Es muss nicht immer ein gezielter Angriff sein. Spätestens seitdem der Pharmariese Merck 2017 Opfer der Ransomware Notpetya wurde, dürfte allen Chemie- und Pharmaunternehmen klar sein, wie anfällig die Sicherheit und Verfügbarkeit ihrer Produktionsnetze und Automatisierungssysteme ist. Merck hatte teilweise mehrere Wochen mit Produktionsausfällen zu kämpfen und musste sich Medikamente von US-Behörden ausleihen. Der Vorfall kostete den Konzern 375 Mio. Dollar. Anders als Bayer oder die in Saudi-Arabien operierende Ölraffinerie Tasnee, wurde Merck noch nicht einmal aktiv angegriffen. Mercks Verluste waren reiner Kollateralschaden. Die Stillstände in der Produktion entstanden durch sogenannte Spillover-Effekte. Die Schadsoftware war über die notwendigen Verbindungen von der Office-IT auf die Produktionslinie übergesprungen.
Produktions-IT ist ein blinder Fleck
In diesem Moment zeigten sich die offenen Flanken der Digitalisierung: höhere Systemkomplexität, Öffnung der Produktions-IT nach außen sowie die (bislang mehr schlecht als recht funktionierende) Vermählung einer sicherheitsorientierten Office-IT und ungesicherten, verfügbarkeitsorientierten Produktions-IT. Letztlich konnte Merck noch von Glück sprechen. Weder wurden Menschen durch veränderte Rezepturen gefährdet, noch wurden Mitarbeiter verletzt. Gerade in der Chemieindustrie existiert zwischen Cybersicherheit und Arbeitsschutz eine dünne Linie. Auch zum Diebstahl sensibler Daten kam es nach aktuellem Wissensstand nicht. Die Verletzbarkeit der Prozessindustrie hat verschiedene Gründe, die sich auch auf andere Industriezweige und kritische Infrastrukturen übertragen lassen. Der Spezialist für industrielle IT-Sicherheit Sebastian Rohr beschreibt in seinem Buch „Industrial IT Security“ (Vogel, 2019) die drei Kernprobleme der Produktions-IT:
- Fehlende Awareness bei den Mitarbeitern
- Unzureichende Dokumentation der Anwendungen und Systeme
- Fehlende Überwachung der Infrastruktur und Anwendungen
Während der erste Punkt über Schulungen behoben werden kann, geht es bei den Punkten 2 und 3 um organisatorische wie technische Problemstellungen.
Rohr stellt in Bezug auf die Dokumentation (bzw. das Asset Inventory) ernüchternd fest: „Im Gegensatz zur ausführlichen und durch Qualitätsmanagement stetig verbesserten Dokumentation der mechanischen und safety-kritischen Komponenten einer Anlage sind die Informationen hinsichtlich der verwendeten oder installierten IT-Systeme, Betriebssysteme, Anwendungen, Tools und Datenbanken oder Verzeichnisse oft mangelhaft, bestenfalls dürftig oder teilweise schlicht und ergreifend überhaupt nicht vorhanden.” Dies erschwere auch die Verwaltung, Diagnose und Fehlerbehebung der Assets (Komponenten, Systeme, Anwendungen, Daten). Notwendig ist im Mindesten die Identifikation und Visualisierung der Komponenten, Systeme und Verbindungen untereinander oder zu außerhalb des Netzwerkes liegenden Kommunikationspartnern. Hinzu kommen Informationen zu Versionsstand, Konfiguration, Protokollen, IP-Adressen, Ports und Kommunikationsmustern.
Nach Stabilitäts- und Sicherheitsaudits bei Industrieunternehmen und kritischen Infrastrukturen reagieren die Verantwortlichen meist überrascht, welche Geräte und Anwendungen sich in der Produktions-IT verstecken und mit wem diese alles kommunizieren. Bei den Audits werden mittels industriellem Netzwerkmonitoring mit integrierter Anomalieerkennung alle Kommunikationsvorgänge innerhalb der Produktions-IT aufgezeichnet und nachfolgend analysiert. Dabei werden nicht nur die Vorgänge dokumentiert, die über die an den Netzwerkgrenzen stationierten Router und Firewalls laufen. Auch die Kommunikation, die innerhalb des Produktionsnetzes zwischen den Komponenten verläuft, wird erfasst. Die Verantwortlichen für die Produktions-IT erhalten durch das Audit häufig erstmals eine vollständige Übersicht aller Assets, deren Eigenschaften und Verhalten. Nicht selten werden unsichere Ports, Protokolle und Internetverbindungen gefunden. Genauso finden sich in fast allen ausgewerteten Kommunikationsdaten unbekannte Geräte und Versionsstände mit Sicherheitsschwachstellen.
Vogel-Strauß-Taktik funktioniert nicht
Die Produktionslinien in der Chemieindustrie sind eigentlich gut überwacht. Zumindest trifft dies für Leistungs-, Verbrauchs- und Abnutzungsparameter der Anlagen zu. Sowohl für die Prozesssteuerung als auch eine sich entwickelnde vorausschauende Instandhaltung ist dies unabkömmlich. An der Überwachung der Produktions-IT dagegen hapert es. Sebastian Rohr unterstreicht: „Diese Beobachtung und Auswertung bietet jedoch erhebliche Mehrwerte, da die Analyse des Netzwerkverkehrs oder der Auslastungsparameter der IT-Komponenten Rückschlüsse auf möglicherweise bislang unentdeckte Angriffe oder Manipulationsversuche ermöglicht.” Das Bundesamt für Sicherheit in der Informationstechnik empfahl deshalb jüngst, das Netzwerkmonitoring mit Anomalieerkennung standardmäßig in der Produktions-IT zu integrieren. Dieses überwacht kontinuierlich jede Kommunikation im Produktionsnetzwerk und meldet Abweichungen vom zu erwartenden Kommunikationsmuster während des Regelbetriebs.
Unsere Erfahrungen aus Monitoringprojekten haben uns gelehrt: Sicherheit ist das A und O, jedoch nie das ganze Bild. Neben neuen Netzteilnehmern, Abweichungen im Kommunikationsmuster (z. B. Änderung der Protokolle und Befehlsstruktur aufgrund von Schadsoftware, Angriffen oder Manipulation) sowie ungeschützter Passwortübermittlung sind auch technische Fehlerzustände zu berücksichtigen. In Produktionslinien mit Echtzeitansatz können Übertragungsfehler, verlängerte Umlaufzeiten und Kapazitätsüberschreitungen einzelner Komponenten mitunter zu Prozessabbrüchen oder Qualitätsschwankungen führen.
Die Auswertung der Daten unseres Netzwerkmonitorings mit Anomalieerkennung zeigt zumindest, dass technische Fehlerzustände sehr verbreitet sind. Genauso verhält es sich mit unsicheren Protokollen, schwachstellengeplagten Ports und nicht zur Produktion gehörender Kommunikation. Zur Gewährleistung der Cybersicherheit, Produktqualität und des Arbeitsschutzes sollte die durchgängige Sichtbarkeit und eine kontinuierliche Überwachung der Produktions-IT deshalb zu den Kernaufgaben der Sicherheitsverantwortlichen gehören. Ein Netzwerkmonitoring mit Echtzeitmeldung von Gefährdungen sowie Echtzeitvisualisierung der aktiven Komponenten stellt hierfür alle Funktionalitäten zur Verfügung.
Suchwort: cav0819rhebo
Autor: Thomas Friedel
Sales Manager,
Rhebo
