Chancen und Grenzen der Security-Automatisierung in Industrieunternehmen
In der Fertigungsindustrie droht der perfekte „Cybersturm“. Doch es gibt einen Ausweg: Nämlich möglichst weite Teile der Prävention, der Aufklärung und des Abwehrmanagements zu automatisieren.
Nirgendwo wächst die Zahl der Angriffe schneller als in der Fertigungsindustrie. Und nirgendwo sonst ist der Wirkungsgrad erfolgreicher Hacks höher. Ungeachtet dessen fällt es den Unternehmen zunehmend schwerer, geeignete Sicherheitsexperten „in Stellung zu bringen. Daher ist es höchste Zeit, eine der größten Tugenden der industriellen Fertigung jetzt auch auf die Cybersecurity anzuwenden und möglichst weite Teile der Prävention, der Aufklärung und des Abwehrmanagements zu automatisieren.
Es ist längst Zeit für einen „Weckruf“
Kaum etwas ist zäher als eine gute Legende. Dass industrielle Betriebstechnik (Operational Technology, OT) ein trutziges Bollwerk gegen Wirtschaftsspionage und Cyberkriminalität sei, ist eine solche Legende. Sie gründet auf der Annahme, dass die Proprietät der in den Fertigungsanlagen verbauten OT-Systeme kaum Ansatzpunkte für Kompromittierungen böte. Weitgehend losgelöst von der Informationstechnik (IT)-Welt und dem Internet galten die Steuerungssysteme (Industrial Control Systems, ICS) daher als wirksam geschützt vor unautorisierten Zugriffen.
In der Regel ist jedoch das Gegenteil der Fall. Ein erster Weckruf, wie verwundbar gerade auch die Steuerungstechnik ist, liegt nun schon zwölf Jahre zurück. Er ging von der Schadsoftware Stuxnet aus, die das iranische Atomprogramm erfolgreich angriff. Unablässig wächst seither die Menge gut dokumentierter Vorfälle, in denen Leittechnik erfolgreich kompromittiert wird.
Immer mehr Sicherheitslücken rücken in den Fokus
Wie hoch das Risiko eines Angriffs ist, zeigt die Zahl der aufgedeckten Sicherheitslücken, die ebenfalls stark zunimmt. Allein für das zweite Halbjahr 2021 zählt der US-amerikanische Sicherheitsspezialist Claroty insgesamt 797 veröffentlichte ICS-Schwachstellen. Gegenüber den ersten sechs Monaten desselben Jahres ist dies ein Anstieg von 25 Prozent.
Mindestens genauso stark wächst die Zahl der Angriffe. So etwa im Bereich Ransomware („Erpresser-Software“), wo Hacker die IT als Einfallstor nutzen, um in die Steuerung von Produktionsanlagen einzudringen und diese temporär lahmzulegen. Die oben erwähnte Studie kommt zu dem Ergebnis, dass im vergangenen Jahr 80 Prozent der kritischen Infrastrukturen von solchen Attacken betroffen waren. Jeder zweite Angriff habe sich bis auf die OT-Ebene durchgeschlagen, so Claroty.
Damit hat die Industrie den Finanzsektor als Angriffsziel Nummer 1 abgelöst. Dies bestätigt auch der jüngste „Threat Intelligence Index“, den Sicherheitsforscher der IBM alljährlich veröffentlichen. Demnach finden 23 Prozent aller Ransomware-Angriffe in den Wertschöpfungsketten der Industrie statt. Für Deutschland beziffert der Index den Anteil sogar auf 31 Prozent.
Doch Vorsicht: Der Umstand, dass sich das Gros der Angriffe auf das Erpressen von Lösegeld konzentriert, darf nicht davon ablenken, dass sich die Lage im Bereich der Industriespionage ebenfalls zuspitzt. Hier haben es die Unternehmen mit wesentlich komplexeren Vorfällen zu tun. Diese dauern oft über Monate und zum Teil sogar Jahre, ohne erkannt zu werden. Ziel dieser sogenannten Advanced-Persistent-Threat-Angriffe (APT) ist es, Produkt- und Prozesswissen abzuschöpfen sowie Informationen über die Sicherheitsarchitektur von Produktionsumgebungen zu gewinnen, um weiterführende Hacks vorzubereiten.
Hintergrundwissen: Das Angriffsziel „Modbus“
Mehr und mehr rücken Anlagensteuerungen ins Zentrum der APT-Angriffe. Einer der meistgenutzten Vektoren läuft über Modbus, einem weitverbreiteten Kommunikationsstandard, den Maschinen- und Anlagenbauer nutzen, um speicherprogrammierbare Steuerungen (engl. Programmable Logic Ccontroller, PLC) zu erstellen. An deren bevorzugter Schnittstelle in die IT-Netze (Port 502) stieg die Zahl der Sicherheitsvorfälle laut einer Erhebung von IBM zwischen Januar und September 2021 um mehr als das 22-Fache. Da die Sicherheitsfunktionen von Modbus eingeschränkt sind, können Angreifer, sobald sie ein zugängliches Gerät gefunden haben, die damit verbundene Leittechnik kompromittieren.
Attacken sorgen für hohen Automatisierungsbedarf
Ungeachtet dessen schreitet die Integration der OT- und IT-Netze weiter voran. Zusätzliche Komplexität entsteht durch das industrielle Internet der Dinge (engl. Industrial Internet of Things, IIoT). Gemeint ist der Rollout cyberphysischer Systeme (zum Beispiel intelligenter Werkzeuge), die eigenständige Prozessentscheidungen treffen und hierzu Daten mit anderen Komponenten austauschen, die ebenfalls Teil einer IIoT-Umgebung sind. Parallel dazu wächst die Komplexität der überbetrieblichen Kommunikation. Treiber sind Industrieplattformen, die es den Unternehmen erlauben, ihre Zulieferer über Cloud-Lösungen in die Wertschöpfung einzubinden.
Entsprechend stark nimmt die Zahl der Angriffspunkte zu. Um die eingesetzten ICS-Lösungen und die Datenkommunikation zwischen den Systemen zu schützen, wird es daher immer dringlicher, bei Aufbau und Betrieb der Lösungen Sicherheitsaspekte in den Vordergrund zu stellen. In der Aufbauphase geht es um eine Sicherheitsarchitektur, die den Schutz der Systeme bereits im Design gewährleistet. Im laufenden Betrieb gilt es, die Mitarbeitenden in den dafür zuständigen Security Operation Centern (SOCs) zu entlasten.
Können Software-Roboter die Mitarbeitenden unterstützen?
Doch was genau eignet sich zur Automatisierung? Hier hilft es, sich zu vergegenwärtigen, worin die Kernaufgaben eines SOCs bestehen. Dabei zeigen sich drei zentrale Tätigkeitsfelder: Erstens das Aufklären von Vorfällen, zweitens das Treffen von Entscheidungen, wie zu handeln ist, und drittens die Durchführung der Gegenmaßnahmen. Generell lässt sich feststellen, dass Software-Roboter, kurz Bots, vor allem in der Aufklärung und zum Teil auch in der Abwehr große Stärken entwickeln. Letzteres zeigt sich vor allem dann, wenn es um die Bekämpfung automatisiert vorgetragener Angriffe geht.
In der Phase der Strategie- und Taktikfindung dominiert bis auf Weiteres der Mensch. Hier geht es darum, die Handlungsziele der Angreifer zu erkennen. Dabei gilt es, sich in die Interessens- und Motivationslage eines menschlichen Gegenübers hineinzuversetzen. Selbst hoch entwickelte KI-Systeme können hier bislang nur zuarbeiten. Die eigentliche Arbeit, das heißt die Bewertung und die Entscheidungsfindung, bleibt die Domäne der Analysten. Diese brauchen jedoch Freiräume, um sich mit voller Kraft auf die Vorfälle mit dem höchsten Gefährdungspotenzial zu konzentrieren.
Was also lässt sich bereits jetzt an die Bots delegieren?
Aktuell stehen folgende Aspekte im Vordergrund:
- Alarmmanagement: Mit dem exponentiellen Anstieg des zu überwachenden Datenverkehrs explodiert vielerorts die Zahl der Alarme. Automatisiert arbeitende Softwareagenten sorgen für eine konsolidierte Sicht, indem sie zum Beispiel falsch-positive Warnungen vorfiltern und zusammengehörige Warnmeldungen gruppieren.
- Anomalieerkennung: Software-Bots untersuchen die gesamte Netzwerkkommunikation auf abweichende Verhaltensmuster. Aktuell ist dies derjenige Security-Bereich, in dem KI und Maschinelles Lernen den größten Nutzen bringen.
- Data Leakage/Loss Prevention: Das Aufdecken und Vermeiden von unerwünschten Datenabflüssen ist eines der zentralen Anwendungsgebiete der automatisierten Anomalieerkennung.
- Advanced Endpoint Detection & Response: Das industrielle Internet der Dinge und der Mobilfunkstandard 5G lassen die Zahl der zu überwachenden Endpunkte ebenfalls rasch in die Höhe schnellen. Mit dem Einsatz von KI und Maschinellem Lernen können Angriffe über beliebig viele Endpunkte hinweg analysiert und bekämpft werden.
- Asset Management: Bot-Lösungen bereiten umfassende Informationen zu allen Geräten auf, die Teil der zu überwachenden Netze sind. Permanent werden zum Beispiel Betriebssystem, Firmware, Patch-Stände und die installierte Software überprüft. Zudem erfolgen Warnungen, wenn Geräte über keine ausreichende Autorisierung verfügen.
- Schwachstellenanalyse: KI-gestützte Bot-Systeme scannen große OT-Umgebungen auf bereits bekannte Schwachstellen, um vor relevanten Angriffsszenarien zu warnen.
- Threat Intelligence: Hier geht es darum, externe Quellen einzubinden, um die Bedrohungslage im firmenübergreifenden Kontext zu analysieren. KI-Systeme helfen, entsprechende Muster auch in unstrukturierten Daten zu erkennen.
Die Stunde der SOC-Dienstleister
Angesichts der großen Bandbreite an Automatisierungsmöglichkeiten gibt es eine Vielzahl an Softwareherstellern, die mit zum Teil völlig neuartigen Sicherheitsprodukten an den Markt gehen. Für die Security Operation Center ergibt sich daraus die ständige Notwendigkeit, eine passende Auswahl (engl. Best of Breed) zu treffen und diese auf die Anforderungen der jeweils zu schützenden OT-Umgebung anzupassen.
Zusätzlich zur Bedrohungslage wird damit also auch das Sicherheitsmanagement immer komplexer. In dieser Gemenge-Lage sehen sich selbst Industriekonzerne kaum noch in der Lage, die unterschiedlichen Aufgaben rein aus eigener Kraft zu lösen. Mehr denn je schlägt damit die Stunde spezialisierter Dienstleister. Viele dieser Dienstleister adressieren nun auch den Mittelstand. Mit jedem Neukunden erzielen sie Skaleneffekte, die es ihnen ermöglichen, mittelstandsgerechte Preise zu machen. Der Weg führt über Mietmodelle, mit denen die Kunden ihre Kapitalkosten auf ein Minimum zurückfahren. Gleiches gilt für die Personalkosten. Zumal man Zugriff auf erfahrene Security-Fachkräfte erhält, die aus Sicht des meisten Industriekunden kaum noch rekrutierbar sind.
Gleichzeitig profitieren die Kunden aber auch fachlich. Denn wie kaum ein anderer Akteur im Markt sind SOC-Dienstleister in der Lage, aktuelles Gefährdungs- und Abwehrwissen zu bündeln, um es ähnlich organisierten Anwenderunternehmen, aber auch Sicherheitsforschern und OT-Produzenten zeitnah zur Verfügung zu stellen. Somit entsteht „Waffengleichheit“ gerade auch mit solchen Angreifern, die über Ressourcen verfügen, die die Abwehrmittel des attackierten Einzelunternehmens deutlich übersteigen. Vor diesem Hintergrund bieten Automatisierungsprogramme und der Rückgriff auf erfahrene SOC-Dienstleister den wirksamsten Schutz, um die steigenden Bedrohungen aufzufangen und die eigene Handlungsfähigkeit als Unternehmen dauerhaft sicherzustellen.
Kein „Blindes Vertrauen“
Dennoch muss jedes Unternehmen nach wie vor auch die SOC-Anbieter kontrollieren und in die eigene Sicherheitsarchitektur einbinden. Jüngste Attacken auf genau diese Dienstleister zeigen, dass niemand vor Angriffen vollständig gefeit ist. Daher gilt es, das Risiko zu analysieren und passende Schutzmaßnahmen zu planen. Entsprechende Vorkehrungen helfen den Auftraggebern und ihren Dienstleistern, im Falle eines Angriffs gemeinsam handeln zu können.
Das könnte Sie auch interessieren:
Keine vernetzte Produktion ohne sichere Netzwerke
Digitalisierte Werkzeugmaschine: Der Tool-Halter dirigiert die Steuerung
Smart Financing beschleunigt die digitale Transformation der Industrie
Frank Heuer (Foto: ISG) und Andreas Dietrich arbeiten für das Marktforschungs- und Beratungsunternehmen ISG – Information Services Group – mit deutschem Sitz in Frankfurt/Main.