Cybersecurity in der Produktion: Vom Kann zum Muss

Fabriken werden immer digitaler – und damit angreifbarer für Hacker. Wer in Cybersicherheit investiert, kann sich schützen und in neue Geschäftsmodelle ummünzen. Dieser Beitrag ist der erste einer Serie von vier Teilen, die sich mit Cybersecurity in der Industrie befasst.

Ein Urlaubsbild auf Instagram posten, den Kontostand checken oder einen Flug buchen: Unser Leben ist digital, und manche würden lieber ein paar Tage auf ihren Partner verzichten als aufs Smartphone. Auch im Berufsleben haben wir uns an die allgegenwärtige Informationstechnologie (IT) gewöhnt – ohne die Software zur Personalverwaltung oder für Videokonferenzen mit Kollegen hätte jedes Unternehmen schnell das Nachsehen. So weit, so akzeptiert. Aber was ist in den Fabriken? Da denken wir immer noch an Maschinenlärm und Schmieröl und nicht an Bits und Bytes. Dabei drängt die IT mit Macht in die Produktion – Experten sprechen von einer Konvergenz von IT und OT (Operational Technology). Das bringt schon heute viele Vorteile: Ein virtuelles Abbild eines Produkts – ein digitaler Zwilling – hilft dabei, den Lebenszyklus des Produkts zu planen und zu überwachen. Auch werden etwa neue Geschäftsmodelle möglich, zum Beispiel Betreibermodelle, wo der Kunde nur noch für die Maschinennutzung bezahlt, ohne die Maschine besitzen zu müssen. Dafür braucht es Daten, viele Daten.

 

Doch es gibt einen Haken: Mit der beschriebenen Konvergenz von IT und OT, bekommt die OT zunehmend ein Problem, das man vor allem aus der IT kennt – die Verwundbarkeit gegenüber Cyberangriffen. Weil nun auch Maschinen untereinander und mit dem Internet vernetzt sind, können Hacker dort ebenfalls eindringen und verheerenden Schaden anrichten, wenn es schlecht läuft, auch mit Auswirkung auf unser tägliches Leben. Im Mai 2021 traf es etwa Colonial Pipeline, den Betreiber der größten Treibstoff-Pipeline in den USA, der ein Millionenlösegeld zahlen musste, damit z.B. Tankstellen wieder mit Benzin versorgt werden konnten. Alle paar Wochen berichten Medien über erfolgreiche Angriffe und Cyberrisiken. 2021 haben die Attacken auf SolarWinds und der Log4j-Hack große Wellen geschlagen.

 

Doch was in den Medien steht, ist nur die Spitze des Eisbergs. Täglich werden Betriebe rund um den Erdball Opfer von Attacken, vor allem mit Ransomware. Viele bezahlen den Erpressern Lösegeld, damit sie ihren Betrieb wieder aufnehmen können.

Als die OT ihre Unschuld verlor

Franz Köbinger, Cybersecurity Experte bei Siemens Digital Industries, erinnert sich noch genau, wann die OT ihre Unschuld verlor: 2010, beim weltbekannten „Stuxnet-Vorfall“; „Das war das erste Mal, dass Hacker gezielt OT angegriffen haben und seither haben Cyberangriffe auf Industrieanlagen und Automatisierungssysteme rasant zugenommen.

 

Doch Siemens hält dagegen und ist sich seiner Verantwortung als Hersteller industrieller Automatisierungssysteme bewusst. Mit einer unternehmensweiten Product & Solution Security-Initiative und seiner zentralen Cybersecurity-Einheit CYS hat Siemens das Thema zu einem integralen Bestandteil seines Betriebs gemacht. „Es gibt keinen Weg zurück in eine analoge Welt, wo Produktionsanlagen von der Außenwelt abgeschottet waren“, so Köbinger, zu groß seien die Effizienzvorteile der Digitalisierung in der Produktion. Allerdings erfordert das Arbeiten z.B. mit digitalen Zwillingen oder künstlicher Intelligenz die Übertragung hoher Datenmengen in Echtzeit und damit eine umfassende Vernetzung. Automatisierungssysteme und Steuerungen sind längst Bestandteil des IoT geworden.

Zwei Drittel der Kosten für Software

Wie schnell der Wandel stattfindet, zeigt ein Beispiel aus der Bahnindustrie: Noch vor zehn Jahren entfielen nur zehn Prozent der Kosten eines Stellwerks auf die Software, heute sind es schon 30 Prozent – und in einigen Jahren werden es 65 Prozent sein. Die Vorteile dieser Digitalisierung im Bahnverkehr werden immens sein. Ein Beispiel dafür ist die Digitalisierung des gesamten norwegischen Bahnnetzes, die Siemens bis 2034 vornimmt. Dabei installiert das Unternehmen auf rund 4.200 Gleis-Kilometern und 375 Bahnhöfen digitale Signaltechnik, mit der die Sicherheit, Pünktlichkeit und Kapazität des norwegischen Bahnnetzes deutlich erhöht werden.

So bedeutsam dieser digitale Wandel ist, so wichtig ist es, dass eine gute Cybersicherheit dann auch jederzeit die Verfügbarkeit und Integrität der Systeme sicherstellt. Man mag sich nicht ausmalen, was passieren würde, wenn ein Stellwerk in Folge eines Hackerangriffs eine Weiche falsch stellt und zwei Züge kollidieren.

 

Angesichts dieser Bedrohungen überrascht es, wie sorglos viele Unternehmen bei ihrer OT noch sind. In der Studie „State of Operational Technology and Cybersecurity“ von Fortinet, einem Anbieter von Software für Informationssicherheit in den USA, gab die Hälfte der Befragten an, dass ihre Maschinen nicht gegen Cyberattacken gewappnet seien. 91% fordern, dass IT und OT gemeinsam für die Sicherheit der Maschinen zuständig sein sollten, doch nur in der Hälfte der Betriebe ist das schon der Fall.

 

Laut Fortinet gibt es mehrere Gründe, warum die OT-Sicherheit so stiefmütterlich behandelt wird. Da sind zum einen die langen Lebenszyklen der Maschinen von manchmal mehreren Jahrzehnten, die einen Schutz schwierig machen, wenn die Maschine plötzlich mit einem Interface ans Internet gehängt wird. Zweitens haben die Betriebe mit der Komplexität und Heterogenität ihrer Anlagen zu kämpfen, das macht einen Schutz aus einem Guss schwierig. Am schwersten wiegt drittens die starke Fokussierung auf die Verfügbarkeit. Eine Produktionsanlage darf auf keinen Fall ausfallen, auch nicht durch das Einspielen von Sicherheits-Updates, was zur Folge hat, dass diese auf die lange Bank geschoben werden. Gerade dadurch riskieren Unternehmen einen erfolgreichen Hackerangriff und somit ihre Verfügbarkeit. Dann doch lieber ein Patch-Fenster mit einem (wenn überhaupt notwendigen) kurzen, kontrollierten Stillstand einplanen, als einen wochenlangen, Ransomware-bedingten Ausfall zu riskieren.

Häufig nur Insellösungen

 „Großunternehmen etwa aus dem DAX haben dies verstanden und sind Vorreiter“, sagt Saman Farsian, Head of Cybersecurity OT Protection and Consulting bei Siemens, „aber jenseits der DAX-Konzerne und ihren Hauptlieferanten sieht es mau aus.“ Kleinere Unternehmen wären sich der Gefahr häufig bewusst, doch fehle es an Knowhow, Einfallstore für Hacker zu schließen. In diesen Betrieben finde man oft Insellösungen, die irgendetwas teilweise schützten, aber eben ohne abgestimmte Sicherheitsstrategie für den ganzen Betrieb.

Wenn überhaupt. Häufiger ist der Fall, dass die Kollegen von Franz Köbinger und Saman Farsian erst gerufen werden, wenn die Hacker bereits zugeschlagen haben – oder wenn die Einschläge näherkommen. Das war der Fall bei einer Molkerei, die eigentlich kein Interesse an Cybersicherheitslösungen hatte – zu unattraktiv glaubte man für Hacker zu sein. Doch als ein Wettbewerber einen gravierenden Angriff mit einer hohen Lösegeldzahlung erleiden musste, standen mit einem Mal die Türen für die Siemens-Experten offen und es waren Mittel für den Schutz da. Auch ein europäischer Automobilhersteller zahlte Lehrgeld. Ein Angebot von Siemens zur Automatisierung einer Fertigung mit verstärkter Cybersicherheit wurde erst abgelehnt und ein paar Monate später dann doch angenommen – nachdem die Produktion bei einem Cyberangriff stillstand. Cybersecurity sei wie eine Versicherung, vergleicht Farsian: Sie koste Geld und bringe erstmal nichts – bis dann der Schaden eintritt, dann hätte man sie dringend gebraucht.

 

Wobei der Vergleich nicht hundertprozentig zutrifft. Denn Investitionen in Cybersicherheit lohnen sich heute auch dann, wenn kein Angriff stattfindet. In manchen Branchen wie etwa in der Automobilindustrie oder bei kritischen Infrastrukturen kommt man als Zulieferer gar nicht mehr zum Zug, wenn man bestimmte Standards oder gar Zertifizierungen nicht nachweisen kann. Zudem hilft Cybersicherheit, die Wettbewerbsfähigkeit zu erhöhen oder gar neue digitale Geschäftsmodelle zu ermöglichen.

 

Seine Mission und die seiner Kollegen beginne gerade erst so richtig, sagt Franz Köbinger: „Die Hacker werden immer besser und nutzen die neuen Technologien für Cyberangriffe. Daher müssen auch die Konzepte und Security-Mechanismen in der OT stets verbessert und auf dem aktuellen Stand gehalten werden.“

Bernd Müller

Was Sie über OT Security wissen sollten? Mehr in unserer Serie von insgesamt vier Teilen, die sich mit Cybersecurity in der Industrie befasst.

 

Part 1: Cybersecurity in der Produktion - vom Kann zum Muss

Part 2: OT-Cybersecurity - raus aus der Nische

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.