Drei Mauern sind besser als eine 

So schützten sich im Mittelalter die Fürsten, die knapp bei Kasse waren: Auf einem Hügel errichteten sie ihren Herrschaftssitz mit einer Mauer drum herum, vorne war ein Tor, durch das Waren hinein und hinaus gelangten – und manchmal auch die Soldaten feindlicher Heere oder Banden auf ihren Raubzügen. Wer es sich leisten konnte, umringte daher seine Burg mit gleich zwei oder besser noch drei Mauern, um die äußere zog sich noch ein Wassergraben, der nur über eine Zugbrücke zu überwinden war. Hatten Angreifer diese erste Hürde genommen, waren sie noch längst nicht im Inneren der Burg. Von der ersten Angriffswelle geschwächt, mussten sie unter Umständen ihren Ansturm schon früh abbrechen.

Das Bild von den Burgmauern nutzt Franz Koebinger gerne, um Konzepte zu erläutern, wie man Fabriken effektiv vor Attacken von Hackern schützt. Ein Schutzwall reiche nicht, warnt der Marketing Manager Industrial Security bei Siemens, es brauche eine Kombination aus Maßnahmen, die mehrschichtig und gestaffelt verhinderten, dass Cyber-Gangster ins Innere gelangten und dort Anlagen lahmlegen, sensible Informationen abgriffen oder Daten verschlüsselten, um so Lösegeld zu erpressen. Siemens setzt diese Prinzipien in seinen eigenen Fabriken bereits um und nutzt die dort gewonnen Erkenntnisse, um seine Kunden bei ihren Bestrebungen nach mehr Cybersicherheit zu unterstützen, indem diese Erfahrungen auch in Produkte und Services einfließen.

Produktionsanlagen und kritische Infrastrukturen sind mittlerweile interessante und lukrative Angriffsziele für Hacker. Wer wüsste das besser als Franz Koebinger, der seit Jahren auf dem Gebiet der industriellen Cybersicherheit tätig ist. Die Antwort, die er und seine Kollegen im Geschäftsfeld Digital Industries rund um die Fabrikautomatisierung entwickelt haben, basiert auf dem Ansatz Defense-in-Depth mit dem die wesentlichen Ebenen abgesichert und gleichsam sich ergänzende und mehrere virtuelle Mauern um die Fabrik legen:

• Systemintegrität: Ziel ist hier, die Automatisierungskomponenten so zu schützen, dass Hacker keinen Zugriff auf sensible Daten bekommen und damit Schaden anrichten können. Dazu gehören Vorkehrungen wie eine Authentifizierung, die nur berechtigten Personen Zugriff erlaubt. Wichtig ist zudem ein ausgefeiltes Patch-Management, das bei Bekanntwerden von Sicherheitslücken Security-Updates ermöglicht. Denn es geht auch darum, nicht nur sicher zu sein, sondern es auch zu bleiben. Bei der Umsetzung von Security-Konzepten dürfen aber die Fertigungsprozesse nicht unterbrochen oder aufwendiger werden. Hier zeigt sich die Expertise von Siemens: Im Gegensatz zu vielen Dienstleistern, die sich allein auf den IT-Aspekt versteifen, aber wenig Ahnung von der OT haben, kennen sich die Experten um Franz Koebinger bestens mit den Prozessen in einer Fabrik aus und wissen genau, wo die sensiblen Stellen in den Abläufen sind.
• Netzwerksicherheit: Maschinen sind heute vielfach vernetzt, auch über das Internet, und damit sind sie potenziell von außen angreifbar. Die Siemens-Experten schützen das Netz in der Fabrik mit Firewalls und verschlüsselten Verbindungen wie VPN. Außerdem empfehlen sie eine Netzwerksegmentierung. Dabei werden besonders sensible Anlagen, wo ein erfolgreicher Angriff hohe Kosten verursachen würde, vom Rest des Kommunikationsnetzes getrennt. Die Netzwerksegmentierung verhindert zudem, dass sich ein Angriff auf einen Teil des Netzes wie ein Lauffeuer in andere Bereiche der Fabrik ausbreiten kann.

• Anlagensicherheit mit Industrial Security Services: Viele Fabriken sind Jahrzehnte alt und werden nach und nach digitalisiert. Siemens erarbeitet mit seinen Kunden Konzepte, wie auch diese Betriebe bezüglich der Cybersicherheit auf den neuesten Stand kommen und nicht zur leichten Beute von Hackern werden. Dazu gehört ein permanentes Security-Monitoring, das bei Angriffsversuchen Alarm schlägt. Trotz aller Digitalisierung: Das A und O zum Schutz jeder Fabrik ist das Ineinandergreifen organisatorischer und technischer Maßnahmen, sowie eine gute Schulung der Mitarbeiter.