Schutz vor gezielten Angriffen und Systemausfällen immer wichtiger

Cybersicherheit in der Energieversorgung – ein oft unterschätztes Thema

Durch die Vernetzung von IT und OT (Operational Technology) sind Industrieanlagen, Steuerungssysteme und smarte Geräte plötzlich denselben Gefahren ausgesetzt wie die IT – oft jedoch ohne den entsprechenden Schutz. – von DI Herbert Dirnberger und DI Markus Riegler.

 

Die Energieversorgung ist eines der attraktivsten Ziele für gerichtete Angriffe. Stromausfälle stellen ein zentrales Risiko für eine funktionierende digitale Gesellschaft, die wirtschaftliche Stabilität und die Geschäftsfähigkeit dar. Dennoch finden sich auch in Österreich nach wie vor ungesicherte Industrie- und Steuerungsanlagen im Internet. Manche dieser Systeme, die ursprünglich gar nicht dafür gedacht waren, jemals online zu gehen, verfügen weder über Authentifizierung noch über Verschlüsselung. Sie können von jeder und jedem, der ihre IP-Adresse ausfindig macht, angesteuert werden.

Gefunden werden diese Maschinen, FTP-Server, smarten Gegenstände und Webinterfaces anhand offener Netzwerk-Ports über spezielle Suchmaschinen. In Sekundenschnelle spucken sie IP-Adressen, Ports, Geo-Daten, SSH- und HTTP-Einstellungen sowie Servernamen aus. Diese Daten können für Sicherheitsanalysen, aber auch für Angriffe genutzt werden – reale Risiken, die schwere und langwierige Folgen für die Sicherheit und Betriebsfähigkeit der Anlage nach sich ziehen können.

 

IT-Risiken als Bedrohung für OT-Systeme

Cyberangriffe können jedoch auch ohne den direkten Zugriff auf die Betriebstechnik ihre Wirkung entfalten, und nicht alle Angriffe sind zielgerichtet. Malware-Outbreaks treffen meist Unternehmen mit fehlenden oder mangelhaften Sicherheitsmaßnahmen und nicht funktionierenden Technologien. Im Regelfall wird die OT dabei durch die Risiken aus der IT bedroht: Die digitale Vernetzung ermöglicht ein Übergreifen von einem System auf das andere. Bereits 2019 wurde mit Ekans eine damals neuwertige Ransomware analysiert, die sich diese Tatsache aktiv zunutze gemacht hat: Sie verschlüsselte und löschte nicht nur IT-Systeme, sondern attackierte und stoppte, wo verfügbar, auch gezielt industrielle Steuerungsprozesse.

In der Industrie sind die Auswirkungen von Ransomware dramatisch. Meist stehen ganze Werke oder Produktionslinien still, einzelne Automaten und Systeme sind nicht mehr steuerbar, Produkte können nicht mehr in die hochautomatisierten Lagersysteme ein- bzw. ausgelagert werden. Viele Betriebe sind tagelang handlungsunfähig und benötigen für den Wiederanlauf externe Unterstützung. Die Wiederherstellung der Daten ist oft nicht möglich und Abläufe müssen komplett neu programmiert werden.

Die meist gesehenen und erfolgreichsten Angriffsvektoren, um initialen Zugang zu einem IT-System zu erlangen, sind nach wie vor Phishing und Spear Phishing-Kampagnen. Darunter fallen präparierte Rechnungen oder Aufträge, die Schadcode enthalten, ebenso wie Links zu infizierten Websites oder gefälschte E-Mails, die vorgeblich im Namen von Kolleg*innen oder Partner*innen verschickt werden. Mit freiem Auge sind Phishing-E-Mails heutzutage selbst bei höchster Aufmerksamkeit oft nicht mehr zu erkennen. Es gilt daher, E-Mail-Gateways mit geeigneter Software zu scannen und abzusichern, um die Gefahren zu minimieren.

Weitere klassische Schwachstellen, die sich in nahezu allen Betrieben finden, sind Remote Zugänge. Sie ermöglichen externe Zugriffe auf interne Systeme. Remote Access hat im Zuge der Homeoffice-Welle ein neues Hoch erlebt, ist aber auch im Normalbetrieb für Supportleistungen, Fernwartungen und Bereitschaftsdienste nicht wegzudenken.

Aus sicherheitstechnischer Perspektive stellen Remote-Zugänge immer eine gewisse Herausforderung dar. Oft werden sie im Rahmen von Projekten oder notwendigen Wartungsarbeiten schnell eingerichtet, unterliegen aber leider in den seltensten Fällen einer Kontrolle oder werden nach einem Projekt gar vollständig vergessen rückzubauen. VPN-Verbindungen, Benutzerkonten usw. sollen daher nach dem ‚principle of least privilege‘ nur auf die absolut notwendigen Ressourcen zugreifen können. Versehen Sie sämtliche Konten mit Multi-Faktor-Authentifizierung und erlauben Sie Arbeiten von betriebsfremden Personen ausschließlich nach Anfrage durch die Betriebsmannschaft sowie unter Aufsicht. Loggen Sie dabei alle Aktionen mit. Diese Grundsätze gelten unabhängig davon, ob auf ein IT- oder ein OT-System zugegriffen wird.

(Distributed-)Denial-of-Service-Angriffe kommen gänzlich ohne Malware oder Fremdzugriff auf das Zielsystem aus, können aber ebenfalls drastische Auswirkungen haben. Sie zielen darauf ab, Systeme durch massenhafte gleichzeitige Zugriffe oder Anfragen zu überlasten und zum Zusammenbrechen zu bringen. Die provozierten Funktionsausfälle können ein paar Minuten, aber auch mehrere Tage dauern. Ziel dieser Art von Angriffen ist meist, dem Opfer wirtschaftlichen Schaden hinzuzufügen. Es gibt aber auch bereits Ransom-DDoS-Attacken, die Lösegeld verlangen, um ihre Angriffe stoppen.

 

Network-Monitoring und Visibilität für Sicherheit und Resilienz

In der Praxis trifft die Etablierung von OT-Cybersecurity-Maßnahmen auf organisatorische Fragen. IT und OT befinden sich meist in unterschiedlichen Händen und Verantwortungsbereichen. Anforderungen und Ziele müssen abgestimmt sowie Zuständigkeiten geklärt werden. Die Konvergenz von IT und OT erfordert von beiden Seiten ein Neudenken: Es wird eine gänzlich neue Technologiewelt erschaffen, in der IT Bleeding Edge auf OT-Legacy trifft, mehr Maschinen und Prozesse als Menschen im Netzwerk kommunizieren und maximale Sicherheit mit maximaler Verfügbarkeit vereinbart werden muss.

Grundlegende Best Practice und erster Schritt für die Einführung von OT-Sicherheitsmaßnahmen ist es, Transparenz über die automatisierten Systeme zu schaffen. Erst dieser Gesamtüberblick über sämtliche Assets, Prozesse und möglichen Cyberrisiken erlaubt eine realistische Risikoabschätzung – sowie im Bedarfsfall frühzeitige Maßnahmen. Der Grundgedanke lautet, dass man nur schützen kann, was man sieht: Werden alle Maschinen, Prozesse, Zugriffe und relevanten Prozessvariablen sichtbar gemacht, kann die Mannschaft im laufenden Betrieb Anomalien erkennen, Schwachstellen absichern und vorausschauende Maßnahmen treffen, anstatt nur auf bereits spürbare Probleme zu reagieren.

Zusätzlich stärken Netzwerk-Monitoring und Visibilität die Resilienz gegenüber Störfällen. Anders als in der IT steht in der OT die Verfügbarkeit der Anlagen an erster Stelle. Cybersicherheit gelingt hier, wenn sie Ausfälle verhindert. In der Praxis nähert man sich diesem Ziel schrittweise: Mit der Segmentierung von Netzwerken können bereits erste Erfolge in Richtung optimierter Cybersicherheit erzielt werden. Auch eine gut ausgebildete Cyber-Hygiene – sichere Verbindungen, optimierte Konfigurationen, richtig gesetzte Passwörter… – ermöglicht einen sehr effektiven Schutzschild gegen Cybervorfälle.

Viele Schwachstellen können mit intelligentem Netzwerk-Monitoring erkannt und zum Teil auch abgesichert werden. Lernende Systeme und künstliche Intelligenz übernehmen dabei die Gefahrenerkennung und -beurteilung, sodass Informationen kontextbezogen kommuniziert werden. Ihre verantwortlichen Techniker erhalten so anstelle einer Datenflut relevante Erkenntnisse, können Vorgänge und Risiken einschätzen und mit entscheidendem Zeitvorsprung reagieren.

 

INFOBOX

PRAXISTIPP
Für die Planung einer ganzheitlichen IT/OT/IoT-Cybersicherheitsstrategie empfiehlt sich eine offene, zielgerichtete Vorgangsweise:

  • Bilden Sie interdisziplinäre, lösungsorientierte Teams – je bunter, desto besser.
  • Lernen Sie zuerst die Anforderungen und Hintergründe beider Welten – IT und OT – kennen.
  • Überdenken Sie interne Routinen und passen Sie diese an die neue Technologiewelt an.
  • Setzen Sie auf homogene Standards und erprobte Konzepte.
  • Holen Sie für langfristig tragbare Konzepte auch externe Expertise und Erfahrungen ein.

Weitere Informationen zum Thema IT-/OT-/IoT-Sicherheit finden Sie unter www.IKARUSsecurity.com/it-ot-iot-security.

 

 

Die Autoren

Ing. DI(FH) Herbert Dirnberger, MA, ist als führender Industrial Cyber Security Experte seit über 25 Jahren für die österreichische Industrie im Bereich Industrial IOT (Automatisierungstechnik, Gebäudetechnik und OT) tätig. Für IKARUS Security Software berät, unterstützt und schult er Unternehmen bei der Implementierung von Cyber-Sicherheitslösungen in OT- und IoT-Umgebungen. Ergänzend gibt er als Lektor an der FH St. Pölten im Studiengang Smart Engineering aktiv Wissen zu Industrial Cyber Security und Industrial IT Architekturen weiter.

DI Markus Riegler, MA,ist auf die Bereiche Security Operation, Cyber Defense, Incident Response, Threat Hunting und Cyber Threat Intelligence spezialisiert. Für IKARUS Security Software leitet er das Managed Defense Team, das Unternehmen aller Art beim Aufbau der eigenen Cyber Defense unterstützt sowie bei Bedarf das Incident Response Management von der Bedrohungsanalyse über die Spurensicherung bis hin zur Bereinigung übernimmt. An der FH St. Pölten unterrichtet er als Lektor im Masterstudiengang Information Security die Fachkräfte von morgen.