IT-Sicherheit im Unternehmen: So schützen sich Industriebetriebe gegen Cyberattacken

Hacker hatten 2021 Hochkonjunktur. Sie haben einige spektakuläre Attacken gefahren, darunter auf kritische Infrastrukturen wie Ölpipelines und Wasserwerke. Auch die Industrie ächzt unter fast täglichen Angriffsversuchen: Die Vorfälle nehmen laut Prof. Axel Zimmermann von der Hochschule Aalen jährlich um über 30 Prozent zu. Während früher Malware, landläufig als Viren bekannt, bei Hackern besonders beliebt war, sind es heute Phishing und vor allem Ransomware. Mit Letzterer verschlüsseln die Kriminellen sämtliche Daten ihrer Opfer und erpressen dann Lösegeld fürs Entschlüsseln. Häufig wohl mit Erfolg, denn die wenigsten Betriebe hängen es an die große Glocke, wenn sie betroffen sind.Von den kleinen und mittelständischen Unternehmen in Deutschland waren laut Zimmermann schon 61 Prozent von Cybercrime betroffen und die übrigen wird es früher oder später treffen, darin sind sich die Experten einig.

Switches für mehr IT-Sicherheit im Unternehmen

Schützen können sich Betriebe mit dem Defence-In-Depth Konzept (mehr dazu unten). Ein wichtiger Baustein dabei sind Netzwerkkomponenten, die bereits ab Werk so gesichert sind, dass Angreifer nicht eindringen können. Die Schlüsselrolle spielen dabei Switches für industrielles Ethernet und Profinet, die unter anderem das Unternehmen Lapp nach dem höchsten Stand der Technik im Portfolio hat. Für maximalen Schutz empfehlen sich vor allem die Managed Switches und NAT-Router mit Firewall. Sie lassen sich einfach konfigurieren und sind sofort einsatzbereit.

IT-Sicherheit im Unternehmen: Technik sind nur ein Teil der Lösung

Technik allein ist jedoch nicht die ganze Lösung. Betriebe sollten sich vielmehr ein ganzheitliches Cybersecurity-Konzept erarbeiten. Trotz der Gefahren hätten dieses von kleinen und mittelständischen Unternehmen nur 30 Prozent, erläutert Axel Zimmermann. Ein Spiel mit dem Feuer. Unternehmen droht der Diebstahl von geistigem Eigentum sowie Geschäftsgeheimnissen oder die Sabotage der Produktion. Das kann teuer werden. Ein Stillstand in der Automobilproduktion kann Zigmillionen Euro pro Tag kosten. Oft trifft es auch Unternehmen, die sich eigentlich mit IT auskennen wie Citrix. Dort waren Hacker fünf Monate lang unentdeckt im Firmennetzwerk unterwegs. Sogar FireEye, eine Sicherheitsfirma für IT-Software, wurde gehackt, geplündert und die Sicherheits-Software entwendet.

Einige Indsutrie-Unternehmen mögen sich an dieser Stelle fragen: Wenn sich schon IT-Firmen nicht schützen können, wie soll es dann uns gelingen? Resignieren ist jedoch keine Option, denn man kann sich schützen. Zwar gelingt es nie zu 100 Prozent, aber dennoch sollte der Aufwand für die Hacker so groß wie möglich sein, damit es sich für die Kriminellen nicht lohnt. Unterstützung bietet auf europäischer Ebene die ENISA, die europäische Agentur für Cybersecurity oder in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Große Unternehmen unterhalten Computer Emergency Response Teams, kurz CERT. In Deutschland gibt es derzeit 48 CERT, darunter das CERT-Bund vom BSI oder das VDE-CERT für die Elektrotechnik-Industrie. Auch die Deutsche Telekom unterhält ein eigenes CERT-Team, ebenso wie Siemens und einige Unternehmen mehr.

Verfügbarkeit ist alles

Die meisten Industriebetriebe können sich ein CERT nicht leisten, sie sind auf externe Hilfe angewiesen. Ihre erste Anlaufstelle sind meist IT-Experten, deren Hauptaugenmerke vor allem auf der Vertraulichkeit liegen. Doch das ist den Betrieben gar nicht so wichtig. Wenn man Experten aus dem Fabrikbetrieb fragt, also bei der Industrial Security oder auch OT-Security, liegt deren Fokus auf der Verfügbarkeit. In der OT geht es um Maschinen und Produktionsanlagen; da können 300 Millisekunden Ausfall schon zu viel sein, eine nahezu hundertprozentige 24-Stunden-Verfügbarkeit an 7 Tagen die Woche ist dort das A und O.

Eine Norm für IT-Sicherheit im Unternehmen

Viele der genannten Aspekte werden von einer Norm abgedeckt, der IEC 62443. Sie ist ein umfassender und international anerkannter Standard für Industrial Security und beschreibt im Detail die Verfügbarkeit von Anlagen. Sie befasst sich neben einem allgemeinen Teil mit Prozessen, dem System und auch einzelnen Komponenten. Angelehnt an die Norm ist das Konzept Defence-In-Depth. Das ist ein mehrschichtiges Sicherheitskonzept aus drei Teilen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität.

Defence-In-Depth: Was ist das?

Die drei Teile des Defence-In-Depth-Konzeptes sind nachstehend aufgeschlüsselt und um Hinweise dazu ergänzt.

Anlagensicherheit

Dort geht es hauptsächlich darum, Anlagen abzuschließen, zum Beispiel mit speziellen Schaltschränken. Nicht jede Person soll Zugang zum Netzwerk haben. Dazu gehört es, Arbeitsanweisungen und Richtlinien den Mitarbeitern in entsprechenden Schulungen bekanntzumachen.

IT-Sicherheit im Unternehmen – Netzwerksicherheit

Eine Strategie ist die Netzwerksegmentierung, etwa mit NAT oder VLAN. Hier empfiehlt sich der Einsatz von IP- und MAC-Filtern und das Deaktivieren ungenutzter Ports. Zudem ist zu verhindern, dass offene Ports frei verfügbar im Netzwerk stehen. Weiterhin ist der Einsatz einer Firewall für die sichere Kommunikation mit der Außenwelt obligatorisch. Es gibt smarte Lösungen, die auch einzelne Maschinen oder kleine Fertigungszellen abschotten vom restlichen Unternehmensnetzwerk. Dann sollte man sichere Protokolle verwenden, beispielsweise beim Aufruf einer Webseite.

Systemintegrität

Sie befasst sich hauptsächlich mit der Systemhärtung. Wir kennen alle Default-Passwörter (wie 0000), die im Auslieferungszustand die Gerätehersteller hinterlegt haben, damit nicht zu viele Anwender über das initiale Passwort rätseln. Jedoch sollte der Anwender dieses sofort durch ein sicheres Passwort ersetzen. Allein dieser einfache Schritt macht es Hackern schwer, ein Netzwerk zu attackieren. Weitere Möglichkeiten sind Whitelisting und Virenschutz. Whitelisting deshalb, weil Betriebe wissen, welche Komponenten miteinander kommunizieren dürfen und welche nicht, zumindest in der Fertigungsebene. Die IT setzt jedoch hauptsächlich auf Blacklisting, weil man dort nicht wissen kann, wer auf die eigene Website zugreifen will, es gibt also spezifisch verbotene Bereiche. Die Authentifizierung befasst sich mit der Klassifizierung der Benutzer und mit dem Passwortmanagement.

Der Autor Jürgen Greger ist Produktmanager Industrial Communication bei Lapp.

Lesen Sie auch: Ukrainekrieg erhöht das Risiko von Cyberattacken.