Sicherheit in OT und Industrial IoT
„In Deutschland ist die Awareness noch nicht groß genug“
von
Konstantin
Pfliegl - 16.06.2022
Foto: PwC
Sicherheitsexperte Oliver Hanka von PwC ordnet die Cybergefahren bei IT- und OT-Systemen ein. Er tut dies im ausführlichen Interview mit com! professional.
Es gibt nur wenige Themen, die IT-Verantwortliche so umtreiben wie die Sicherheit. In den vergangenen Jahren sind rund um den Globus unzählige Unternehmen und Behörden Opfer von Hackerangriffen geworden. Und die Unternehmen scheinen in Sachen Sicherheit eher pessimistisch in die Zukunft zu blicken: Laut der aktuellen PwC-Umfrage „Global Digital Trust Insights 2022“ erwarten 60 Prozent der Unternehmen in Deutschland eine Zunahme der Cyberkriminalität.
Vor allem im Hinblick auf die zunehmende Vernetzung, Stichwort Internet of Things, ist eines sicher: Die Firmen können in Bezug auf die IT-Sicherheit nicht genug Anstrengungen unternehmen. Der Trend zu immer stärker vernetzten Industrieumgebungen vergrößert die Gefahr entsprechender Angriffe.
Industrieumgebungen bestehen prinzipiell aus zwei Bereichen: IT und Operational Technology (OT). Unter Letzterem versteht man den Betrieb physischer Industrie- und Produktionsanlagen, beispielsweise Roboter, Pumpen oder Metallpressen. Dieser Bereich wird bei Schutzkonzepten häufig übersehen.
com! professional: Herr Dr. Hanka, 60 Prozent der deutschen Unternehmen erwarten eine Zunahme der Cyberkriminalität. Sind Cyberrisiken denn überhaupt noch beherrschbar? Was würden Sie einem Unternehmen antworten, das mit dieser Frage auf Sie zukommt?
Oliver Hanka: Selbstverständlich kann man etwas für die Cybersecurity tun. Was es aber nicht gibt, ist eine hundertprozentige Sicherheit. Aber was man immer tun kann, ist das Erhöhen des Sicherheits-Levels – es also dem Angreifer immer schwerer machen, sodass es für ihn wirtschaftlich nicht mehr sinnvoll ist. Der Angreifer selbst hat ein gewisses Ziel, zum Beispiel ein monetäres, und ist bereit, hierfür einen gewissen Aufwand zu investieren. Und man kann diesen Aufwand so weit nach oben schrauben, bis es sich für den Angreifer nicht mehr lohnt.
com! professional: Eine weitere Zahl aus Ihrem Report: 82 Prozent der Führungskräfte in Deutschland schätzen die Komplexität in ihrem Unternehmen als zu hoch ein. Diese wird aber mit steigender Vernetzung immer höher … Wie kann man dem begegnen?
Hanka: Das ist eine gute Frage, die ich etwas anders beantworten würde. Zunächst mal ist es richtig, dass die zunehmende Vernetzung in den Fabriken auch die Komplexität erhöht. Aber warum machen Unternehmen das? Weil sie sich dadurch einen Mehrwert versprechen. Das kann zum Beispiel Predictive Maintenance sein oder Qualitätskontrolle.
Diese Vorteile haben allerdings ihren Preis. Cybersecurity ist hier ein wichtiger Aspekt und Teil der Investitionskosten. Die Komplexität steigt also weiterhin – damit muss man umgehen. Deswegen ist es so wichtig, sich um das Thema Cybersecurity zu kümmern.
com! professional: Wie sehen eigentlich die konkreten Gefahren aus? Immer mehr Unternehmen fürchten staatlich organisierte Angriffe, etwa auf die kritische Infrastruktur. Müssen wir künftig mehr Angst haben vor ausländischen Regierungs-Hackern als vor den „normalen“ Hackern?
Hanka: Die Frage ist, was Sie unter dem „normalen“ Hacker verstehen. Ich möchte einmal aufzeigen, wie wir die Landschaft der OT-Angriffe sehen.
Beginnend in den 1990er-Jahren und um das Jahr 2000 herum beobachteten wir eher unkoordinierte Angriffe – wir sprechen dabei von der Experimentier- und Erforschungsphase. Angreifer haben ausgetestet, was überhaupt möglich ist, ohne dass sich jemand mit dieser Thematik so richtig auskannte.
Die nächste Phase, wir nennen sie Military Grade, war geprägt durch Angriffe, hinter denen Regierungsorganisationen steckten, oder Angriffe, die zumindest von staatlichen Stellen gesponsert wurden. Solche Angriffe sind extrem aufwendig und dauern teilweise drei, vier oder fünf Jahre. Dazu gehören bekannte Vorfälle wie Stuxnet. Derlei Angriffe halten an und werden auch weiter zunehmen.
com! professional: Und dann gibt es auch noch den Dauerbrenner Ransomware …
Hanka: Wir sehen, dass Ransomware in den letzten fünf, sechs Jahren sehr stark zugenommen hat, auch im Bereich der OT. Aber um auf Ihre Frage zurückzukommen, wer eigentlich hinter den Angriffen steckt: Die kriminellen Organisationen, die primär von monetären Anreizen getrieben werden, sind das eigentliche Problem, vor dem sich die Industrie schützen muss. Das gilt natürlich genauso für Regierungsangriffe, denn auch die werden weiter zunehmen.
Cyber Security Experience Center: Mehrere Szenarien ermöglichen es nicht nur, verschiedene Angriffe zu demonstrieren, sondern auch, mit konkreten Abwehrmaßnahmen zu experimentieren.
(Quelle: PwC )
com! professional: Da sind wir dann wieder beim Kosten-Nutzen-Verhältnis?
Hanka: Im Gegensatz zum Nutzen, den sich die Angreifer versprechen, spielen die Kosten bei Military Grade meist keine Rolle. Das heißt aber nicht, dass man sich deswegen nicht schützen sollte, vor allem im Bereich der kritischen Infrastruktur.
com! professional: Apropos kritische Infrastruktur: Wir sind uns wahrscheinlich darin einig, dass hier in vielen Unternehmen und Behörden dringender Handlungsbedarf besteht. Wenn Sie Schulnoten vergeben könnten für die Cyberresilienz kritischer Infrastruktur hierzulande – wo stehen wir da?
Hanka: Es gibt Unternehmen, die wirklich viel getan haben und sehr gut dastehen, aber es gibt auch viele Bereiche, in denen es am nötigen Problembewusstsein oder auch dem erforderlichen Budget fehlt. Da sind wir dann bei einer 5 minus. Das sind aber nur die Extreme, die meisten Organisationen bewegen sich irgendwo zwischen diesen Polen.
com! professional: Zusammenfassend lässt sich also sagen, dass deutsche Unternehmen eher mittelmäßige Schüler sind ...
Hanka: Ja, genau.
com! professional: Ist das Sicherheitsproblem nicht auch hausgemacht, weil es zu lange unterschätzt wurde? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen, 20 Prozent des IT-Budgets in Sicherheit zu investieren. Schätzungen zufolge ist es in der Praxis meist lediglich die Hälfte. Also selbst schuld?
Hanka: Ja und nein. Die Empfehlung des Bundesamts finde ich angemessen – sowohl für IT als auch OT sollte man ungefähr 20 Prozent der sogenannten Operational Costs in Sicherheit stecken. Die Firmen geben aber meist weniger aus. Das hat vielleicht den Hintergrund, dass die Branche erst in den letzten Jahren aufwacht, vor allem bei der OT-Security.
Das Problem: Es fehlt akut an geeigneten Fachkräften. Unternehmen können zwar viel Geld ausgeben und Tools kaufen – aber wenn die nicht eingesetzt werden können, weil keiner da ist, der sie einbauen kann, dann war die Investition umsonst.
Eines der zentralen Probleme, die wir da sehen: Es gibt nicht nur die großen DAX-Unternehmen, sondern unzählige Hidden Champions, die sich extrem schwertun, geeignetes Personal zu finden.
com! professional: Und diese Hidden Champions sitzen vielleicht nicht unbedingt in Berlin, Hamburg oder München, sondern auf der Schwäbischen Alb.
Hanka: Ja, so mancher Weltmarktführer sitzt zum Beispiel auf der Schwäbischen Alb und sagt, wir bräuchten drei oder vier OT-Security-Spezialisten – doch die werden sie da nicht hinbekommen. Das ist tatsächlich ein ganz großes Problem. Es gibt natürlich Firmen wie PwC, die Unternehmen dabei unterstützen können. Aber was wir den Kunden auch immer mitgeben: Sie brauchen jemanden auf ihrer Seite, der unser Gegenpart ist, der das, was wir in der Firma voranbringen, so verankern kann, dass das Ganze langfristig Erfolg hat. Es bringt nichts, wenn wir Strategien und Prozesse entwickeln, den Kunden schulen – und sobald das Projekt abgeschlossen ist, keiner mehr da ist, der sich darum kümmert.
com! professional: Schauen wir einmal in die Praxis: Wir haben bereits die Industrieumgebungen angesprochen. OT wird bei Schutzkonzepten oft übersehen. Hinzu kommt das Problem, dass es hierfür keine schlüsselfertigen Sicherheitslösungen gibt. Das macht das Ganze verdammt teuer, oder?
Hanka: Auch in der Industrie kommen häufig Standardkomponenten zum Einsatz. Ein Beispiel sind Industriesteueranlagen. Wie diese Standardkomponenten genutzt werden, ist allerdings sehr individuell. Ebenso gibt es von größeren Herstellern Standard-Sicherheitslösungen für das Monitoring. Vieles muss jedoch in der Tat sehr individuell auf die Branchen zugeschnitten werden. Was zum Beispiel in einer Branche ein Hinweis auf einen Angriff sein kann, ist in einer anderen Branche völlig normal.
com! professional: Außerdem arbeitet ja Operational Technology anders als IT. Bei einer IT-Schwachstelle spielt der Administrator schnell ein Update ein. Bei der OT ist das um einiges komplexer. Da kann man eine Produktionsanlage nicht mal eben für ein Update anhalten. Wie schafft man hier den Spagat zwischen Betrieb und Sicherheit?
Hanka: Das ist richtig. Als Unternehmen hat man ohnehin großes Glück, wenn man seine Anlage überhaupt updaten kann. Oftmals ist es bei OT-Systemen so, dass es keine Gewährleistung mehr gibt, wenn die Anlage in irgendeiner Form modifiziert wurde. Dazu gehören auch Software-Updates. Das ist eines der großen Probleme. Denn im OT-Sektor gibt es oft neue Anforderungen, zum Beispiel im Echtzeitbereich. Der Anlagenbauer sagt, so wie er das Gerät in die Fabrik gestellt hat, garantiert er eine gewisse Funktionalität. Bei einer Modifikation erlischt dann der Garantieanspruch. Der Kunde kann also die Anlage gar nicht patchen.
Das ist auch der Grund, warum wir bei vielen OT-Systemen noch veraltete Systeme wie Windows 95 oder XP mit zahlreichen Schwachstellen sehen.
com! professional: Und wie lässt sich dieses Problem lösen?
Hanka: Da stehen verschiedene Security-Mechanismen zur Verfügung. Ein Beispiel ist die Netzwerksegmentierung: Ich habe kein großes Netz, in dem alle Produktionsanlagen miteinander verbunden sind, sondern ich gliedere das Ganze stärker und schirme es etwa mit Gateways und Firewalls ab.
com! professional: PwC möchte Unternehmen in diesem Bereich unterstützen und hat das Cyber Security Experience Center in Frankfurt eröffnet. Was hat es damit auf sich?
Szenario im Cyber Security Experience Center: Wenn der Roboterarm durch einen Angriff sein normales Programm stoppt, wird der Styroporpuppe der Helm vom Kopf gestoßen.
(Quelle: PwC )
Ein Beispiel: Ein Roboterarm, der auch im Automobilbereich eingesetzt wird, stoppt bei einem Angriff sein normales Programm. Daneben steht eine Styroporpuppe, der dann der Helm vom Kopf gestoßen wird. Das gehört zum Awareness-Teil.
Wir nutzen das Experience Center aber auch, um zu demonstrieren, welche Abwehrmaßnahmen es gibt, etwa Monitoring-Lösungen oder die erwähnte Netzwerksegmentierung. Das alles können wir vor Ort zeigen, aber wir können auch Lösungen vergleichen und technisches Personal trainieren.
com! professional: Es gibt da draußen im Land zig verschiedene Industrieanlagen mit den unterschiedlichsten Konfigurationen. Wie realitätsnah sind da Ihre Demos?
Hanka: Wir können natürlich nicht alle Szenarien abbilden, aber wir haben ein paar repräsentative ausgewählt. Dabei handelt es sich um reale Komponenten verschiedener Hersteller. Der Kunde erkennt, dass es wie bei ihm im Unternehmen aussieht.
com! professional: Und welche Art von Angriffen können Sie simulieren?
Hanka: Wir haben ganz unterschiedliche Szenarien – das reicht von klassischen Man-in-the-Middle-Angriffen, bei denen sich Angreifer zwischen Leitstand und Industriesteueranlage schalten, über Phishing-Angriffe, die über die IT kommen und sich auf die OT auswirken, bis hin zu Angriffen auf Remote-Maintenance. Hinzu kommt ein Angriff auf physischer Ebene, der mit einem Software-Update startet.
