Cyber-Resilienz: Wie Steuerungssysteme Angriffen trotzen können

Cyber-Resilienz in der Praxis: Hacker nutzen alle möglichen Einfallstore, um Unternehmen und Organisationen anzugreifen. Einen besonderen Stellenwert nehmen dabei industrielle Steuerungssysteme in Betrieben und Konzernen mit eigener Produktion ein. Gleichzeitig sind diese Systeme durch die Vielzahl unterschiedlicher Geräte und Technologien schwer abzusichern – eine gefährliche Lücke, die Hacker längst erkannt haben und ausnutzen.

Cyber-Resilienz: Den Betrieb am Laufen halten

Als wesentlicher Bestandteil von Energieversorgungs- und Fertigungsanlagen sowie anderen industriellen Betrieben werden industrielle Steuerungssysteme (Industrial Control Systems, ICS) zur Überwachung und Steuerung industrieller Prozesse über IT-OT-Netzwerke hinweg eingesetzt. Gelangt Ransomware oder andere Schadsoftware in diese Systeme, kann dies den Betrieb für Tage oder Wochen lahmlegen und das Risiko erhöhen, dass Pläne, Programme und andere sensible Dokumente aus dem Unternehmen entwendet werden. Neben dem Abfluss von geistigem Eigentum stellt auch die bloße Unterbrechung von Produktionsprozessen, der Produktionsstillstand, ein sehr hohes Risikopotenzial dar, da bereits wenige Tage zur drohenden Zahlungsunfähigkeit und damit zur Insolvenz eines Unternehmens führen können.

Verzögerungen in der Time-to-Market

Alle Produkte mit digitalen Komponenten – auch in modernen Industrieanlagen – sollen zukünftig nach der EU-Kommission keine Cyber-Risiken mehr darstellen. Das fordert der Cyber Resilience Act – ein Gesetz zur „Cyber-Widerstandsfähigkeit“ oder auch Cyber-Resilienz. Künftig müssen diese Anlagen und Produkte während des gesamten Produktlebenszyklus vor Schwachstellen geschützt werden, die von Hackern ausgenutzt werden könnten. Das Gesetz ist nicht nur streng, sondern enthält auch zahlreiche Auflagen für Unternehmen, die solche Steuerungen in Verkehr bringen. Hinzu kommt das Bestandsrisiko von bestehenden Anlagen, die bereits in Nutzung sind. Hier gewährt die EU-Kommission einen Bestandsschutz – werden diese Anlagen jedoch erweitert oder aktualisiert, besteht auch dort Handlungsbedarf nach kommenden Gesetzesvorlagen.

Bei Produktneuentwicklungen ist zu beachten, dass die Time-to-Market in den kommenden Monaten unter der Verordnung leiden wird – Hersteller von ICS-Anlagen müssen automatisierte Analyse- und Prüfroutinen entwickeln, um die EU-Verordnung einhalten zu können. Spezialisierte Softwareanbieter wie zum Beispiel das Europäische Unternehmen Onekey unterstützen die Industrie mit automatisierten Prüfroutinen für die Firmware von IoT- und ICS-Anlagen. Mit dieser Technologie lassen sich ganz ohne Quellcodezugriff nicht nur Schwachstellen bis hin zu den besonders gefährlichen Zero-Day-Schwachstellen aufspüren, sondern auch eine umfassende Software Bill of Materials erstellen, die eine genaue Auflistung aller enthaltenen Softwarekomponenten, auch von Drittanbietern oder Lieferanten, ermöglicht.

SBOM löst viele Probleme

Bislang wissen in der Regel weder Anwender noch Hersteller oder Inverkehrbringer, aus welchen „Zutaten“ Produkte mit digitalen Komponenten und Netzwerkanbindung bestehen. Dies ist jedoch ein Problem, da die Verwendung von Code von Drittanbietern außer Kontrolle gerät – und generell der Einsatz von Open-Source-Software (OSS) in der Industrie weiter zunehmen wird.

OSS wird bereits eingesetzt, um Entwicklungskosten zu senken und Zeit zu sparen. Die Herausforderung besteht darin, dass der Code im OSS-Repository oder eine Komponente mit eigener Firmware Malware, Bugs oder andere Schwachstellen enthalten kann, von denen der Entwickler nichts weiß.

Industrielle Steuerungssysteme mit langer Lebensdauer

Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die geplante Lebensdauer für die Sicherheit und Integrität der Komponenten oder Produkte und Anlagen einstehen müssen. Kritisch dabei: Es zählt der kürzere Zeitraum. IoT- und ICS-Anlagen sind in der Industrie – in Fabriken, im Service und in der Produktion – wesentlich länger im Einsatz. Die nutzenden Unternehmen sollten im Hinterkopf behalten, dass der Schutz des EU-Gesetzes irgendwann endet. Unternehmen sollten sich daher in Eigenverantwortung auch danach um den Schutz der Anlagen und ihrer Firmware kümmern – denn auch nach Jahren des Einsatzes besteht die Chance auf eine Zero-Day-Schwachstelle, eine bisher unerkannte Schwachstelle, die auch vorhandene Sicherheitseinrichtungen und Analysetools verborgen geblieben sein kann. Auch das Inverkehrbringen von Produkten mit bekannten Schwachstellen ist künftig verboten. Damit wird zumindest dem Copy-Paste-Engineering mancher Hersteller ein Riegel vorgeschoben, die für die Firmware neuer Produkte auf bereits entwickelte Softwarecodes zurückgreifen und damit häufig unerkannte oder auch bekannte Schwachstellen reproduzieren.

Cyber-Resilienz: Deutschland besonders gefährdet

Nach Berichten der Sicherheitsspezialisten des japanischen Unternehmens TrendMicro standen in den letzten Jahren vor allem Mal- und Greyware ICS-Anlagen im Fokus. Dazu zählen Varianten der Malware-Familien Ryuk, Nefilim, Sodinokibi und LockBit, die allein im Jahr 2020 für mehr als 50 Prozent der ICS-Ransomware-Infektionen verantwortlich waren. Deutschland gehört zu den zehn Ländern weltweit, mit den meisten IT/OT-Netzwerken mit ICS-Endpunkten. Dabei infizieren Hacker überdurchschnittlich häufig ICS-Endpunkte mit ungepatchten für EternalBlue anfälligen Betriebssystemen, um Kryptowährung zu schürfen – ohne dass der Systembetreiber davon weiß. EternalBlue bezeichnet eine Schwachstelle im Server-Message-Block-Protokoll von Windows-Netzwerken, die auch von der WannaCry-Ransomware ausgenutzt wurde, um Netzwerke zu infizieren.

Eine Untersuchung von Cyberangriffen auf die Automobilindustrie ergab zudem, dass vor allem die Bereiche entlang der Produktions- und Lieferkette betroffen waren. Besonders hart traf es die Zulieferer, die in 67 Prozent der untersuchten Vorfälle betroffen waren. Kleinere Zulieferer sind in der Regel schlechter gegen Cyberangriffe geschützt. Die Auswirkungen sind oft immens und führen zu Produktionsverzögerungen oder gar -ausfällen. Das größte Risiko stellen derzeit Ransomware-Attacken dar: Im Zeitraum der VicOne-Studie wurden 43 Unternehmen aus der Automobilindustrie Opfer solcher Angriffe.

Für einen wirksamen Schutz und mehr Cyber-Resilienz sollten daher bei neuen Anlagengenerationen und Erweiterung, bzw. Aktualisierung bestehender Anlagen zunächst– die Hersteller sorgen, wie es auch der Cyber Resilience Act vorsieht. Dies entbindet die Betreiber jedoch nicht von der Pflicht, für Altanlagen und ICS-Systeme, die nicht mehr vom Hersteller betreut werden, durch regelmäßige Analysen Vorsorge zu treffen.

2,5 Prozent des Umsatzes

Für Hersteller, Distributoren und Importeure von IoT- und ICS-Anlagen sieht die EU-Kommission zudem empfindliche Strafen vor, wenn Sicherheitslücken in Geräten entdeckt und nicht ordnungsgemäß gemeldet und geschlossen werden: 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des Vorjahres – je nachdem, welcher Wert höher ist. Hersteller und Inverkehrbringer solcher Anlagen sind zudem verpflichtet, innerhalb von 24 Stunden ENISA – die Agentur der Europäischen Union für Cybersicherheit – zu informieren, wenn sie von einer ausnutzbaren Sicherheitslücke für eines ihrer Produkte erfahren. Eine Überschreitung der Meldefristen ist bereits sanktionierbar. Hinzu kommt auch eine unverzügliche Informationspflicht der Nutzer. Hier sind die einzelnen IT-Abteilungen in den Unternehmen gefordert, schnellstmöglich zu reagieren.

Von Jan Wendenburg.

Lesen Sie auch: On-Demand-Produktion in der Industrie: 3D-Druck macht es möglich