Die Leistungsfähigkeit industrieller Anlagen nimmt durch ihre zunehmende Vernetzung und Digitalisierung erheblich zu. Als unerwünschte Nebenwirkung wächst allerdings auch die Angriffsfläche für Probleme der IT-Security. Daher kommt einem geeigneten Risiko-Management eine steigende Bedeutung zu. Beim Aufbau eines passenden Konzepts sind wichtige Details zu beachten, um erfolgreich zu agieren.

Der Unterschied zwischen den in der Produktion genutzten Automatisierungsanlagen und den IT-Systemen des Büroumfelds besteht im Wesentlichen darin, dass in der Fabrikhalle ein technischer Prozess realisiert ist. Daraus ergeben sich Besonderheiten, die beispielsweise die Lebensdauer der Anlagen oder eingeschränkte Möglichkeiten für Änderungen betreffen. Aktuelle Vorfälle wie die ungezielten Angriffe WannaCry und NotPetya zeigen, dass Malware massive Schäden auslösen kann. Im Juni 2017 war die Unternehmensgruppe Møller-Mærsk von der Verschlüsselungssoftware betroffen. Sie legte deren Computersysteme so zeitweise lahm. Der angerichtete Schaden soll sich auf 200 bis 300 Millionen Dollar belaufen. Über gezielte Angriffe, wie sie im Bereich der Industriespionage vorkommen, gelangen selten Informationen an die Öffentlichkeit, sodass sich eine Einschätzung der Bedrohungslage als schwierig erweist.

Ein Modell der Richtlinienreihe VDI/VDE 2182 illustriert das grundsätzliche Vorgehen im industriellen IT-Risiko-Management. Wesentliche Aufgabe der IT-Security ist es, die Schutzobjekte abzusichern – also die Unternehmenswerte und Geschäftsprozesse. Aus den Bedrohungen, denen die Schutzobjekte ausgesetzt sind, etwa dem Abfluss von Know-how, Störungen oder gar Stillstand des Automatisierungssystems, ergeben sich dann die jeweiligen Schutzziele wie Verfügbarkeit, Integrität und Vertraulichkeit von bestimmten Systemen, Anlagen oder Informationen.

 

Einfach erfass­bare Matrix zur Risikobewertung. Bild: Phoenix Contact

Schadenshöhe und Eintrittswahrscheinlichkeit

Damit sich effiziente Gegenmaßnahmen festlegen lassen, ist eine Risikobewertung durchzuführen, in die die Höhe und Eintrittswahrscheinlichkeit eines Schadens eingehen. Die Schadenshöhe lässt sich entweder qualitativ oder finanziell darstellen. Bestenfalls kann ein Betreiber den Schaden geldmäßig beziffern, um die Angemessenheit von Gegenmaßnahmen beurteilen zu können. Handelt es sich um eine Bedrohung gegen die Verfügbarkeit, ist dies meist möglich. Schäden durch den Abfluss von Know-how lassen sich schwerer veranschlagen. Als Beispiel sei ein Erpressungstrojaner genannt. Er verbreitet sich über eine Lücke im Windows-Betriebssystem selbst und verschlüsselt oder zerstört die in den Automatisierungssystemen verwendete Software sowie die dort generierten Daten, wobei die Schadhandlungen auf das gesamte Unternehmen übergehen können. Den Schaden, der durch einen Produktionsausfall sowie die komplette Wiederherstellung der Ursprungssituation entsteht, kann man durchaus berechnen.

Die Eintrittswahrscheinlichkeit eines Security-Vorfalls lässt sich dagegen kaum prognostizieren. In diesem Zusammenhang sind folgende Aspekte zu berücksichtigen: Störungen der Verfügbarkeit, die aus Naturkatastrophen oder normalem technischen Versagen – wie dem Ausfall von Hardware – resultieren, sind aus der Erfahrung oder aus Versicherungstabellen abschätzbar. Für die Beurteilung gezielter Angriffe ist die Frage zu klären, wer ein Interesse an einem solchen Vorgehen haben könnte. Aus der Antwort lässt sich ableiten, mit wie viel krimineller Energie oder welchem Aufwand des Angreifers zu rechnen ist.

Grundelemente des Risiko-Managements. Bild: Phoenix Contact

Ungezielte Angriffe sind schwer vorherzusagen. Das Schadprogramm WannaCry wurde beispielsweise hochwertig entwickelt und hat sich als aggressiv erwiesen. Unternehmen können dabei Opfer eines Angriffs sein, ohne bewusst ein Ziel zu bieten. Daher sind solche Schadhandlungen nicht auszuschließen und müssen in die Betrachtungen einfließen.

Umsetzung von technischen und organisatorischen Maßnahmen

Die Bedrohungs- und Risikoanalyse ist dabei nicht als statisch anzusehen. Auf der einen Seite beginnen entsprechende Maßnahmen bei der Anlagenplanung und müssen anschließend regelmäßig wiederholt werden, um mit der technischen Entwicklung Schritt zu halten. Andererseits kann sich die Bedrohungslage kurzfristig verändern, wenn Schwachstellen in den eingesetzten Produkten oder Protokollen an die Öffentlichkeit gelangen. Im letztgenannten Fall könnte die Eintrittswahrscheinlichkeit plötzlich erheblich steigen und sofortige Maßnahmen zur Risikominderung erfordern.

Die im Bereich der IT-Security auftretenden Risiken sind wie alle anderen Gefährdungen zu behandeln: Zur Abwehr stehen sowohl technische als auch organisatorische Maßnahmen zur Verfügung. Grundsätzlich ist zu berücksichtigen, dass es keine 100-prozentige Sicherheit gibt. Technische Maßnahmen können versagen, während organisatorische Vorgaben nicht eingehalten und Verträge gebrochen werden. Insofern müssen die einzelnen Aktionen ineinandergreifen, sich gegenseitig ergänzen und fehlertolerant ausgelegt sein.

Im Rahmen der fortschreitenden Digitalisierung lassen sich aus der IT-Security hervorgehende Risiken kaum vermeiden. Daher sollte die Angriffsfläche möglichst klein sein. Eine Abwägung von Nutzen und Risiko ist ebenfalls erforderlich. Die Verringerung eines Risikos kann der Betreiber dann entweder durch die Senkung der potenziellen Schadenshöhe oder die Reduzierung der Eintrittswahrscheinlichkeit erreichen.

Unterstützung über die gesamte Prozesskette

Phoenix Contact bietet seinen Kunden über die gesamte Prozesskette standardisierte Security. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten.

Darüber hinaus stehen für verschiedene Branchen sichere Automatisierungslösungen zur Verfügung. Zum Aufbau sicherer Netzwerke tragen entsprechenden Security-Komponenten wie Firewalls und Steuerungen des Unternehmens bei, die in Kombination mit den Sicherheitsfunktionen anderer Komponenten wirken. Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellen-Management des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security dabei im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe sollen Anwender außerdem bei der Erreichung ihrer Security-Qualitätsziele unterstützen.

Umgang mit dem Risiko

Unter Beachtung des Risikos, jederzeit Opfer eines ungezielten Angriffs zu werden, sollten sämtliche Schäden, die schwerwiegende oder existenzbedrohende Auswirkungen haben können, durch geeignete Maßnahmen begrenzt sein. Im Beispiel des zuvor genannten Erpressungstrojaners könnten mehrere Aktivitäten zur Anwendung kommen: Backups der Systeme und der Parametrierung verringern den Schaden durch einen einfachen Wiederherstellungsvorgang. Darüber hinaus kann eine Netzwerksegmentierung und Restriktion der Kommunikation – zum Beispiel durch Firewalls – die Ausbreitung des Trojaners und damit den Schaden einschränken. Eine Überwachung der Anlagen auf Security-Vorfälle verkürzt unter Umständen Reaktionszeiten und erleichtert die Eindämmung. Notfallübungen unterstützen bei der schnelleren Reaktion auf Angriffe, sodass sich die Verbreitung des Trojaners in Grenzen hält und Wiederherstellungsschritte schneller anlaufen.

Segmentierung der Netzwerke zur Risikoreduktion. Bild: Phoenix Contact

Die Eintrittswahrscheinlichkeit des Schadensfalls sollte man durch vorbeugende Maßnahmen senken. Gegen nahezu alle Bedrohungen helfen ein wirksamer Zugangsschutz, die Segmentierung von Netzwerken sowie die Härtung der Systeme. Letztendlich lässt sich die Verlagerung von Risiken nur auf monetärer Ebene erreichen. Dabei ist zu prüfen, inwieweit eine Versicherung bei der Abfederung des finanziellen Schadens zur Seite stehen kann.

Wichtig: Insgesamt verantwortet der Besitzer den Betrieb seiner Anlagen. Sämtliche Aktivitäten zur IT-Sicherheit muss er auch aus wirtschaftlicher Sicht betrachten. Sie ergeben lediglich dann Sinn, wenn sie günstiger als das Risiko sind, vor dem sie schützen sollen. Dabei darf der Betreiber den maximal möglichen Schaden nicht aus den Augen verlieren. Über Investitionen in die IT-Security entsprechend der Höhe des Restrisikos entscheiden nur die Risk Owner, also zumeist die Geschäftsführung oder der Vorstand.

Weitere Informationen

[1] „Hackerangriff kostet Reederei Hunderte Millionen“. Spiegel Online, 16.08.2017.

[2] Weiss, Patricia und Burger, Ludwig. „Lanxess will Verdächtige vor Gericht bringen“. Manager Magazin, 15.11.2018.

[3] Informationssicherheit in der industriellen Automatisierung. VDI/VDE 2182.

Dr.-Ing. Lutz Jänicke ist Product and Solution Security Officer, Corporate Technology and Value Chain bei Phoenix Contact in Blomberg, www.phoenixcontact.de.