Mit Hightech und Honigtöpfen gegen Hacker
Produktionsprozesse sind immer stärker digital vernetzt – ein Einfallstor für Kriminelle, die im Internet agieren. Das Technologiefeld IT-Security bei Siemens Corporate Technology entwickelt ausgeklügelte Lösungen zum Schutz vor Cyber-Kriminalität und testet diese auf Herz und Nieren – unter anderem mit einem eigenen Hackerteam.
Katrin Nikolaus / Sebastian Webel
Cyber-Kriminalität betrifft immer weniger nur den einzelnen Internet-Nutzer: In Industrie und Wirtschaft sind die Schäden durch Cyber-Angriffe und Wirtschaftsspionage bereits jetzt immens. Viele Industrieunternehmen befürchten, dass die im Zuge der Digitalisierung verstärkte Vernetzung von Maschinen und Anlagen untereinander und entlang der gesamten Wertschöpfungskette zu weiteren Sicherheitsrisiken führen wird. Gleichzeitig sind sie, um ihre Produktion flexibler und schneller zu machen und kostengünstig zu halten, gezwungen, ihre bisher weitgehend in sich abgeschlossenen Anlagen in eine offene Produktionslandschaft umzuwandeln. Doch wenn die Industrie dabei auf ein durchgängiges Sicherheitskonzept setzt, sind die Risiken beherrschbar. Dafür sorgt etwa bei Siemens das Technologiefeld IT-Security bei Corporate Technology (CT). Hier arbeitet eine Gruppe von IT-Experten, deren Aufgabe darin besteht, umfassende Sicherheitslösungen für die Siemens-Geschäfte zu entwickeln.
Früher schützten Werkstore und Alarmanlagen die Fabriken. Heute dagegen gilt es, schneller zu sein als die Hacker und Sicherheitslücken aufzudecken.
Systematischer Umgang mit Schwachstellen
„Früher schützten Werkstore und Alarmanlagen die Fabriken. Heute dagegen gilt es, schneller zu sein als die Hacker und Sicherheitslücken aufzudecken. Das ist das oberste Gebot der Sicherheitsverantwortlichen in der Industrie“, stellt IT-Sicherheitsexperte Klaus Lukas fest.
Sein Team „ProductCert“ beschäftigt sich innerhalb des Technologiefeldes mit dem Umgang von in- und extern gemeldeten Schwachstellen in den Produkten von Siemens. „Durch die Digitalisierung in unseren Geschäftsbereichen ist es wichtig, dass wir auf solche Bedrohungen schnell reagieren“, erklärt der Experte. Daher informiert sein Team sofort die Kunden, sollten Schwachstellen identifiziert worden sein und entwickelt schnellstmöglich Lösungen, um diese zu schließen.
Gleichzeitig steht das Team permanent in Austausch mit einem Netzwerk von Sicherheitsexperten. „Das ist wichtig, für eine gemeinsame Vertrauensbasis, aber auch, um den eigenen Wissenshorizont deutlich erweitern zu können“, verrät Lukas. Aus diesem Grund besuchen seine Mitarbeiter auch wichtige Konferenzen und Veranstaltungen im IT Bereich um dort den Austausch zu suchen. Ein Beispiel hierfür sind die Konferenzen Blackhat USA und Def Con, wo Forscher ihre aktuellen Erkenntnisse vorstellen.
Datenströme werden auf Auffälligkeiten gescannt
Ein weiterer IT-Security-Baustein ist ein Monitoring-System, das Cyber-Angriffe nahezu in Echtzeit identifiziert. Attacken werden in der Regel nicht schnell genug entdeckt. „Ist die Malware erst einmal eingedrungen, kann sie sich in aller Ruhe ihren Weg durch die Daten suchen und ihren Auftrag, sei es nun Daten absaugen oder manipulieren, ausführen“, erklärt Dr. Heiko Patzlaff. Das von seinem Team entwickelte Monitoring-System soll Abhilfe schaffen: „Dafür erarbeiten wir Algorithmen, die die Datenströme auf Auffälligkeiten untersuchen“, erklärt der Sicherheitsexperte. Indizien für einen Angriff sind beispielsweise große Datenmengen, die zu ungewöhnlichen Tages- und Nachtzeiten in Bewegung geraten. Oder Befehle, die ohne Grund unzählige Male hintereinander ausgeführt werden. Auch wenn sich Nutzer, die nur tagsüber arbeiten, plötzlich nachts einloggen, könnte dies ein ernst zu nehmender Hinweis auf eine Cyber-Attacke sein. „Da jedes IT-System seine eigenen Gesetzmäßigkeiten hat, muss die Spurenerkennung daran angepasst werden“, verrät der Entwickler. Wenn das Monitoring-System Auffälligkeiten entdeckt hat, benachrichtigt es automatisch das zuständige Sicherheitszentrum. „Dort analysieren IT-Security-Spezialisten den Angriffsversuch und leiten Gegenmaßnahmen ein.“
Jeder Hackerangriff hinterlässt Spuren. Corporate Technology hat einen Monitoring-Dienst entwickelt, mit dessen Hilfe die Gefährdung eingeschätzt werden kann.
Welches Ausmaß diese Herausforderung in Zukunft annehmen wird, verdeutlicht ein Blick auf Prognosen: Nicht Hunderte oder Tausende Maschinen, Anlagen, Sensoren und einzelne Produkte werden im Zuge von Industrie 4.0 miteinander kommunizieren – es werden Milliarden.
Die Herausforderung: Milliarden Maschinen, Anlagen, Sensoren und einzelne Produkte werden im Zuge von Industrie 4.0 miteinander kommunizieren.
Angriffsmuster rechtzeitig erkennen
Ein weiterer wichtiger IT-Sicherheits-Baustein ist die Fähigkeit, operative Umgebungen, wie Fertigungen oder Kraftwerke, auf Angriffe zu überwachen. Die Research Group CERT, unter der Leitung von Dr. Martin Otto, arbeitet an neuen Lösungen, mit denen die Sicherheitsexperten solche Angriffe frühzeitig erkennen erfolgreich beseitigen können. So beschäftigt sich das CERT täglich mit neuen Angriffsmustern, analysiert diese und entwickelt in Zusammenarbeit mit weiteren Abteilungen wirksame Gegenlösungen, die das Risiko von Angriffen erheblich minimieren. „Durch diese so genannte Cyber Threat Intelligence ist es uns möglich, die aktuelle Bedrohungslage schnell zu verstehen und gezielter unsere Systeme sowie unsere Kunden zu schützen“, erläutert Otto.
Desweiteren entwickeln die Experten von CERT und ProductCERT neue Technologien, die selbstständig neue Angriffsmuster identifizieren und Erkennungsmethoden generieren können. Zusätzlich arbeiten die Forscher an dem Ziel, auch operative Netze immun gegen solche Angriffe zu machen und deren Ausfälle zu vermeiden.
Ausweiskontrolle für Maschinen
Daher bedarf es auf diesem Feld besonderer Sicherheitslösungen. So sollen die Maschinen sich erst einmal „ausweisen“, bevor sie ihre Daten untereinander austauschen oder an Datenbanken weiterleiten können. „Die IT-Infrastruktur wird so widerstandsfähiger gegenüber Angriffen“, erklärt Hendrik Brockhaus.
Sein Team im Technologiefeld IT-Security zeigt derzeit für die Siemens Division Mobility in einem Modellversuch für Verkehrsinfrastruktursysteme, wie so ein Ausweissystem für Maschinen funktionieren könnte. Dafür nutzt Brockhaus erstmals eine Public-Key-Infrastructure (PKI) für industrielle Anlagen, um mittels digitaler Zertifikate die Authentizität von Maschinen, Sensoren oder einem Bauteil nachzuweisen.
Wenn ein Kontrollsystem einen Schaltbefehl an die Steuerungseinheit eines Feldgerätes gibt, versichern sich beide anhand des PKI-Zertifikates, ob die Gegenstelle wirklich die ist, die sie zu sein vorgibt, und es sich nicht um einen Hacker-Angriff handelt. Das Vertrauen in die PKI-Zertifikate wird dabei durch den Hochsicherheitsbetrieb der PKI im Trust-Center hergestellt – dort werden die PKI-Zertifikate ausgestellt.
Hacker im Dienste der Forschung
Der Abwehr von Cyber-Attacken widmet sich ein weiteres Team des Technologiefelds IT-Security. Dabei suchen bei Siemens hauseigene Hacker gezielt Schwachstellen in Standardsoftware für ihre Angriffe aus. Um zu verstehen, wie Hacker vorgehen, stellt das Technologiefeld IT-Security sogenannte „Honeypots“ (deutsch: Honigtöpfe) auf. Diese locken Hacker gezielt dahin, wo die Experten Schwachstellen im IT-System vermuten. Dabei ist der „Honeypot“ natürlich nicht im richtigen IT-System platziert, sondern er simuliert eine Software, ein Netzwerk oder einen Server.
Indem Siemens so die Vorgehensweise der Hacker genau analysiert, kann das Unternehmen seine Threat Intelligence, also die Bedrohungsabwehr, für seine Lösungen verbessern. Gleichzeitig prüfen die IT-Sicherheits-Spezialisten zusätzlich zur IT-Infrastruktur und den Siemens-Produkten auch die abteilungseigenen Lösungen auf Herz und Nieren. Dann zeigt sich, ob die Mauern, die die Experten von IT-Security gebaut haben, hoch genug und die Sicherheitsschleusen leistungsfähig genug sind.
01.02.2018
Katrin Nikolaus / Sebastian Webel
Picture credits: from top: 1. picture Enyo Manzano Photography/gettyimages; 2.picture M.Rakusen /gettyimages
Abonnieren Sie unseren Newsletter
Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.
