Wer Ende Juni seinen Bürorechner startete, erlebte möglicherweise eine böse Überraschung. Wenige Wochen nach WannaCry hatte sich eine modifizierte Version der Schadsoftware Petya weltweit auf PCs eingenistet. Das Programm nutzte eine Windows-Sicherheitslücke aus und kaperte über das Internet die Computer der Betroffenen. Es pflanzte sich über das Firmennetzwerk auf weitere Rechner fort, verschlüsselte Dateien der Betroffenen und verlangte Lösegeld. So auch beim Nivea-Hersteller Beiersdorf: Am 27. Juni fielen IT-Systeme aus. Die Produktion geriet ins Stocken.
Der Angriff zeigt nicht nur, in welchen Dimensionen
Hacker operieren. Er zeigt auch, wie leicht sich virtuelle Schädlinge aus dem Bürorechner bis in die Fabrikhalle auswirken – also genau dort, wo Überwachungs- und Steuerungssysteme (Scada) sensible, anspruchsvolle und teils auch kritische Prozess- oder diskrete Verfahrensabläufe überwachen. Waren Produktionslandschaften früher in sich abgeschlossene Inseln, sind sie heute übergreifend vernetzt, um sich digital steuern zu lassen.
Auf der einen Seite bringt dies Vorteile, da eine intelligent vernetzte Produktion Unternehmen Chancen bietet, die Wertschöpfung digital zu optimieren: Bis zum Jahr 2025 soll die Produktivität der deutschen Wirtschaft allein durch Aktivitäten rund um Industrie 4.0 um rund 78 Milliarden Euro steigen, sagen Berechnungen des Branchenverbandes Bitkom. Eine vernetzte Produktion hat auf der anderen Seite aber auch Nachteile. Der Einzug der IT in die Produktion birgt Risiken, wie eine weitere Umfrage der Bitkom von 2015 zeigt: Mehr als zwei Drittel aller Chemie- und Pharmaunternehmen in Deutschland hatten in den letzten zwei Jahren bereits ein
Cyber-Security-Problem.
Damit befindet sich die Branche in guter Gesellschaft: Bei 29 Prozent aller hiesigen Anlagen- und Maschinenbauer ist es bereits durch einen Industrial-Security-Vorfall zu einem Produktionsstillstand gekommen, wie eine bis dato einmalige
VDMA-Mitgliederbefragung von 2014 zeigt. Welche Folgen das für die deutsche Wirtschaft insgesamt hat, legen Berechnungen des Centre for Economics and Business Research aus London offen: Schäden von durchschnittlich 13 Milliarden
Euro gehen pro Jahr auf das Konto von Cyber-Angriffen –
Tendenz steigend.
Unterstützung erhalten die Unternehmen auf ihrem Weg zur sicheren Industrieanlage von Koramis aus Saarbrücken. Der Dienstleister setzt unter anderem auf Simulationen von Produktionslandschaften in der Cloud. Dies umfassen sämtliche Parameter – ob Netzwerkverkehr, Betriebs-, Maschinen- oder Sensordaten. Das virtuelle Abbild im Rechenzentrum unterzieht Koramis einem Stresstest. So lassen sich unter anderem Schlupflöcher für Hacker oder Schadsoftware erkennen und Gegenmaßnahmen ableiten. Wie der Dienstleister dabei vorgeht, zeigt das „Honey Train Project“, das das Unternehmen 2015 auf der CeBIT vorgestellt hat.
Simulation für Hacker real
Das Projekt simulierte ein fiktives Nahverkehrsunternehmen. Es umfasste nicht nur eine Website mit Fahrplänen, Fahrgastinformationen und Ticketshop samt Transaktionen, sondern auch virtuelle Firewalls, Überwachungskameras mit Live-Bildern, Servern und das gesamte Schienennetz mit in Echtzeit simulierten Sensor-Werten. Ob Pneumatikpumpen oder Ampelsignale, Weichen- oder Schrankenstellungen – 19.000 individuelle Parameter umfasste die Simulation. Wie perfekt die Illusion für Cyber-Angreifer war, zeigten Sicherheitsscans: Kurz nachdem das angeblich reale Unternehmen ans Netz ging, schlugen Hacker zu.
Steuerungssysteme im Visier
Koramis beobachtete das Vorgehen der IT-Eindringlinge über einen Zeitraum von sechs Wochen. Die Auswertungen zeigten, worauf es Hacker abgesehen hatten: 27 Prozent griffen den Mediaserver des Unternehmens an, 34 Prozent attackierten die Firewall. Aber: Die Mehrheit aller IT-Invasoren
(39 Prozent) versuchte, die Steuerungsanlagen unter ihre Kontrolle zu bekommen.
Auch das Vorgehen der Hacker legte das Projekt offen: Zuerst scannen sie das Internet willkürlich nach IP-Adressen und offenen Ports ab. Sind lohnenswerte Ziele ausgemacht, versuchen die Angreifer die Schwachstellen auszunutzen. Rund
2,5 Millionen Scans beobachtete Koramis während der Laufzeit des Experiments. Davon mündeten 0,0002 Prozent auch in erfolgreichen Angriffen. Was nach wenig klingt, bekommt aber angesichts der enormen Zahl der Attacken wirtschaftlich Gewicht.
Rechenressourcen in Cloud
Um Industrieanlagen mit allen Eigenschaften so realistisch simulieren zu können, dass Hacker ihnen auf den Leim gehen, benötigt Koramis leistungsstarke IT-Ressourcen. Die erforderliche Infrastruktur bezieht der Dienstleister bei Bedarf über die Open Telekom Cloud, ein flexibles Public-Cloud-Angebot. Das heißt: Je nach Projekt, Dauer und Kundenauftrag bucht Koramis exakt die Ressourcen, die es aktuell benötigt.
Alle Kapazitäten bietet die Telekom in sogenannten Flavors an, also unterschiedlich kombinierbaren, virtuellen Rechen- und Speicher-Konfigurationen. In die Praxis umgesetzt, bedeutet dies: Koramis bezieht dauerhaft vier Terabyte an Datenspeicher und nutzt 16 Prozessoren im Normalbetrieb. Steigt der Rechenbedarf, greift der Dienstleister auf bis zu 250 CPUs zu. Die Rechenleistung regelt sich dabei im Self Service: Über den Browser wird der Dienst per Mausklick administriert und danach auch unmittelbar genutzt.
32,6 Millionen Passwörter geknackt
Wie schnell die Berechnungen des Unternehmens dank Cloud-Betrieb sind, zeigt ein weiterer Versuch: In einem Testszenario hat Koramis 32,6 Millionen verschlüsselte Passwörter zurückgerechnet. Lediglich 14 Tage benötigte es, um alle Kennwörter im Klartext vorliegen zu haben. Mit herkömmlichen Ressourcen, die Unternehmen in ihren Serverraum vorhalten, hätte die Operation wesentlich länger gedauert.
Ein weiterer Vorteil der Cloud: Hier finden Berechnungen auf vielen virtuellen Maschinen gleichzeitig statt. Dies spart Zeit und Geld. So muss Koramis keine zusätzliche eigene Hardware anschaffen, Wartungen unterhalten und betreiben. Die Telekom stellt stattdessen bedarfsgerecht
alle Ressourcen über das Rechenzentrum bereit. Und da die Cloud im deutschen Zwillingsrechenzentrum in Magdeburg und Biere betrieben wird, gilt dabei der strenge deutsche
Datenschutz.