Cybersicherheit für die Automatisierung
"Das Risiko wächst"
Die Cybersecurity erhält aktuell wieder einmal verstärkt Aufmerksamkeit in der Branche. Dabei ist das Thema prinzipiell für die Industrie nichts Neues. Neu sind allerdings Begriffe wie UNBÖFI oder PSIRT. Was es mit diesen auf sich hat und welche weiteren Aspekte der Sicherheit für Automatisierung und Maschinenbau unbedingt zu berücksichtigen sind, erklärt Christopher Tebbe, Security Technology Manager bei Wago, im Gespräch mit dem SPS-MAGAZIN.
Bild: WAGO Kontakttechnik GmbH & Co. KGHerr Tebbe, zurzeit liest und hört man immer wieder von Cyberattacken auf Industriefirmen. Wie hoch ist das Risiko eines Angriffs auf Anlagen in der diskreten Fertigung denn tatsächlich?
Christopher Tebbe: Seitdem ich mich mit dem Thema beschäftige, das sind jetzt rund zehn Jahre, geht die Zahl solcher Vorfälle kontinuierlich nach oben. Entsprechend steigt eben auch das Risiko für Anlagenbetreiber in der Industrie. Sie können sich nicht mehr darauf berufen, dass sie von Cyberkriminellen außen vor gelassen werden. Natürlich muss man unterscheiden zwischen gezielten Angriffen und breit gestreuten Malware-Attacken, wie Verschlüsselungs-Trojanern. Wie groß der Schaden ist, den letztere anrichten können - obwohl gar nicht primär auf die Industrie ausgerichtet - hat der Fall WannaCry 2017 anschaulich gemacht. Gezielte Angriffe, wie der auf die Colonial Pipeline in den USA vor kurzem, sind im Vergleich noch relativ selten. In diesem Fall waren nicht nur die direkten Auswirkungen auf Industrie und Infrastruktur gravierend. Parallel sieht sich der Betreiber möglicherweise massiven Schadenersatzklagen gegenüber und muss belegen, dass er in Sachen Security nicht geschlafen hat.
Droht ein solches Szenario auch den hiesigen mittelständischen Industrieanbietern?
Das ist nicht auszuschließen. Deshalb sollten sie mit solchen Entwicklungen Schritt halten. Gezielte Angriffe mit großem Aufwand sind - wie gesagt - eine Ausnahme. Doch den braucht es für den Zugriff auf Produktionsnetze in vielen Fällen auch gar nicht. Folglich kommen Manipulations- oder Erpressungsversuche bei Fertigungsunternehmen durchaus häufiger vor.
Kommen wir nochmal auf klassische Malware- bzw. Ransomware-Attacken zurück. Welche Einfallstore gibt es dafür auf Industrieseite?
Das größte Risiko bildet nach wie vor der Mensch. Entsprechend wichtig ist es, die eigenen Mitarbeiter gegen Malware-Verbreitung, Cyberangriffe und Social Engineering zu wappnen. Denn genauso wie der größte Risikoträger können die Mitarbeiter auch den besten Schutzwall gegen Cyberattacken bilden. Unabhängig davon werden immer mehr Maschinen und Anlagen direkt online angebunden. In vielen Fällen jedoch ohne oder nur mit veralteten Security-Mechanismen. Dann haben Trojaner und Co. auch auf direktem Weg leichtes Spiel.
Ist typische Malware denn überhaupt lauffähig auf Automatisierungs- und Steuerungskomponenten?
Das lässt sich nicht pauschal beantworten. Wenn es um klassische SPS-Systeme geht, ist die Wahrscheinlichkeit nicht sonderlich hoch. Bei IPC-Lösungen mit Embedded-Windows-Betriebssystem sieht es hingegen schon wieder anders aus. Letztlich kommt es deshalb darauf an, wie man als Anwender die Automatisierung absichert. Dabei kann man schon mit einfachen Maßnahmen die Sicherheit deutlich erhöhen.
Bild: WAGO Kontakttechnik GmbH & Co. KGFindet das Thema Cybersicherheit ausreichend Aufmerksamkeit im Mittelstand?
Ja, nicht zuletzt durch die aktuellen Diskussion ist das Thema auch bei den Mittelständlern angekommen. Und so gibt es auch dort immer öfter Mitarbeitende, deren zentrale Aufgabe es ist, sich mit der Cybersicherheit zu beschäftigen. Zudem steigt der Druck durch entsprechende Anforderungen auf Kundenseite oder auch gesetzliche bzw. normative Vorgaben.
An welchen Normen sollte sich der Anwender orientieren?
Eine gute Hilfestellung bietet die IEC62443 weil sie die Industrie fokussiert und mittlerweile weit verbreitet ist - nicht nur in Deutschland, sondern ebenso in der EU bzw. sogar global. Auch die VDS10020 speziell für KMU ist hier zu nennen. Hilfreiche Tipps gibt zudem die Richtlinie NIST SP 800-82 aus den USA. Diese Normen beschreiben wirksame Instrumente wie Netzwerksegmentierung, Angriffsoberflächenverkleinerung sowie Zugangsverwaltung und Passwortschutz.
Das sind aber strategische Maßnahmen und keine konkreten technischen Lösungen.
Ja, solche übergreifende Punkte bilden die Grundlage der Sicherheit, weil sie sich auf die Unternehmen ganzheitlich auswirken - nicht nur auf die Automatisierungs- und Steuerungstechnik. Wenn es um ergänzende Aktionen geht, sollte man Schritt für Schritt vorgehen - beginnend mit den Security-Maßnahmen, die sich am einfachsten umsetzen lassen. Ein einmal erreichtes Sicherheitslevel muss der Anwender dann immer beibehalten. Denn letztlich lässt sich das Thema Cybersecurity leider nie final abschließen.
Wie stark muss man sich dem Thema Cybersecurity als Industrieanbieter wirklich widmen?
Je nachdem in welchem Bereich man tätig ist, gibt es verschiedene Sicherheitslevel, die man erreichen sollte. Normalerweise muss man nicht zwingend jede Maßnahme umsetzen, nur weil es sie gibt. Sonst wird es im Zweifel unnötig teuer oder sogar unbezahlbar. Hier ist ein gewisses Augenmaß nötig, das sich der Anwender aneignen muss. Deswegen tritt Wago, wenn es um die richtigen Maßnahmen geht, direkt und auf Augenhöhe in Interaktion mit dem Kunden.
Wago hat mit seinem PSIRT ein dediziertes Angebot im Sicherheitsbereich. Was genau verbirgt sich dahinter?
Das Product Security Incident Response Team, kurz PSIRT, setzt sich bei uns interdisziplinär aus Security, Entwicklung, Systemspezialisten und Support zusammen. Wie der Name verrät, geht es prinzipiell um Produkte, die Wago in diesem Bereich anbietet. Sollten Schwachstellen bekannt werden, dann bildet das PSIRT das Fundament unserer Strategie, um schnell reagieren und betroffene Kunden unterstützen zu können. Das läuft standardisiert nach einem genau definierten Prozess ab: von der Meldung einer Schwachstelle über die Prüfung bis hin zur Beseitigung. Für Wago hat es oberste Priorität, transparent mit auftretenden Schwachstellen umzugehen und diese möglichst schnell und effizient zu beseitigen, bzw. Sicherheits-Updates bereit zu stellen. Man muss hier nochmal betonen, dass die Veröffentlichung von Schwachstellen etwas Gutes ist. Denn wie aus dem Office-Umfeld bekannt: Es gibt keine hundertprozentig sicheren Lösungen. Und nichts ist fataler, als das Wissen um potenzielle Einfallstore nicht mit dem Anwender zu teilen.
Wago setzt ja bei seinen Controllern auf Linux und hat damit eine große und aktive Online-Community im Rücken. Hilft das auch mit Blick auf die Cybersicherheit?
Auf jeden Fall! Und zwar aus mehreren Gründen: Allein Linux als Basis unserer Controller wird in dieser Nutzergemeinschaft fortlaufend auf Herz und Nieren geprüft. Theoretisch haben auch unsere Kunden genauen Einblick und können Wago-Lösungen eigenständig auf Schwachstellen prüfen. Zudem müssen Sicherheitsexperten und Forscher, die sich auf Exploits spezialisiert haben, keine proprietären Hürden überwinden.
Bild: WAGO Kontakttechnik GmbH & Co. KGWieweit unterstützen Sie Kunden in Sachen Cybersicherheit?
Schon unser Sicherheitshandbuch für Wago-Kunden listet viele wichtige Punkte auf und kann Probleme von vorneweg vermeiden. Zudem veranstaltet Wago Kundenevents, die den Stellenwert der Security proaktiv unterstreichen. Natürlich haben wir auch das Knowhow im Haus und die passenden Spezialisten, um tiefer gehende Aspekte zu klären. Solche Service- und Beratungsleistungen wollen wir künftig verstärkt anbieten und das Angebot ausbauen. Aber auch jetzt schon hat Wago bei Sicherheitsfragen immer ein offenes Ohr.
Gibt es eine generelle Herangehensweise, die Sie Ihren Kunden empfehlen?
Am wichtigsten ist es, das Thema Security überhaupt anzugehen und nicht auf die lange Bank zu schieben. Low hanging Fruits gibt es eigentlich immer. Welche das sind, kann von Anwender zu Anwender aber ganz unterschiedlich sein. Wenn er sie nicht auf Anhieb identifizieren kann, stehen wir gerne beratend zu Seite.
Und welche Wago-Produkte und -Lösungen kommen dabei zum Einsatz?
Gemäß des Security-by-Design-Ansatzes ist die Sicherheit schon in der Wago-Entwicklung ein essenzieller Aspekt. So sind in vielen Steuerungen bereits VPN-Clients, Firewalls oder moderne Verschlüsselungsverfahren integriert. Auch unsere gehärtete Firmware zeigt, wie ernst wir das Thema nehmen. Schließlich hat Wago schon viel Erfahrung gesammelt und ist analog zu den Anforderungen der Anwender gewachsen. Nicht nur in der diskreten Fertigung, sondern auch in anderen Geschäftsbereichen wie Prozesstechnik, Infrastruktur und Energie.
Inwieweit müssen sich denn Anwender in der Industrie mit dem IT-Sicherheitsgesetz 2.0 auseinander setzen?
Auseinandersetzen müssen sich damit immer mehr Industriebereiche, denn es sind einige Verschärfungen und Ergänzungen hinzugekommen. Aus organisatorischer und technologischer Sicht wird ab Mai 2023 eine Angriffserkennung verbindlich vorgeschrieben. Auch hier werden wir unsere Kunden nicht alleine lassen und ein passendes Angebot formulieren. Und neben Kritis-Betreibern betrifft das IT-Sicherheitsgesetz jetzt auch Unternehmen im besonderen öffentlichen Interesse, kurz UNBÖFI.
Wer ist denn konkret mit UNBÖFI gemeint?
Darunter fallen z.B. die Bereiche Rüstung und Chemie oder Unternehmen mit besonders hoher Wertschöpfung. Auch Zulieferer für deren kritische Prozesse - wie es etwa Wago ist - werden mit eingeschlossen. Wie? Das ist Stand heute noch nicht genau definiert und wird in einer Rechtsverordnung weiter spezifiziert. Nach ersten Informationen soll diese im Laufe des nächsten Jahres entstehen. Weitere Fragezeichen gibt es beim Begriff der kritischen Komponente, der im neuen IT-Sicherheitsgesetz auftaucht. Bisher ist das Thema nur für die Mobilfunkinfrastruktur über das Telekommunikationsgesetz geregelt. Inwieweit darunter zukünftig auch Steuerungstechnik oder Maschinenbau fallen, ist noch zu klären. Im Zweifel - soviel zeichnet sich jedenfalls schon ab - wird sich das IT-Sicherheitsgesetz also künftig noch auf einige weitere Unternehmen auswirken.
Wo geht es bei der industriellen Cybersicherheit weiter? Können Sie einen Ausblick geben?
In den nächsten Jahren werden die Angriffe wohl noch großteils über die IT-Ebene kommen. Aber sowohl Hardware- als auch Software-seitig werden in der Produktion ja immer mehr IT-Komponenten und -Mechanismen eingesetzt. Gleichzeitig nimmt auch die Zahl der industriellen IoT-Schnittstellen zu. Wie gesagt, wächst das Risiko von Cyberattacken im Shopfloor. Das ist wohl die Schattenseite der IT/OT-Konvergenz und die Herausforderung von Industrie 4.0.
Droht ein solches Szenario auch den hiesigen mittelständischen Industrieanbietern?
Das ist nicht auszuschließen. Deshalb sollten sie mit solchen Entwicklungen Schritt halten. Gezielte Angriffe mit großem Aufwand sind - wie gesagt - eine Ausnahme. Doch den braucht es für den Zugriff auf Produktionsnetze in vielen Fällen auch gar nicht. Folglich kommen Manipulations- oder Erpressungsversuche bei Fertigungsunternehmen durchaus häufiger vor.
Kommen wir nochmal auf klassische Malware- bzw. Ransomware-Attacken zurück. Welche Einfallstore gibt es dafür auf Industrieseite?
Das größte Risiko bildet nach wie vor der Mensch. Entsprechend wichtig ist es, die eigenen Mitarbeiter gegen Malware-Verbreitung, Cyberangriffe und Social Engineering zu wappnen. Denn genauso wie der größte Risikoträger können die Mitarbeiter auch den besten Schutzwall gegen Cyberattacken bilden. Unabhängig davon werden immer mehr Maschinen und Anlagen direkt online angebunden. In vielen Fällen jedoch ohne oder nur mit veralteten Security-Mechanismen. Dann haben Trojaner und Co. auch auf direktem Weg leichtes Spiel.
Ist typische Malware denn überhaupt lauffähig auf Automatisierungs- und Steuerungskomponenten?
Das lässt sich nicht pauschal beantworten. Wenn es um klassische SPS-Systeme geht, ist die Wahrscheinlichkeit nicht sonderlich hoch. Bei IPC-Lösungen mit Embedded-Windows-Betriebssystem sieht es hingegen schon wieder anders aus. Letztlich kommt es deshalb darauf an, wie man als Anwender die Automatisierung absichert. Dabei kann man schon mit einfachen Maßnahmen die Sicherheit deutlich erhöhen.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
WAGO Kontakttechnik GmbH & Co. KG
Dieser Artikel erschien in SPS-MAGAZIN 9 (September) 2021 - 15.09.21.Für weitere Artikel besuchen Sie www.sps-magazin.de
