«Die meisten OT-Netzwerke sind heute noch in sich geschlossen»
Bis heute ist in vielen Produktionsbetrieben die Operational Security (OT) vom IT-Netzwerk getrennt. Mit zunehmender Vernetzung wachsen jedoch OT- und IT-Umgebungen stärker zusammen. Das ruft ein Awareness-Training auf den Plan. Ein Cybersecurity-Experte des SES-Verbands im Gespräch.
Herr Hiestand, was ist das Worst-Case-Szenario bei Cyberangriffen im Industriesektor?
Roger Hiestand: Wir müssen unterscheiden zwischen der IT-Sicherheit und der OT-Sicherheit. Im OT-Bereich hinkt das IT-Security-Verständnis und teilweise die Technik der IT quasi zehn Jahre hinterher. Das ist somit auch der grösste Angriffsvektor oder das Worst-Case-Szenario. Selbst Scriptkiddies, also User ohne gros-ses Know-how, haben es da relativ leicht, Industrie-Anlagen anzugreifen. Ein Beispiel: Bei einer Kühlanlage in einem Lebensmittelbetrieb könnte man beispielsweise die Temperatur um fünf Grad erhöhen, ohne dass es jemand bemerkt, und die ganzen Lebensmittel wären verdorben. Das geht weiter bis zur CNC-Maschinensteuerung. Das können Millimeter beim Fräsen in einem Motorenblock sein, wodurch es gegebenenfalls zu einem Totalschaden des Motors kommen könnte. Von der OT-Seite her betrachtet, ist der Industriebereich nach wie vor ein sehr konservativer Bereich. In erster Linie geht es um Funktionalität, die Sicherheit ist nachgelagert: Nach wie vor ist aber bei Industrieanlagen per Design noch vieles unverschlüsselt. Zur IT-Sicherheit, zum Beispiel bei SNMP oder BACnet, hat man sich in der Industrie und in der Gebäudetechnik lange Zeit keine Gedanken gemacht. Zwar gibt es Bestrebungen, die Geräte bzw. die Kommunikationsprotokolle wie SNMP v3 oder BACnet Secure sicherer zu machen. Bis die Endgeräte und die Software die Standards jedoch vollständig unterstützen, ist es meistens ein langer Weg.
Warum liegen aktuell immer mehr Ransomware-Attacken auf Industriesteuerungen im Trend?
Ein Cyberangriff hängt grundsätzlich immer davon ab, was man erreichen möchte. Um ein Geschäftsgeheimnis zu erspähen, setzt man eher einen klassischen Trojaner ein. Dann ist man «im Stillen» unterwegs. Der Schaden kommt quasi immer danach. Bei einer Ransomware will der Angreifer Geld erpressen – möglichst viel Geld: Sehr viele Industrie-Steuerungsanlagen werden aber noch heute mit Windows 7 oder gar Windows XP betrieben – und nicht zum Beispiel mit einer aktuellen (gegebenenfalls gehärteten) Version von Windows 10. Da die beiden zuvor genannten Betriebssysteme keine Sicherheits-Updates mehr erhalten, ist ein Ransomware-Angriff daher entsprechend einfacher und effektiver geworden. Dazu muss ein Angreifer nicht einmal gross Social Engineering betreiben. Er könnte theoretisch einem Hauswart einen USB-Stick auf den Tisch legen, und die Wahrscheinlichkeit ist sehr gross, dass dieser Stick angesteckt wird, um zu prüfen, was darauf ist – und mit diesem Schritt hat die Attacke begonnen. Der Aufwand ist somit sehr klein und der Erfolgsfaktor eher gross, dass die Firmen das Lösegeld z.B. in Form von Bitcoins bezahlen, denn die meisten Unternehmen haben keine Sicherheitsvorkehrungen, wie zum Beispiel bei Back-ups, und sind somit auf die Entschlüsselung der Daten durch den Angreifer angewiesen.
Welche Angriffsvektoren stellen im OT-Bereich das grösste Risiko dar?
Ein grosser Teil der Netzwerke in Industrieanlagen sind flach aufgebaut und verfügen über wenig bis keine Sicherheitsmassnhmen. Zur Veranschaulichung: Ein flaches Netzwerk ist wie eine Stromschiene. Es gibt keine Sicherheitsmassnahmen, die einen daran hindern, etwas einzustecken und Strom zu beziehen; gleich ist es mit diesen flachen Netzwerken. Jeder, der Zugang zu einem Switch hat, kann ein beliebiges Gerät anschliessen und das Netzwerk nach Schwachstellen durchsuchen. Das Problem: In der OT befinden sich viele der Switches irgendwo im Keller, in Abstellräumen oder Steigzonen. Somit ist man bei einem Angriff auch eher unbemerkt, da der Personenfluss in solchen Räumen eher niedriger ist als in einem belebten Büro. Dadurch, dass die Netzwerke flach (Layer 2) aufgebaut sind, können beispielsweise Videoüberwachungskameras oder Lüftungscontroller schnell und einfach gefunden und gegebenenfalls kompromittiert werden.
Wem fällt die Aufgabe zu, industrielle Netzwerke zu schützen?
In der Regel bringt in Industrienetzwerken jeweils der Errichter die nötige Infrastruktur mit. Im Umkehrschluss, wenn der Errichter die Infrastruktur bereitstellt, sagt die IT-Abteilung (wenn vorhanden) oftmals: Man habe nichts mehr mit der Anlage zu tun. Da befinden wir uns bereits in einem Spannungsfeld, im Sinne von «Fire and Forget». Ein System wird gebaut, oftmals aber nicht mehr mit sicherheitsrelevanten Patches versorgt. Auch Überwachungen, die erkennen, ob zum Beispiel fremde Geräte angeschlossen sind, fehlen. Ein spezifisches Team, das sich um die Sicherheit der industriellen Netzwerke kümmert, existiert daher tendenziell nicht. Bestenfalls werden bei einem vorhandenen Servicevertrag bei den jährlichen Inspektionen die notwendigen Sicherheits-Updates der Hersteller eingespielt. Fälschlicherweise hält sich die Ansicht hartnäckig, dass an funktionierenden Systemen nichts geändert werden soll (Sprichwort: «Never touch a running system»).
Gibt es überhaupt unabhängige «OT-Security-Experten» bzw. Expertenteams, die zu einer Soll-Ist-Analyse bezüglich Netzwerksegmentierung und allgemeiner OT-Sicherheit einberufen werden können?
Genau an diesem Punkt haben wir vom SES-Verband angesetzt. Unser Ziel ist es, mit unserer Arbeit diese Themen zu adressieren. Wir haben Merkblätter, Richtlinien, Best-Practice-Ansätze und Schulungen erstellt, um für dieses Thema zu sensibilisieren. Wie in einer Frage zuvor bereits angedeutet, geht es in erster Linie darum, überhaupt ein Verständnis für IT-Sicherheit zu schaffen. Wenn dieser erste Schritt auf beiden Seiten (Errichter und Auftragsgeber) getan ist, können IT-/OT-Security-Experten unterstützen. Und um die Frage klar zu beantworten: Ja, es gibt solche unabhängigen Experten. Als IT-Sicherheits-Experte ist es ein relativ einfaches «Unterfangen», sich in die Eigenheiten der OT-Welt einzuarbeiten.
Worauf ist bei der Auswahl eines OT-Security-Anbieters zu achten?
Das ist eine schwierige Frage. Da die Anforderungen bzw. die Möglichkeiten teilweise eher tief sind, ist sicher darauf zu achten, dass professionelle Hardware verwendet wird, welche über eine lange Lebensdauer in jeglicher Hinsicht verfügt. Damit ist gemeint, dass nicht Consumerhardware verwendet wird, die zum Beispiel nach bereits einem Jahr «End of Life» ist. Es gibt Hersteller, welche im Extremfall einen Lifecycle von sieben bis zehn Jahren anbieten bzw. inklusive Hardwareersatz sowie Sicherheits-Updates. Als zweites Kriterium ist darauf zu achten, dass prozesstechnische Lösungen berücksichtigt werden. Stichworte: Mitarbeitersensibilisierung, Patch Management und Backup-Strategie.
Das ausführliche Interview lesen Sie in der Print-Ausgabe SicherheitsForum vom 3. März 2021.