Im April 2016 gab das deutsche AKW Gundremmingen bekannt, dass das eigene Netzwerk von einer Schadsoftware infiziert worden sei. Ende des Jahres 2014 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Bericht, wonach bei einem deutschen Stahlwerk aufgrund einer Cyberattacke die Steuerelemente ausfielen und sich ein Stahlofen nicht mehr herunterfahren ließ. Der Angriff des Schädlings BlackEnergy2 zeigt darüber hinaus, dass Sicherheitsvorfälle in komplexen, beispielsweise von Scada-Software regulierten Umgebungen keine Einzelfälle sind.
Das Kaspersky Security Network (KSN) identifizierte bereits Ende des Jahres 2014 etwa 13.000 Vorfälle im Monat, bei denen Computer mit automatischen Prozesskontrollsystemen – unter anderem von Siemens, Rockwell, Wonderware, General Electric, Emerson und anderen Firmen – mit einem gefährlichen Code infiziert werden sollten. Ein großes Problem zeigt eine interne Umfrage bei einem großen Energiekonzern auf: Der Großteil der Bereichsleiter ist der Meinung, dass ihre Steuerungssysteme nicht mit dem Unternehmensnetzwerk verbunden sind. Ein Irrglaube, denn 89 Prozent der Systeme waren vernetzt. Zudem berücksichtigten die Sicherheitssysteme des Unternehmensnetzwerks nur die allgemeinen Unternehmensprozesse und nicht die kritischen Prozesssysteme. Wie sich zeigte, waren zahlreiche Verbindungen zwischen dem Unternehmensnetzwerk und dem Internet vorhanden – einschließlich Intranet, direkten Internetverbindungen, WLAN und Einwahlmodems.
Solche uneinheitlichen Sicherheitskonzepte machen Unternehmen angreifbar, etwa durch den Wurm Slammer. Dieser attackierte kritische Infrastrukturen genauso wie Notdienste, die Flugüberwachung und Geldautomaten. Dank dem Internet erreichte er seine volle Scan-Rate (55 Millionen Scans pro Sekunde) in unter drei Minuten. Ironischerweise konnte Slammer nur durch die fehlende Bandbreite in den kompromittierten Netzwerken abgebremst werden.
Hinzu kommt: In der Hackerszene werden die Themenbereiche Scada und Prozessleitsysteme vermehrt diskutiert. Dafür gibt es einen guten Grund: Cyberkriminalität ist zu einem finanziell lukrativen Geschäft geworden. So werden Zero-Day-Exploits – also noch ungepatchte Programmschwachstellen – für Summen im fünf- bis sechsstelligen Dollar-Bereich pro Exploit verkauft. Neben Softwareschwachstellen zeigt eine Untersuchung von 37 Firewalls in diversen Unternehmen aus der Finanz-, Telekommunikations-, Energie-, Automobil-, und Medienbranche auch, dass Schwachstellen oft in unzureichenden Sicherheitseinstellungen der Firewalls begründet sind.
Sicherheitsansätze für die Industrie 4.0
Um kritische Systeme vor Cyberbedrohungen zu schützen, wurden in der Vergangenheit einfach keine Verbindungen zum Internet hergestellt. Mit diesem so genannten „Air-Gap-Ansatz“ sollten eingebettete Systeme isoliert und somit vor Hackerattacken oder Infektionen durch Schadsoftware geschützt werden. Allerdings gilt der Air-Gap-Ansatz in Zeiten der Industrie 4.0 als veraltet. Es gibt nur sehr wenige speziell für Industriebelange konzipierte Sicherheitslösungen wie Kaspersky Industrial CyberSecurity.
Grundsätzlich sollten Betreiber von Industrieanlagen auf diese IT-Sicherheitsaspekte achten: Professionelle Penetrationstests helfen dabei, Cybersicherheitsprobleme zu verstehen, Schwachstellen aufzuspüren und ein Bedrohungsmodell zu entwerfen. Eine robuste Sicherheitslösung sollte zudem aus verschiedenen Stufen für jeweils spezielle Bereiche bestehen – Schutz vor Schadsoftware und Phishing, Spam-Filter für E-Mails, Abwehr von Netzwerkattacken und so weiter. Besonders wichtig ist es außerdem, dass Betriebssysteme und Software mit Hilfe von Updates auf dem aktuellsten Stand gehalten werden.
Im Idealfall sollte die Lösung verschiedene Automatisierungsstufen erlauben, vom konventionellen Unternehmensnetzwerk bis hin zu einem Netzwerk, das Geräte miteinander verknüpft. Vor allem aber sollte Sicherheit als ein sich fortwährend entwickelnder Prozess verstanden werden, der ständige Bemühungen erfordert, um den Cyberkriminellen immer einen Schritt voraus zu sein.
Cyberkriminelle werden immer Wege finden, um eine Sicherheitslösungen zu überwinden. Daher sollte man sich nicht alleine auf Technologien verlassen, vielmehr sollten Angestellte im industriellen Umfeld speziell geschult werden, um das Risiko unter anderem von Social-Engineering-Attacken zu minimieren.
Sicher ist: Die Cyberangreifer und der Markt sind vorhanden. Industrieanlagen müssen daher schnellstmöglich gegen Cyberattacken gewappnet werden, ansonsten ist die Prozesskontinuität unserer Industrie gefährdet – ganz zu schweigen vom Vertrauensverlust, wenn die Öffentlichkeit von so einem Angriff erfährt.
