Das Aufkommen der Industrie 4.0 ebnet den Weg für neue Risiken im Bereich der Cyber-Sicherheit. Sie können von Mitbewerbern, kriminellen Organisationen oder sogar feindseligen Staaten stammen und beeinträchtigen diese ultravernetzte Industrie auf verschiedenste Weise. In diesem Sinne müssen also auf allen Ebenen Vorkehrungen getroffen werden.
In der Familie der industriellen Malware
Nach Stuxnet, in der Familie der industriellen Malware gibt es Nachwuchs: „Triton“. Er ist auch unter dem Namen „Trisis“ oder „HatMan“ bekannt und der jüngste Spross seiner Art. Darüber hinaus hat er die Eigenart, in der Geschichte der industriellen Cyberangriffe sich einen wirklichen Namen gemacht zu haben. Ende 2017 wurde dieser beeindruckende Angriff gegen einen Industriestandort im Mittleren Osten geführt, dessen Identität unbekannt ist. Dieser Cyberangriff war wohl ein Fehlschlag, hätte im Falle des Erfolgs jedoch den Betrieb der Anlage umfassend stören können.
Seitdem gab es zahlreiche Cyberangriffe gegen industrielle Infrastrukturen auf der ganzen Welt, wobei die offizielle Anzahl von den öffentlichen Mitteilungen solcher Angriffe abhängt. Alleine im Dezember 2018 wurden zwei Großangriffe verzeichnet: Der erste, eine Variante der Malware Shamoon, infizierte das Informationssystem des italienischen Erdölkonzerns Saipem; der zweite hatte einen verspätete Lieferung mehrerer großer Tageszeitungen in den USA zur Folge, wie der Los Angeles Times.
Dieses Jahr gibt es keine Anzeichen, dass diese Risiken nachlassen werden. Ganz im Gegenteil. Zum Zeitpunkt der Industrie 4.0, der Entwicklung des industriellen Internets der Dinge (IIoT), der Digitalisierung der Fabriken und der mit künstlicher Intelligenz versehenen Technologien werden die industriellen Netzwerke (OT) immer vernetzter und kommunizierender, insbesondere mit den IT-Netzwerken (Informationssysteme des Unternehmens). Diese ultrahohe Verbundenheit hat immer mehr Gefahren zur Folge.
Der Aufschwung der machine to machine-Kommunikation, bei der das menschliche Eingreifen nicht mehr erforderlich ist, oder die Entwicklung digitaler Zwillinge (digitale Nachbildungen einer Ausrüstung oder eines Systems) leisten zur Erweiterung der Angriffsoberfläche der Unternehmen ebenfalls einen Beitrag. Dabei darf man jedoch nicht vergessen, dass die Kette der Cyber-Sicherheit lediglich so stark ist wie ihr schwächstes Glied. Aufgrund der immer höheren Anzahl an Eintrittspunkten müssen die Verbindungen zwischen diesen verschiedenen Netzwerken also stärker geschützt werden. Dies entwickelt sich nun zu einer strategischen Herausforderung, um auf effiziente Weise die kritischen Industrieumgebungen zu schützen.
Die wichtigsten Angriffe auf die Industrie 2019 angehen
Die wichtigsten Angriffe auf die Industrie stammen aus drei Gruppen:
- die eigenen Akteure im Rahmen von Industriespionage,
- Cyberkriminelle im Rahmen von Massenangriffen (des Typs WannaCry),
- feindselige Staaten im Rahmen von Cyberwarfare („Cyberkrieg“ auf Deutsch).
Die Ersten versuchen einen Wettbewerbsvorteil zu erreichen, die Zweiten Geld zu machen und die Letzten das Land zu schwächen, in dem sich das Angriffsziel befindet.
Gegen seine eigenen Mitbewerber kann ein Unternehmen weniger mit denselben Waffen kämpfen. Der Grund hierfür liegt darin, dass das angreifende Unternehmen generell die Ausrüstung seiner Mitbewerber gut kennt – da es diese selbst verwendet – und über die erforderlichen Informationen verfügt, um sein strafbares Vorgehen durchzuführen.
Der Cyberkriminelle wiederum verfügt nicht über diese Informationen. Er sucht sich kein Ziel aus, sondern visiert die im Sektor am häufigsten genutzte Ausrüstung, die eine Sicherheitslücke aufweist (z. B.: Windows XP, IP-Kameras, Router usw.). Mit dem Aufschwung des IIOT und der digitalen und verbundenen Anlagen der Industrie 4.0 ist die Versuchung groß, eine der neusten Ausrüstungen zu wählen. Der vorsichtige Ansatz lautet jedoch, stets die Ausrüstung zu wählen, die den besten Cyberschutz bietet.
Von Staaten ausgehende Angriffe sind für die Unternehmen am schwierigsten zu erfassen. Denn es ist äußerst schwierig, dieses statistisch gesehen sehr niedrige Risiko zu integrieren, da der Angreifer sowohl auf finanzieller Ebene als auch in der Zahl seinem Ziel weitaus überlegen ist. Dies gilt umso mehr, da die Sicherheits- und Cyber-Sicherheits-Teams eines Unternehmens für gewöhnlich die Risiken in Abhängigkeit ihrer Wahrscheinlichkeit, einen Vorfall auszulösen, einstufen und handhaben.
Bewährte Praktiken einführen
Sobald die potenziellen Cyberangriffe auf die Industrie, ihre Motivation und ihre Kapazitäten identifiziert wurden, gilt es für das Unternehmen, gewisse Grundregeln zu beachten:
- sich zu vergegenwärtigen, dass dies nicht nur den anderen passiert,
- zu wissen, dass jedes System fehlbar ist und diese Fehlbarkeit mit der Zeit stetig ansteigt,
- seine Ausrüstungen und ihre Kommunikationsmittel kartografieren,
- alle Mitarbeiter ohne Ausnahme für sämtliche Arten Cyberangriffe einweisen und sensibilisieren, um sie zu eventuellen Gefahrenmeldern auszubilden,
- die kritischen Bereiche und möglichen Angriffsszenarien identifizieren,
- Verfahren zur Reaktion auf erfasste Angriffe einführen,
- die verschiedenen Vorschriften (LPM, NIS usw.) erfüllen, oder sollten diese keine direkte Anwendung finden, sie zur Kenntnis nehmen und als Leitfaden für bewährte Praktiken ansehen.
Schließlich ist die beste Lösung, ein Cyber-Sicherheits-Team einzuweisen, das sowohl Experten für Sicherheit als auch für Cyber-Sicherheit umfasst. Somit verfügt das Unternehmen über operative Kenntnisse, die Kenntnis der Feindseligkeiten und ihrer zugehörigen Risiken.
