OT-Cybersecurity und Risikomanagement in der Prozessindustrie

Ist das Chaos nur ein paar Mausklicks entfernt? Bereits 2012 beschreibt der österreichische Schriftsteller Marc Elsberg in seinem Roman „Blackout“ die Folgen eines flächendeckenden Stromausfalls in ganz Europa, hervorgerufen durch einen einfachen Hackerangriff. Cyberattacken verbinden viele Menschen heute noch mit Dystopien – zu Unrecht. „Wir müssen uns den großen Knall gar nicht ausmalen, um auf die Gefahren für Staaten, Infrastruktur und Unternehmen hinzuweisen. Sie sind schon längst real“, meint Wolfgang Kiener, Head of Advanced Threat Center of Excellence bei TÜV Rheinland. Schon 2005 standen weltweit Anlagen in 13 vernetzten Daimler-Chrysler-Werken still, und 50.000 Fabrikangestellte konnten nicht mehr arbeiten – Grund war ein Computerwurm. 2010 fand der unter Stuxnet bekannte Angriff auf iranische Atomanlagen statt. Im April 2019 wurde bekannt, dass der Dax-Konzern Bayer bereits 2018 Opfer eines zielgerichteten Spionageangriffs war. Kurz darauf kam die Meldung, dass unter anderem Großkonzerne wie BASF, Siemens und Roche Opfer von Industriespionage durch einen Cyberangriff waren.

Nur jedes fünfte Industrieunternehmen ist geschützt

Die genannten Angriffe stellen nur einen kleinen Ausschnitt dar. Bedeutender ist die tendenzielle Entwicklung: von einem Wurm, der durch Zufall zu Ausfällen führt, zu gezieltem Cybercrime, Spionage und Terrorismus. „Es geht nicht darum, Angst zu schüren. Aber Unternehmen sollten handeln. Die Bedrohungen nehmen zu, und die Gefahr von Cyberangriffen auf Prozessanlagen und kritische Infrastrukturen steigt“, weiß Kiener. Im Schnitt dauert es heute rund 200 Tage, bis ein Unternehmen einen Angriff erkennt. Und je länger es dauert, eine Bedrohung zu erkennen und entsprechend zu reagieren, desto größer wird der Schaden.

Ein wesentlicher Angriffspunkt für Cyberattacken ist Operational Technology (OT), also Computersysteme, die Motoren, Ventile, Pumpen, Stromnetze und ganze Industrieanlagen steuern. Auch ältere Maschinen und Anlagen, die ursprünglich gar nicht dafür ausgerichtet waren, vernetzt zu werden, sind nun mit dem Internet direkt oder indirekt verbunden. Dadurch entstehen Schwachstellen. In der weltweiten Studie „Industrial Security in 2019“ fragte TÜV Rheinland 370 Firmen-Verantwortliche danach, wie Unternehmen und Organisationen ihre Industrieanlagen vor Cyberangriffen schützen. 40 % der Befragten gaben an, die Risiken noch nie untersucht zu haben. Zudem hat nur jedes fünfte Unternehmen seine Maßnahmen für Cybersecurity speziell auf Industrieanlagen zugeschnitten. Durch den Einzug des Industrial Internet of Things (IIoT), steigender Konnektivität und der Verwendung vernetzter Cloud-Infrastrukturen, spitzt sich die Lage weiter zu. Die Angriffsfläche wird unausweichlich steigen. „Viele Firmen wissen, dass sie in der Absicherung ihrer Anlagen hinterherhinken und wollen aufholen“, so Kiener.

OT-Cybersecurity erfordert neue Organisationsstrukturen

Die Verschmelzung von OT und IT muss auf Governance- und Management-Ebene unterstützt und gesteuert werden. Bild: TÜV Rheinland

Die wichtigste Hürde ist die Veränderung der Organisationsstrukturen und Definition von Verantwortlichkeiten. Fachbereiche in der Produktion verfolgen primär Ziele hinsichtlich kostenoptimierter Produktionsprozesse unter Berücksichtigung von Betriebssicherheit und Qualität. Cybersecurity kommt als komplexes Thema mit hoher Bedeutung hinzu. Produktionsabteilungen werden zunehmend fachliche Verantwortung für die Absicherungen von Anlagen gegen Cyberangriffe übernehmen. Die Verschmelzung von OT und IT muss auf Governance- und Management-Ebene unterstützt, gesteuert und beschleunigt werden. Im optimalen Fall sollten die Steuerung und Ausrichtung der operativen Teams (Engineering, Operations) in OT und IT durch ein unternehmensweites Risikomanagement und eine Cybersecurity-Governance erfolgen.

Standards und Best Practices

Mit der voranschreitenden Digitalisierung von Prozessen in der Automatisierung geht die Entwicklung einer Vielzahl von Standards in verschiedenen Gremien einher. Die Auswahl passender Standards und deren Anwendbarkeit stellt eine Herausforderung dar. Für die deutsche Chemieindustrie sind folgende Quellen ein passender Einstieg:

• Die internationale Normenreihe IEC 62443 zur IT-Sicherheit für Netze und Systeme in industriellen Kommunikationsnetzen behandelt branchenübergreifend alle Bestandteile für den sicheren Betrieb einer automatisierten Produktionsanlage (Systeme, Software und Anwendungen, Prozesse und organisatorische Aspekte).
• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem IT-Grundschutz-Kompendium (Edition 2019) den Baustein „IND: Industrielle IT“ mit Sicherheitsanforderungen zur Verfügung, die vor allem für kritische Infrastrukturen (Kritis) von Bedeutung ist.
• Die chemische und pharmazeutische Industrie konkretisiert im Arbeitskreis 4.18 Automation Security der Namur Interessengemeinschaft Automatisierungstechnik der Prozessindustrie unter anderem die IEC 62443 mit Anforderungen und Empfehlungen – etwa zu Patch-Management, Systemhärtung und sichere Architektur in der Prozessautomatisierung. Seit Dezember 2018 kooperieren Namur und BSI mit dem Ziel einheitlicher Vorgaben für Cybersecurity für funktionale Sicherheit.

Auch bei größter Sorgfalt werden sich jedoch nicht sämtliche Sicherheitslücken schließen lassen – vor allem, wo ältere Technologien zum Einsatz kommen. „Daher ist ein wichtiger Schritt – neben dem präventiven Schutz – die komplette Überwachung der Infrastruktur“, meint Sicherheitsexperte Kiener. „Ziel muss es sein, einen Angriff möglichst schnell zu entdecken und entsprechend zu reagieren.“

Top 10 Bedrohungen und Gegenmaßnahmen