Autor: Mathis Bayerdörfer | Redakteur SPS-Magazin 

Sicherheit geht immer

Sicherheit geht immer. Und so solle man doch einfach das Thema Security für einen Artikel wählen, wenn einem nichts anderes einfällt – könnte man überspitzt sagen. Doch es lohnt sich wirklich, wieder einmal darüber zu schreiben. Denn aktuell prägen viele verschiedene Einflüsse die IT- und Datensicherheit in der produzierenden Industrie: der durch die Pandemie ausgelöste Remote-Boom, die steigende Zahl an zielgerichteten Attacken auf die Fertigungsindustrie oder auch der Versuch, gesetzliche Regularien für mehr Sicherheit im IoT zu schaffen.

Corona hat zu einem Boom für Remote-Lösungen geführt. Nicht nur im Homeoffice, sondern auch bei der Online-Anbindung von Maschinen und Anlagen. Konnte es nach Meinung der Betreiber in der Vergangenheit nicht sicher genug sein, so kann es jetzt in vielen Fällen nicht schnell genug gehen – und möglichst unkompliziert. Wohl den Anbietern, die entsprechende Technik und Lösungen im Portfolio haben. Sie konnten durch Covid19 eine Menge Geld verdienen. Fernab von Masken-Deals und ethischen Grauzonen.

Doch wo Licht ist, ist bekanntlich auch Schatten. Die zunehmende Zahl an IoT-Devices in der Industrie lockt auch die Cyberkriminellen an. Zwar widersprechen sich die Studien, was die reine Menge der Angriffe angeht – der einen Untersuchung nach ist die Anzahl von allgemeinen Cyberattacken auf Industrieunternehmen im Jahr 2020 leicht gesunken, einer anderen nach ist sie gegenüber 2019 leicht angestiegen. Doch unabhängig von der ganz genauen Zahl wurden in Summe wohl rund 33 Prozent der weltweit am IoT hängenden Steueurungssysteme im zweiten Halbjahr 2020 angegriffen. Und alle Marktbeobachter sind sich einig: Die Qualität der Angriffe ist gestiegen, die Malware fokussierter auf die Industrie zugeschnitten, sowie komplexer und schwerer zu erkennen. Hacker nehmen zielgerichtet fertigungsspezifische Schwachstellen ins Visier.

In der Folge feiern sie öfter Erfolge. Aus einer Umfrage von Trend Micro in den USA, Deutschland und Japan ging hervor, dass mehr als 60 Prozent der produzierenden Unternehmen bereits Erfahrungen mit solchen, speziell auf sie abzielenden Cybervorfällen gemacht haben. Bei drei Viertel davon gab es Systemausfälle, die zu 43 Prozent länger als vier Tage dauerten. Durch die digitale Transformation in der Industrie und deren Ausrichtung auf Smart-Factory-Anwendungen, kommt es zu einer Wahrnehmungslücke zwischen IT- und OT-Cybersecurity, so heißt es von Seiten der Studienmacher. Das Risiko der neuen Technologien wird oft unterschätzt. Entsprechend gibt es bei vier von zehn Unternehmen keinerlei Compliance-Regeln für IoT-Geräte in der Produktion. 22 Prozent verlassen sich komplett auf vertragliche Regelungen seitens der Hersteller. Nur 11 Prozent führen eine Bedrohungsanalyse durch. Lediglich 28 Prozent setzen immerhin auf Penetration Testing. Intrusion Detection findet immerhin bei 37 Prozent der befragten Unternehmen statt.

Der Internet-Verband Eco wünscht sich unter anderem deswegen höhere Sicherheitsstandards im IoT. Egal ob Consumer-Geräte oder Remote-Lösungen in der Industrie: Es sei für Anwender kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind. Hersteller sollten Sicherheitsaspekte also schon bei der Entwicklung und beim Design neuer Lösungen mitdenken und implementieren. Eine gesetzliche Grundlage und den rechtlichen Rahmen für entsprechende Bemühungen soll das kommende – und vielseitig diskutierte – IT-Sicherheitsgesetz 2.0 bilden. In seiner aktuellen Form genügt es jedoch verschiedenen Seiten nicht.

Der Branchenverband Bitkom attestiert dem IT-Sicherheitsgesetz wenig Wirksamkeit und Mehrwert: Es handle sich um eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken. Der ZVEI kritisiert, der Entwurf bleibe hinter den Erwartungen der Elektroindustrie zurück. Es fehle eine effiziente und effektive Adressierung von Schutzzielen der IT-Sicherheit. Laut Verband wurde zudem eine Chance verpasst, das Gesetz international auszurichten.

Doch es gibt auch positive Stimmen, die dem Entwurf beispringen: „Das Gesetz ist lange überfällig und inkludiert endlich alle IoT-Devices“, sagt Rainer M. Richter vom Sicherheitsanbieter IoT Inspector. Das jüngste Beispiel in den USA – hier wurden Produkte von fünf bekannten Unternehmen aus Sicherheitsgründen für den gewisse Einsätze verboten – zeige, wie wichtig eine Regulierung für solche Geräte ist. Entsprechend sind also auch in Deutschland die Betreiber kritischer Infrastrukturen ab 2022 verpflichtet, Systeme zur Angriffserkennung einzusetzen. „Solche Schritte sind richtig und konsequent, denn die Bedrohungslage durch Cyberkriminalität in Deutschland bleibt auf einem angespannt hohen Niveau“, sagt auch Arne Schönbohm, Präsident des BSI. Welche Auswirkungen erfolgreiche Cyberangriffe auf Industrielle anlagen tatsächlich haben können, sieht man am Beispiel der Colonial-Pipeline, die jüngst durch Hacker lahmgelegt wurde. Dieser Vorfall sorgte an so manchem Ort der USA für Benzinknappheit.

Doch was können Unternehmen konkret tun, um sich besser zu schützen? Aufmerksamkeit in den eigenen Reihen schaffen ist ein erster wichtiger Schritt: So ist die häufigste betriebsorganisatorische Änderung bisher die Ernennung eines Chief Security Officers (CSO). Experten empfehlen darüber hinaus verschiedene weitere Maßnahmen: vom regelmäßigen Austausch von Daten zu einzelnen Bedrohungen, über die Anwendung von Security-by-Design-Konzepten, die Reduzierung von Eindringrisiken an Datenaustauschpunkten oder Software zur Anomalieerkennung. Es lassen sich also durchaus einige Hebel in Bewegung setzen. Und noch was: Gut informiert bleiben – über verfügbare Lösungen, Technologietrends und neue Bedrohungen. Fachmessen wie die All About Automation bieten eine gute Gelegenheit, um sich mit Sicherheitsexperten, IoT-Spezialisten und Anbietern von modernen Remote-Zugriffslösungen auszutauschen.

Mathis Bayerdörfer

Redakteur SPS-Magazin

in Kooperation mit unserem Premium Medienpartner SPS-Magazin