Viren stellen bislang für Chemieanlagen die größte Gefahr im Hinblick auf die Anlagenverfügbarkeit dar.Bild: Weissblick – Fotolia

Zwei Drittel der deutschen Industrie sind von Datenklau, Spionage und Sabotage betroffen – der Schaden summiert sich laut IT-Verband Bitkom auf 22,35 Mrd. Euro pro Jahr.

Nach einer Studie des IT-Verbands Bitkom (Wirtschaftsschutz 2015) stehen Chemie- und Pharmaindustrie auf der Beliebtheitsskala der Angriffsziele an zweiter Stelle.

Die größte Tätergruppe für Datendiebstahl, Industriespionage oder Sabotage sind ehemalige und aktuelle Mitarbeiter, gefolgt von Lieferanten und Dienstleistern (Bitkom-Studie Wirtschaftsschutz 2015).

Mehr als zwei Drittel der Chemie- und Pharmaunternehmen in Deutschland hatten in den letzten zwei Jahren ein Cybersecurity-Problem. Besonders betroffen waren dabei die Bereiche Produktion sowie Forschung und Entwicklung. Und die Dunkelziffer ist hoch: Betroffene wenden sich selten an Ermittlungsbehörden, in der Regel werden IT-Securityvorfälle in den Unternehmen nur intern untersucht; meist sind die Täter ehemalige oder aktuelle Mitarbeiter. Doch das Problem ist noch deutlich größer, als Medienberichte über aktive Sabotage und Spionage sowieso schon vermuten lassen: Für die Verfügbarkeit von Chemieanlagen stellen Computerviren eine noch größere Gefahr dar.

Obwohl die meisten Unternehmen technische Maßnahmen wie Passwortschutz auf den Geräten, Firewalls und Virenscanner installiert haben und auch ihre Netzwerkverbindungen verschlüsseln, reicht dieser Basisschutz längst nicht mehr aus. Wie konkret die Bedrohung von außen ist, zeigte auch der Angriff auf ein deutsches Stahlwerk vor drei Jahren: Hacker hatten sich über gefälschte E-Mails an Mitarbeiter des Stahlherstellers Zugriff auf das Büronetzwerk verschafft und sich von dort aus bis in die Automatisierungssysteme der Produktion vorgearbeitet und schließlich die Steuerung eines Hochofens übernommen. In der Folge wurde die Anlage schwer beschädigt, der Schaden ging in die Millionen.

Default-Zustand: unsicher

Während es sich bei diesem Angriff um eine gezielte Attacke auf ein bestimmtes Ziel handelte, ist die Gefahr prinzipiell auch für jede andere Industrieanlage sehr gegenwärtig. Wie konkret, testete der TÜV Süd mit einer sogenannten Honigfalle (Honeynet): Dazu wurde die Wasserversorgungsanlage einer Kleinstadt mit realer Steuerungs-Hard- und Software simuliert. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Das Ergebnis erschreckt selbst hartgesottene Automatisierer: Innerhalb von acht Monaten verzeichnete der fiktive Betreiber über das Internet 60.000 Zugriffsversuche aus 150 Ländern, allen voran China und die USA.

Der IT-Security-Spezialist Kaspersky berichtete im vergangenen Jahr von 26.000 Steuerungsrechnern, die alleine in Deutschland via Internet erreichbar sind – die meisten davon (92 %) nutzen unsichere Internetverbindungsprotokolle, die Angreifern sogenannte „Man-in-the-Middle“-Attacken ermöglichen. Dazu kommt, dass die voreingestellten Passwörter der Steuerungshersteller häufig von den Anwendern nicht durch eigene ersetzt werden – offenbar in Unkenntnis darüber, dass die simple Suchmaschinenanfrage „scada passwords“ Listen der Default-Zugangscodes liefert, die von der „Netz-Community“ mit viel Liebe zum Detail aktuell gehalten werden (letztes Update: November 2016). Dazu kommt, dass manche Hersteller es gar nicht zulassen, Passwörter zu ändern. Kein Wunder, dass auch der Sachversicherer Allianz die Cybersecurity für das Risiko hält, auf das Unternehmen am schlechtesten vorbereitet sind.

Doch was tun? Maßnahmen, wie sie beispielsweise von der Regierung in Singapur ergriffen werden, kann sich die Industrie im Zeitalter der Industrie 4.0 nicht leisten: So hatte die Regierung in Singapur im vergangenen Jahr angekündigt, fast alle 100.000 Behördenrechner vom Internet trennen zu wollen. Als Antwort empfiehlt der IT-Verband Bitkom ein ganzes Bündel an Maßnahmen umzusetzen: Dazu gehört die Erhöhung der organisatorischen Sicherheit, die Sicherheit im Hinblick auf die Mitarbeiter zu verbessern, und schließlich Sicherheitszertifizierungen anzustreben, um zu erreichen, dass sich ein Unternehmen nachhaltig mit dem Thema Sicherheit und Cybersecurity auseinandersetzt.

In der chemischen und pharmazeutischen Produktion gewinnt insbesondere die IT-Sicherheit der Automatisierungssysteme (Automationsecurity) an Bedeutung. Mit der Namur Empfehlung NE 153 hat der Arbeitskreis 4.18 der Anwendervereinigung bereits vor zwei Jahren ein Papier vorgelegt, in dem die grundsätzlichen Anforderungen an zukünftige Automatisierungslösungen definiert werden. Die Automatisierungsanwender in der Prozessindustrie wollen damit erreichen, dass IT-Securitykonzepte und -funktionen künftig ein integraler Bestandteil der Automatisierungskomponenten werden, und damit auch selbstverständlich zum Funktionsumfangs dieser Lösungen gehören. Den Anwendern geht es insbesondere darum, die Komplexität von Automatisierungslösungen zu reduzieren, wenn IT-Security von vornherein Bestandteil einer Komponente ist. Denn derzeit werden technische Cybersecurity-Maßnahmen in der Regel zusätzlich aufgepfropft, was die Komplexität der Automatisierungsstruktur erhöht.

Risikoanalyse als Ausgangspunkt

Doch was können Anlagenbetreiber bereits heute tun? Der Chemieverband VCI beschreibt in seinem 2015 erschienenen „Leitfaden Automation Security“ Handlungsfelder und die wesentlichen Bestandteile eines Konzeptes für die IT-Security von Automatisierungstechnik. Demnach muss die Grundlage für ein Sicherheitskonzept eine Risikoanalyse für alle betroffenen Systeme und Komponenten in einer Produktionsanlage sein. Diese sollte zudem regelmäßig der aktuellen Bedrohungslage angepasst werden. Auf der Namur-Hauptsitzung im November 2015 wurden dafür Ansätze vorgestellt: So definiert die systembasierte Vorgehensweise das Risiko als Produkt aus der Wahrscheinlichkeit des Angriffs und den Auswirkungen eines erfolgreichen Angriffs. Um dieses zu quantifizieren, wurden in der für Steuerungs- und Leittechnik maßgeblichen Norm IEC 62443 (ehemals ISA 99) analog zum Safety Integrity Level SIL der Funktionalen Sicherheit vier Schutzziele (Security Level, Target Protection Level) definiert. SL-0 bedeutet, dass keine besonderen Anforderungen bestehen und keine besonderen Schutzmaßnahmen zu ergreifen sind, SL-4 steht dagegen für das höchste Schutzziel: den Schutz gegen vorsätzlich durchgeführte Angriffsszenarien mit hochentwickelten Hilfsmitteln. Wie hoch das aktuelle Schutzniveau in einer Anlage ist, wird dabei mit einem Fragebogen erfasst. Darauf aufbauend empfiehlt IEC 62443 die Einteilung des Automatisierungssystems in Zonen und Kommunikationsschnittstellen.

„IEC 62443 gibt generell gute Hinweise, um seinen Cyber Security Status zu verbessern, allerdings ist die Norm meiner Meinung nach von ihrer Wortwahl her zu kompliziert und zu EDV-lastig“, bewertet Thomas Wegner, Lead Security Architect beim norwegischen Düngemittel-Hersteller Yara, den Standard. Das Chemieunternehmen hat bereits früh eine eigene Vorgehensweise für die Bewertung von Cybersecurity-Risiken entwickelt: „Man muss den Automatisierungsingenieuren etwas an die Hand geben, das verständlich und praktikabel ist“, so Wegner. Seine Empfehlung: Ein Team, bestehend aus IT- und Automatisierungsingenieuren des Unternehmens, sollte die Inhalte der Norm in eine an das Unternehmen angepasste und für die Mitarbeiter verständliche Anleitung übersetzen: „Stelle fest, was Du hast, lege fest, was wichtig ist und schütze dann konsequent das, was wichtig ist.“ Als primäre Maßnahmen empfiehlt Wegner das per Firewall oder Daten-Diode getrennte Betreiben von kritischen Systemen in eigenen Netzwerken, deren vollständige Härtung sowie periodische Updates und konsequente Virenkontrolle.

Auch einfache Maßnahmen helfen, die Sicherheit zu erhöhen

Das mit Abstand größte Sicherheitsproblem im Hinblick auf die Anlagenverfügbarkeit stellen aus Sicht des Security-Experten Viren dar, die über USB-Sticks oder ungeprüfte Laptops in das Unternehmen gelangen. Bei Yara hat man – wie in vielen anderen Chemieunternehmen auch – deshalb USB-Anschlüsse gesperrt und werden Laptops vor dem Anschließen einer Virenprüfung unterzogen. Um das Bewusstsein bei Mitarbeitern und Dienstleistern zu erhöhen, werden USB-Anschlüsse nicht nur elektronisch deaktiviert, sondern mit farbigen Kunststoff-USB-Locks blockiert. Der physische Zugriff auf PC wird erschwert, indem diese in PC-Schränken weggeschlossen werden, die Kommunikation für Fernwartungsmaßnahmen muß manuell initiiert werden und ist Timer-gesteuert zeitlich limitiert. Zudem helfen E-Learning-Maßnahmen dabei, das Bewusstsein der Mitarbeiter für das Vermeiden von Cybersecurity-Risiken zu schärfen. „Die meisten Vorfälle passieren, weil Mitarbeiter nicht gut genug Bescheid wissen“, berichtet Wegner.

Um festzustellen, wie wirksam diese Maßnahmen sind, hat man bei Yara professionelle Computer- und Netzwerk-Penetrations-Tester beauftragt, in die Automatisierungs-System-Netzwerke einzudringen. Vor der Umsetzung konnten sich diese in anderthalb Tagen Zugriff verschaffen, nachher war es den Auftragshackern innerhalb von mehreren Wochen nicht mehr gelungen. Doch darauf ausruhen kann man sich nicht – damit Cyber Security nicht nur eine Modeerscheinung bleibt, empfiehlt Wegner die finanziellen Aufwendungen dafür im Safety-Budget unter zu bringen – denn „für Automatisierungs-Systeme gilt: ohne Cyber Security keine Safety“, so Wegner.

Zum Thema: Cybersecurity ist Pflicht!

Dass das Engagement der Betreiber in Sachen Cybersecurity keinesfalls nur freiwillig ist, wird im Leitfaden des VCI klargestellt: Der Betreiber steht durch Störfallverordnung (12. BImSchV) sowie Sicherheitsüberprüfungsgesetz (SÜG) in der Verantwortung, die Risiken seiner Produktion zu bewerten und Maßnahmen zur Risikoreduzierung zu ergreifen. Auch der Leitfaden empfiehlt die Anwendung der IEC 62443 sowie der VDI-Richtlinie 2182. Für sicherheitsgerichtete Systeme gelten zudem die IEC Normen 61508 und 61511. Für kritische Infrastrukturen (Kritis-Betreiber) – darunter die Erzeugung von Energie, Ernährung, Wasser – gilt seit Mai 2016 eine gesetzliche Meldepflicht für IT-Störungen.

Event: Security und Safety

Wie Cybersecurity und funktionale Sicherheit zusammenhängen, ist auch Thema der Veranstaltung „Optimierung von PLT-Schutzfunktionen“, die von Krohne, Auma, Hima, TÜV Nord, Samson und dem Ingenieurbüro Urban im Rahmen der Krohne Academy veranstaltet wird. Auf dem zweitägigen Workshop, der am 29. März in Duisburg sowie an zwei weiteren Terminen im September in Leipzig und München veranstaltet wird, geht es unter anderem um die Frage, wie sich eine Risikoanalyse durchführen lässt, welche Standards wichtig sind und welche Maßnahmen zur Steigerung der Sicherheit ergriffen werden können. Daneben informieren Referenten der Veranstalter über Möglichkeiten zur Optimierung von PLT-Schutzfunktionen. Die CHEMIE TECHNIK wird die Ergebnisse ihrer großen SIL-Umfrage vorstellen. Weitere Infos unter www.krohne.de/academy.

Thomas Wegner ist Lead Security Architect, Yara,"Versuchen Sie bloßnicht, von Anfang analles perfekt zu machen." Bild: Yara

Interview mit Thomas Wegner, Lead Security Architect bei Yara

„Keep it Simple“

CT: Herr Wegner, welches sind Ihrer Erfahrung nach die größten Cybersecurity-Risiken?
Wegner: An erster Stelle stehen Viren, die über die Büro-IT oder interne und externe Mitarbeiter, z.B. von Zulieferern, in das Automatierungs-Netzwerk gelangen. Mit konsequenter Virenkontrolle und USB-Locks haben wir 90 Prozent der uns bekannten Vorfälle in den Griff bekommen. Erst danach kommen unautorisierte Zugriffe, zumeist aus der Ferne, oft opportunistisch, wenn Automatisierungs-Netzwerke nicht hinreichend mit Firewalls oder Daten-Dioden geschützt sind. Anders als Hollywood uns glauben macht, ist hacken gar nicht so einfach und benötigt Zeit und Resourcen. Ein weiterer Aspekt sind Default-Passwörter, die unbedingt geändert werden müssen: Bei 90 % der von uns registrierten Versuche, in unsere Systeme einzudringen, versuchen Angreifer die in IT- und Automatisierungssystemen herstellerseitig voreingestellten Passwörter zu nutzen. Lässt man ein voreingestelltes Passwort unverändert, dann ist das wie eine Haustür, an der der Schlüssel von außen steckt.

CT: Was sollten Lieferanten von Automatisierungstechnik tun, um die Systeme sicherer zu machen?
Wegner: Die Systeme sollten bereits im Auslieferungszustand gehärtet sein: So sollten die Anwender bzw.  Inbetriebnehmer beispielsweise gezwungen werden, Default-Passwörter zu ändern. Die aus der IT-Welt vorherrschende Denkweise, dass Systeme zunächst offen sind, und dann je nach Anwendung gehärtet werden, sollte für Automatisierungstechnik und insbesonders Embedded-Systeme umgekehrt werden: Die Systeme sind dann per Default „zu“ und müssen für die Inbetriebnahme explizit geöffnet werden. Außerdem sollten die Systeme, beispielsweise bei der Konfiguration einer Firewall, den Anwendern in möglichst einfachen Worten mitteilen, was zu tun ist. Die Systeme müssen es dem Menschen einfach machen, das Richtige zu tun. Wenn Sicherheit voraussetzt, dass man vorher umfangreiche Anleitungen studieren muss, dann bleibt die Sicherheit allzuleicht auf der Strecke.

CT: Was empfehlen Sie Anlagenbetreibern, die sich bislang nicht oder kaum mit dem Thema IT-Security auseinandergesetzt haben?
Wegner: Erstens: Stellen Sie fest, was sie denn so an Computer-basierten Automatisierungs-Systemen haben; Zweitens: Legen Sie fest, was davon wichtig ist, z.B. indem Sie sich vorstellen, ein Virus legt es lahm oder ein Hacker steuert es inkompetent aus der Ferne, und drittens: Konzentrieren Sie sich ganz schnell auf das, was wichtig ist! Kritische Automatisierungs-Systeme und -Netzwerke vom Büro-Netzwerk abtrennen, Systeme härten, periodisch Updates einspielen und den Virenschutz nicht vernachlässigen. Und versuchen Sie bloß nicht, von Anfang an alles perfekt und richtig zu machen – das verzögert nur den Start. Fangen Sie einfach an, das ganze wird dann schnell zum Selbstläufer. Just do it, nie aufgeben, und immer dranbleiben.

CT-Artikel „IT-Sicherheit ist Chefsache – Internetkriminalität und Wirtschaftsspionage“ aus  CT 03/2015.

Interaktive Landkarte der aktuellen Cyber-Attacken von Norse Corp.

BSI-Lagebericht IT-Sicherheit in Deutschland 2016 (PDF, 3MB)