuellen Maschinen und Speicherplatz. Die Open Telekom Cloud ist ein Public-Cloud-Angebot, das sich im Self-Service administrieren lässt. KORAMIS bucht immer nur die Leistung, die ein Auftrag erfordert. Das heißt: Im Normalbetrieb greift das Unternehmen auf 4 TB Datenspeicher und 16 Prozessoren zu. Steigt der Leistungsbedarf, wächst das System per Mausklick oder API-Anbindung mit. Auf bis zu 250 CPUs skalieren die virtuellen Ressourcen aus dem Telekom-Rechenzentrum in Spitzenzeiten hoch. Doch dabei bezahlt wird immer nur das, was auch gerade für einen Auftrag benötigt wird. Im Pay-as-you-go-Modell rechnet die Telekom den tatsächlichen Verbrauch seiner Kunden ab. Optional bietet der Bonner Konzern Laufzeitverträge mit Fixpreisen an.

Abb. 3: Ein Modell aus dem Labor: Das Unternehmen macht die IT von Kraftwerken, Produktions- und Industrieanlagen über die Cloud sicherer

Abb. 3: Ein Modell aus dem Labor: Das Unternehmen macht die IT von Kraftwerken, Produktions- und Industrieanlagen über die Cloud sicherer

Der flexibel skalierbare Cloud-Betrieb bietet KORAMIS jederzeit exakt die benötigte Leistung aus dem Rechenzentrum. So lassen sich auch in einem Testszenario 32,6 Millionen Passwörter in nur zwei Wochen zurückrechnen. Mit herkömmlichen IT-Ressourcen, die Unternehmen im Serverraum vorhalten, hätte das wesentlich länger gedauert. Im Rechenzentrum eines Cloud-Anbieters lassen sich Operationen auf mehreren virtuellen Maschinen gleichzeitig durchführen. Das spart Zeit und Geld. Außerdem müssen Unternehmen keine eigene Hardware anschaffen, unterhalten, betreiben, pflegen und warten. Hosting und Betrieb liegen in den Händen des Cloud-Anbieters. Auch bei Vor-Ort-Kundeneinsätzen und Schulungen profitiert das Unternehmen: Switch und Internetleitung reichen aus, damit die Industrial-Security-Experten arbeiten können. Gerade Kunden aus Deutschland fragen auch gezielt nach Datenschutz. Da der Betrieb der Open Telekom Cloud im deutschen Zwillingsrechenzentrum in Magdeburg und Biere erfolgt, sorgt das nicht nur für hohe Verfügbarkeit, sondern auch strengen deutschen Datenschutz.

Geschrieben von
Marco Di Filippo
Marco Di Filippo
Marco Di Filippo ist Head of Cyber Security Engineering bei KORAMIS. Seit 1996 ist er im IT-Consulting branchenübergreifend tätig, davon mehr als fünfzehn Jahre im Bereich IT-Sicherheit – sowohl aus offensiver als auch aus defensiver Sicht.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.