Cybersicherheit made in China

Hacker haben in China oft leichtes Spiel. Immer häufiger geraten Industrieanlagen ins Visier der Cyberkriminellen. Das Industrial Security Lab von Siemens in Peking und das Siemens China Cyber Defense Center in Suzhou helfen Kunden, sich vor Attacken zu schützen.

 

von Bernd Müller

Der Online-Handel in China boomt. Shopping-Portale wie Taobao oder Alibaba, der größte Online-Marktplatz der Welt, verzeichnen Milliardenumsätze, die über Bezahldienste wie Alipay generiert werden. Doch wo große Geldströme fließen, sind Kriminelle nicht weit. Die genannten Dienste sind besonders häufig Ziel von Hackern, die etwa mit Phishing-Mails Kundendaten abgreifen wollen. Jeder fünfte Internetnutzer in China war bereits Opfer solcher Betrüger.

 

Die Cyberkriminalität ist eine wachsende Bedrohung für die größte Volkswirtschaft der Welt – das hat nun auch die Regierung in Peking auf den Plan gerufen. Chinas Staats- und Parteichef Xi Jinping hat IT-Sicherheit zur Chefsache erklärt. Erste Maßnahme: In besonders sicherheitskritischen Branchen ist die Verwendung ausländischer IT-Produkte streng reguliert, etwa bei den Banken. Das soll Einfallstore für Hacker und ausländische Geheimdienste schließen und die heimische IT-Industrie stärken. Der Markt für IT-Sicherheit in China wird dadurch stark wachsen, schätzt das US-Marktforschungsunternehmen Technavio: von 2,11 Milliarden US-Dollar im Jahr 2014 auf 3,62 Milliarden im Jahr 2019 mit zweistelligen jährlichen Wachstumsraten.

Veraltete Steuerungstechnik in Industrieanlagen

Weniger im Bewusstsein der chinesischen Öffentlichkeit, aber nicht minder kritisch sind Hackerattacken gegen Industrieanlagen, etwa Chemiefabriken oder Kraftwerke. Chinesische Unternehmen setzen häufig Systeme ein, bei denen veraltete und neue Technik miteinander kombiniert werden. Dem Trend zur umfassenden Vernetzung folgend, werden diese Systeme nun mit PCs im Büro oder – zur Fernwartung – mit dem Internet verbunden, obwohl sie für solche Szenarien niemals ausgelegt waren. Schadsoftware, die Bürorechner befällt, kann ohne Schutzmaßnahmen leicht in die Steuerung von Maschinen eindringen, die heute etwa über Industrial-Ethernet und Internetprotokoll vernetzt sind.

 

Welches Ausmaß die Bedrohung durch Cyberkriminalität auch im produzierenden Sektor in China bereits angenommen hat, belegt eine Umfrage, die Siemens 2014 unter mehr als hundert Industrieunternehmen durchgeführt hat. Über 80 Prozent meldeten einen Vorfall, also die Infektion von Rechnern mit Schadprogrammen oder andere Arten von Cyberangriffen. Einige der befragten Unternehmen räumten sogar vorübergehende Unterbrechungen in der Produktion mit Umsatzeinbußen ein. Das sei nicht allein auf veraltete Sicherheitstechnik zurückzuführen, sondern auch ein Resultat mangelnden Bewusstseins, klagt Professor Wen Tang, Leiter des Industrial Security Lab von Siemens Corporate Technology in Peking. Ein Manager einer großen chinesischen Raffinerie habe ihm zu verstehen gegeben, dass man keine Cyber-Sicherheitsmaßnahmen brauche, schließlich habe es noch nie Angriffe auf sein Unternehmen gegeben.

Wer sich regelmäßig um die IT-Sicherheit bemüht, macht es Angreifern schwer, dass diese im besten Fall das Interesse verlieren.

Die Illusion von Sicherheit

Nicht viel besser sieht es mitunter in Unternehmen aus, die bereits erste Sicherheitsmaßnahmen ergriffen haben. Sie kaufen eine Firewall- und Antivirensoftware und meinen, nun für alle Zeiten geschützt zu sein. „Die Illusion von Sicherheit“ nennt das Wen Tang und warnt: „Cybersicherheit ist keine einmalige Anschaffung, sondern ein fortwährender Prozess, zu dem Bewusstsein, Management, Lösungen und Produkte gehören. Der erste Schritt auf dem Weg zu mehr Cybersicherheit sollte daher erstmal darin bestehen, einen permanenten Blick in seine industriellen Steuerungssysteme zu werfen. Nur so kann man tatsächlich sehen, was jeden Tag dort vor sich geht.“

Wer sich regelmäßig um die IT-Sicherheit bemühe, könne zwar ebenfalls keine hundertprozentige Immunität erwarten, mache es aber Angreifern so schwer, dass diese im besten Fall das Interesse verlören.

Lösungen zum Schließen von Sicherheitslücken

Bereits seit Anfang 2005 leistet ein Labor bei Siemens Corporate Technology unter der Leitung von Wen Tang bahnbrechende Forschungsarbeit zur industriellen Sicherheit. Das Aufgabenspektrum des Industrial Security Lab hat sich jedoch verändert. Stand früher Forschung im Mittelpunkt, so geht das Team inzwischen immer häufiger zu Kunden, die eine Steuerung von Siemens oder auch von Wettbewerbern betreiben. Es bietet Risikoanalysen an, um Sicherheitslücken aufzudecken, und erarbeitet Lösungen, wie man diese schließen kann. Seit 2014 unterstützt das Lab auch Kunden und Behörden und hat damit das Vertrauen in Siemens als Partner vor Ort gestärkt.

Im Labor selbst sind zu Demonstrationszwecken mehrere Installationen aufgebaut, zum Beispiel das Automatisierungs-Testfeld einer typischen Fabrik. Hier kann Wen Tang Besuchern – etwa Kunden oder staatliche Institutionen – demonstrieren, wie leicht Hacker die Steuerung kapern können, wenn bei Schutzmaßnahmen geschludert wurde. Dann nutzt Wen Tang ein im Team entwickeltes Werkzeug namens Styx, um einen Sturmangriff auf ein Netzwerk zu simulieren. Das Team zeigt Kunden auch im Rahmen von Training-Sessions wie sie ihren Sicherheitsstatus etwa mit der Analyse-Lösung OT Security Appliance (OSA) von Siemens verbessern können.

Simulierter Sturmangriff:Die Siemens-Forscher demonstrieren, wie leicht Hacker eine Fabriksteuerung kapern können.

Das Lab arbeitet derzeit an unterschiedlichen Projekten. Styx (Security Testing Systems for Protocol X) ist ein weithin bekanntes Werkzeug, das im Industrial Security Lab entwickelt wurde. Styx füttert bei Tests das zu prüfende System mit Millionen absichtlich fehlerhafter Kommunikationspakete, eine Methode die man Fuzz-Testing (unscharfes Testen) nennt. Sie untersucht, ob das System langsamer wird oder gar abstürzt. Der Vorteil von Styx: Es braucht keine Kenntnisse über das System und findet auch bisher unbekannte Fehler, die sich daraufhin schnell beheben lassen, um die Sicherheit von Siemens-Produkten zu verbessern. Ob es sich bei dem zu testenden System um die Steuerung einer Getränkeabfüllanlage oder eines Kraftwerks handelt, spielt keine Rolle. Experten sprechen deshalb von Black-Box-Testing. Zehn Millionen Testfälle für rund 30 unterschiedliche Industrieprotokolle hat Styx bereits ausgeführt.

 

Styx testet Automatisierungssysteme vor der Auslieferung an den Kunden oder wenn es bei bestehenden Anlagen einen Verdacht auf Sicherheitsrisiken gibt. OSA hingegen wurde von Siemens CT China für die Überwachung einer Fertigungsanlage im laufenden Betrieb entwickelt. Dabei bietet OSA eine umfassende Kontrolle von Asset- und Sicherheitsfunktionen in industriellen Automatisierungsnetzwerken und -anwendungen.

In China entwickelt – weltweit genutzt

Styx und OSA wurden bei Corporate Technology in Peking entwickelt. Warum hier und nicht anderswo? „Weil wir nah an den Kunden sind und aufgrund der engen Zusammenarbeit ihre Probleme verstehen“, sagt Wen Tang. „Außerdem sind im Team viele Fachleute, die Sicherheitswerkzeuge und Software für den Bedarf lokaler Kunden entwickeln können.“ 

01.02.2019

Bernd Müller

 

Siemens hat den Cyber Security Operation Center (CSOC) Service als Teil seines Cyber Defense Center (CDC) in Suzhou, China eingerichtet. Damit will das Unternehmen sich und seine Kunden sicher auf dem Weg in die Digitalisierung begleiten.

 

Siemens China CDC bietet Services mit denen die Sicherheit von Fabriken, Anlagen und Infratstrukturen überwacht werden kann:  Sie werden vor Angriffen aus dem Netz geschützt. Im Falle einer Bedrohung erhalten die Besitzer eine Warnung, und Gegenmaßnahmen werden koordiniert. Die Leistungen von China CDC Security Assessments und Consulting, beinhalten jedoch auch weitere neue Sicherheitsservices. Mit ihnen kann Siemens Unternehmen in der Fertigungs- und Prozessindustrie unterstützen: Für alle Lösungen gilt, dass sie in der Lage sind, Sicherheitsbedrohungen frühzeitig angehen zu können und weiteren Schaden abzuwenden.

 

Zudem hat Siemens China CDC intern und extern Zertifizierungen erhalten und Auszeichnungen gewonnen. So erhielt es die ISO 27001-Zertifizierung durch TÜV SÜD Certification and Testing (China) Co., Ltd. Peking. Außerdem erhielt es die National Grade Protection Level 3-Zertifizierung. Als erstes globales Unternehmen überhaupt, das die höchste Zertifizierung für Cybersicherheit erhielt, wird Siemens lokale Branchen auf ihrem Weg in die Digitalisierung sicher begleiten.

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.