24.07.2019 – Kategorie: Hardware & IT

Albtraum Cyberangriff! So können sich Industrieunternehmen schützen

Cyberangriff

Die digitale Transformation in der Industrie beschleunigt Prozesse und senkt operative Kosten. Sie ermöglicht außerdem neue Geschäftsmodelle. Durch die damit einhergehende Digitalisierung und zunehmende Konvergenz von Informationstechnologie und Automatisierungs- bzw. Prozessleittechnik, sehen sich viele Industrieunternehmen mit einer veränderten Bedrohungslage konfrontiert – zum Beispiel durch einen Cyberangriff. Von Wolfgang Kiener

Eines vorweg: Schwachstellen lassen sich nicht vollständig vermeiden und präventive Sicherheitsmechanismen zum Schutz der Infrastruktur reichen alleine nicht aus. TÜV Rheinland i-sec hat sich eingehend damit befasst, wie sich die digitale Fabrik gegen einen Angriff absichern lässt. Es gilt, Bedrohungen zu erkennen, zu überwachen und entsprechend zu behandeln. Die Bedrohungen können, abhängig vom Unternehmen, seiner Produktion oder Dienstleistung, vielfältig sein. Schadsoftware, die durch Mitarbeiter oder Partnerfirmen über USB-Sticks und Wartungszugänge verbreitet wird, betrifft alle Unternehmen. Aber auch der zielgerichtete Datenklau von Unternehmensgeheimnissen, nimmt vor allem im deutschen Mittelstand zu. Demzufolge ist neben der Überwachung der Produktion hinsichtlich Qualität und Produktionsmenge auch das Überwachen und die Adressierung von Cyberbedrohungen unabdingbar. Umfragen und Statistiken zu realen Cyberangriffen verdeutlichen den akuten Handlungsbedarf: Organisationen benötigen im Durchschnitt 197 Tage zum Erkennen und weitere 69 Tage, um die Folgen eines Cyberangriffs zu beheben.

Unternehmen unterschätzen Risiken eines Cyberangriffs auf Industrieanlagen

In der Studie „Industrial Security 2019: ein Ausblick von TÜV Rheinland“ geben 40 Prozent der befragten Unternehmen an, dass die Risiken durch Cyberangriffe auf Industrieanlagen noch nie untersucht  wurden. Weitere 34 Prozent wissen nicht, ob das eigene Unternehmen diese Risiken schon einmal untersucht hat. Zudem hat nur jedes fünfte Unternehmen entsprechende Maßnahmen für Cybersicherheit auf die besonderen Gegebenheiten seiner Industrieanlagen zugeschnitten. Die Studienergebnisse sind besorgniserregend vor dem Hintergrund, dass die Schwachstellen der digitalen Fabrik und die Bedrohung der industriellen Sicherheit mehr denn je ein Unternehmensrisiko darstellen. Produktionsausfälle oder durch einen Cyberangriff verursachten Qualitätsmangel schlagen sich direkt in den  Unternehmenskennzahlen nieder. Wesentlich gravierender sind Angriffe auf Sicherheitslücken von Industrieanlagen oder der sogenannten kritischen Infrastruktur, wie zum Beispiel beim Militär, im Luft- oder Schienenverkehr oder in der Lebensmittelproduktion, die für Mensch und Umwelt zur Gefahr werden. Hier besitzt Cybersicherheit eine gesellschaftliche Komponente, die die Bedeutung eines jeden Unternehmens und jeder Organisation um ein Vielfaches überragt.

Das Purdue-Model stellt komplizierte Automatisierungsnetze anschaulich in fünf Ebenen dar. Beginnend mit Ebene 5 für das Enterprise Business bis Ebene 0, die die am industriellen Prozess beteiligen Sensoren und Aktoren beinhaltet.

TÜV Rheinland hat anhand des Modells bekannte Schwachstellen und Angriffe auf den verschiedenen Ebenen analysiert (siehe Abbildung 1). Durch die Verschmelzung von Informationstechnologie und Automatisierungstechnik bzw. Prozessleittechnik (Operational Technology, OT) rücken Schwachstellen und Bedrohungen aus dem IT-Umfeld bei der Risikobetrachtung von OT-Umgebungen in den Vordergrund. Darüber hinaus werden vermehrt Schwachstellen in OT-Komponenten auf Ebene 1 und 2 identifiziert. Angreifer gehen in der Regel stufenweise vor und kombinieren verschiedene Schwachstellen auf mehreren Ebenen, um über die höheren Ebenen von 5 bis 1 einen unbefugten Zugriff auf Sensoren und Aktoren auf Ebene 0 zu erlangen.

CyberagriffeQuelle: Grafik: TÜV RheinlandQuelle: Grafik: TÜV Rheinland
Abbildung 3: Schutzziele in der digitalen und physischen Welt; Grafik: TÜV Rheinland

Schutz vor einem Cyberangriff: Überwachen von Cyberbedrohungen

Die zielgerichtete Reduzierung der Unternehmensrisiken verursacht durch Cyberbedrohungen in OT bedarf eines unternehmensweiten und integrierten Risikomanagements. Ein integriertes Risikomanagement beinhaltet unter anderem Zulieferkette, betriebliches Kontinuitätsmanagement, IT und OT. Risiken dürfen nicht isoliert betrachtet und gesteuert werden – die Risiken sind bereichsübergreifend, und Angreifer unterscheiden nicht zwischen OT und IT. Ferner müssen unterschiedliche Anforderungen hinsichtlich Schutzbedarf und Machbarkeit Berücksichtigung finden (siehe Abbildung 2).

Industrial Cyber SecurityQuelle: Grafik: TÜV RheinlandQuelle: Grafik: TÜV Rheinland
Abbildung 2: OT und IT Schutzbedarf im integrierten Risikomanagement

Die typischen IT-Schutzziele Vertraulichkeit (C), Integrität(I) und Verfügbarkeit(A) werden in OT unterschiedlich bewertet.  In OT hat der Stückzahlendurchsatz und Qualität Vorrang, weshalb Verfügbarkeit und Integrität von größer Bedeutung sind (AIC). In IT die Verfügbarkeit in der Regel an zweiter oder dritter Stelle steht (CIA) und die Vertraulichkeit von Daten höher gewichtet ist. Im Rahmen der digitalen Transformation findet zunehmend eine ergänzende Schutzzieldefinition basierend auf Privacy, Safety und Reliability Anwendung, die den notwendigen Bezug zu Mensch und Umwelt herstellt und damit der Verschmelzung von physischer und digitaler Welt gerecht wird (siehe Abbildung 3).

CyberangriffQuelle: Grafik: TÜV RheinlandQuelle: Grafik: TÜV Rheinland





Abbildung 3: Schutzziele in der digitalen und physischen Welt; Grafik: TÜV Rheinland

Risikomanagement erfordert eine andere Organisationstruktur

Ein integriertes Risikomanagement erfordert eine übergreifende und zentrale Steuerung der Teams. Vor dem Hintergrund einer Annährung von Operational Technology (OT) und IT müssen die operativen Teams aus diesen Bereichen eng zusammen arbeiten und von zentraler Stelle aus gesteuert werden. Zur Beschleunigung dieses Prozesses sollten vom Risikomanagement ausgehend, übergreifende und anwendbare Richtlinien entwickelt werden. Zur Erhöhung der Akzeptanz müssen etwaige persönliche und unternehmenskulturelle Unterschiede zwischen OT und IT Berücksichtigung finden. Das gegenseitige Verständnis und Zusammenarbeit kann weiter durch bereichsübergreifende Programme wie z.B. Schulungs- und Mentor-Programme gestärkt werden. Abbildung 4 zeigt beispielhaft eine integrierte Organisationsstruktur, die die heutige Trennung von OT und IT berücksichtigt aber deren übergreifendes Management und integrierte Steuerung unterstützt. Langfristig werden die Security Management & Engineering  und Operations weiter organisatorisch zusammenwachsen.

CyberangriffeQuelle: Grafik: TÜV RheinlandQuelle: Grafik: TÜV Rheinland
Abbildung 4: Beispiel einer integrierten Organisationsstruktur

Zur Initiierung und Beschleunigung der organisatorischen Konvergenz empfiehlt sich die Etablierung eines cross-funktionalen SMEs (Subject Matter Experts, Tought Leader), der zwischen den verschiedenen Anforderungen und Voraussetzungen vermittelt und die Machbarkeit von Lösungsvorschlägen beurteilen und managen kann. Ein Bi-Linguist, der nicht nur fachlich sondern auch sprachlich und kommunikativ beide Welten organisatorisch zusammenführt und integriert.

Autor: M. Sc. Wolfgang Kiener von TÜV Rheinland i-sec GmbH

Teilen Sie die Meldung „Albtraum Cyberangriff! So können sich Industrieunternehmen schützen“ mit Ihren Kontakten:

Zugehörige Themen:

Ähnliche Artikel

Scroll to Top