Cybersecurity in der Industrie: Immer einen Schritt voraus

Manche Entwicklungen geschehen langsam und unbemerkt, gleichwohl stetig. Andere kündigen sich mit einem Paukenschlag an. Franz Köbinger hat auf dem Feld der Cybersicherheit beides erlebt. 1995 begann der Elektroingenieur bei der heutigen Siemens-Sparte Digital Industries (DI), seit 2004 war er als Produktmanager für die erste industrielle Firewall des Unternehmens zuständig.

Damals erschienen die ersten Cybersecurity-Anforderungen in der Operational Technology (OT) aufgrund der beginnenden Vernetzung einzelner Systeme. Für die breite Masse der Anwendungen war Cybersecurity jedoch nach wie vor kein Thema.

 „Daher haben mich manche Kunden auch gefragt, wozu man das braucht“, erinnert sich der heutige Marketing Manager Cybersecurity for Industry bei Siemens, „und manche hatten wohl auch den Verdacht, dass hier eher „Geschäft mit der Angst“ gemacht wird.“

Dann der Paukenschlag: 2010 wurde der erste Fall bekannt, bei dem gezielt industrielle Steuerungen angegriffen und von einer Schadsoftware namens Stuxnet manipuliert worden waren, wobei erheblicher Schaden angerichtet wurde. Das war ein Weckruf für die gesamte Industrie, da deutlich wurde, wie verwundbar und angreifbar industrielle Automatisierungssysteme waren. Und Siemens als Weltmarktführer stand hier natürlich besonders im Fokus. Von einem Tag auf den anderen war nichts mehr so wie vorher. „Jetzt fragten mich Kunden, wie man sich gegen Cyberangriffe auch in der OT schützen kann und in öffentlichen Podiumsdiskussionen wurden plötzlich Fragen gestellt, warum die Industrie so schlecht auf Cyberbedrohungen vorbereitet war“, so Köbinger. 

Stuxnet war für Cybersecurity in der Industrie so etwas wie der Beginn einer neuen Zeitrechnung. Seither haben die Risiken stetig zugenommen. Fräste oder bohrte eine Maschine vor zehn Jahren noch völlig autark Löcher ins Metall, gesteuert nur über ein Bedienpanel an der Maschine, sind heute viele Maschinen und ganze Fabriken online und miteinander vernetzt, um Effizienzvorteile oder neue Geschäftsmodelle durch die zunehmende Digitalisierung wie die vorausschauende Wartung zu nutzen. Das Zusammenwachsen von Informations- und Produktionstechnologie (kurz: IT und OT), ist eine enorme Herausforderung für produzierende Unternehmen – und für Siemens, besonders für seine Industriesparte DI. Die hat ein ganzes Arsenal an wohlabgestimmten Waffen zur Abwehr von Cyber-Bedrohungen entwickelt, das tagtäglich seine Effektivität unter Beweis stellen muss. Die umfassenden Cybersecurity-Produkte, -Services und -Lösungen von Siemens spüren Bedrohungen auf, schließen Sicherheitslücken und schlagen Alarm, wenn ein Angriff passiert. Sie sind integraler Bestandteil von Siemens-Produkten und schützen die Fertigung der Kunden über den gesamten Lebenszyklus. 

Schon im Altertum hatten gute Befestigungsanlagen mehrere ineinander geschachtelte Verteidigungsmauern. Das erhöhte für Angreifer den Aufwand enorm und selbst wenn Schwachstellen irgendwo vorhanden waren, konnten diese dennoch durch die weiteren Verteidigungsmaßnahmen kompensiert werden. Diese Analogie passt gut zum mehrschichtigen Defense-in-Depth-Konzept von Siemens, das im zweiten Beitrag der Serie näher erläutert wird. Es sorgt dafür, dass die Sicherheit der Fabrik und des Netzwerks sowie die Systemintegrität in der Automatisierung dauerhaft gewährleistet ist. „Dazu kombinieren wir Sicherheitsfunktionen auf allen Ebenen unseres Automatisierungsportfolios und errichten so einen mehrstufigen Schutzwall“, sagt Franz Köbinger.

Kaum überraschend, dass hier die großen IT-Firmen ein Geschäft wittern. Durch die Konvergenz von OT mit IT glauben manche, mit ihren IT-Ansätzen auch die Probleme der Operational Technology lösen zu können. Doch so einfach ist es nicht. 

Wenn´s läuft, lieber nicht anfassen, heißt etwa eine Devise in der OT. Das lässt sich zwar angesichts der wachsenden Risiken in dieser Form nicht länger durchhalten, es zeigt aber, dass es in der OT andere Randbedingungen gibt als in der IT. Wenn es ein Sicherheits-Update gibt, muss es schnellstmöglich aufgespielt werden. Aber das geht in der Regel nicht im laufenden Betrieb und auch nicht komplett automatisiert wie in der IT. Das ist nur ein Beispiel, dass man neben der reinen Security-Expertise auch das entsprechende Domänen-Wissen braucht, um effektive, aber auch akzeptable Security-Lösungen in der OT umsetzen zu können. Siemens kann dieses Wissen kombinieren, da es seine Automatisierungstechnik auch selbst herstellt. Das Unternehmen weiß daher, wie man Hacker und Malware aussperren kann, ohne gleichzeitig den Fabrikbetrieb zu gefährden. Denn Stillstand kann sich kein Unternehmen leisten. Mehr zum Thema Systemintegrität und Patch-Management erklärt der dritte Beitrag der Serie. 

Zwanzig, manchmal dreißig Jahre laufen Maschinen. Jetzt werden sie nachträglich vernetzt und damit zu einem Sicherheitsrisiko. Dann empfehlen Experten eine Netzwerksegmentierung – mehr dazu in Beitrag vier der Serie. Schwer zu sichernde Bereiche eines Produktionsnetzwerks werden abgetrennt und extra geschützt. Kommt es dennoch zu einem erfolgreichen Angriff, breitet sich der Malwarebefall zumindest nicht auf die ganze Fabrik aus. Siemens nutzt dieses Knowhow und wendet es natürlich auch in seinen eigenen Fabriken an. 

In jeder Fabrik gibt es Technik von verschiedenen Herstellern, ganz zu schweigen von der Büro-IT. Trotzdem legen viele Kunden darauf wert, dass die Cybersecurity aus einer Hand kommt, von einem Anbieter mit Expertise sowohl in der Cybersecurity, als auch in der OT, und da ist Siemens häufig erste Wahl. Dann kommt Stefan Woronka, Direktor für Industrial Security Services bei Siemens DI, ins Spiel: „Wir bieten eine umfassende Palette an Services für ganze Fabriken an, von einem Assessment, wo beim Kunden die neuralgischen Stellen sind, über die Implementierung der Sicherheitstechnik bis zu Trainings.“ Mehr zu den Strategien von Woronkas Team gibt es im fünften Teil unserer Serie. 

Apropos Trainings. Die hält Stefan Woronka für mit am wichtigsten. Alle Technik nutze nichts, wenn ein Mitarbeiter sein infiziertes Smartphone an einer Maschine an einem USB-Port lade, der eigentlich nur für Wartungszwecke gedacht sei. „Cybersecurity ist wie Arbeitssicherheit: Man muss die Mitarbeiter immer wieder darauf hinweisen“, empfiehlt Woronka.

Das gilt auch für Siemens und seine eigenen Fabriken. Diese bieten ein ideales Umfeld für den Einsatz neuer Sicherheitskonzepte und Services, die dann auch den Kunden als Best Practices zugutekommen. In einer großen Digitalisierungsoffensive führte Siemens umfassende Security-Maßnahmen in seinen weltweiten Produktionsstätten ein, die ständig verbessert und den steigenden Bedrohungen angepasst werden. Das zahlt sich offenbar aus, denn größere Störungen des Produktionsbetriebes konnten somit vermieden werden

Ein Ende seiner Mission und der seiner Kollegen sieht Woronka nicht: „Die Hacker lassen sich laufend was Neues einfallen, speziell bei der Nutzung neuer Technologien. Und wir müssen ihnen einen Schritt voraus sein – es gibt immer was zu tun.“ 

Bernd Müller

Mai 2022