Integrale Sicherheit: Sicherheit ist kein Default-Zustand


Cybersecurity in der Chemieindustrie


Datenklau und Schäden durch Malware sind für die deutsche Industrie ein 22-Mrd.- Euro-Problem, schätzt der IT-Verband Bitkom. Und Chemie- und Pharmaindustrie sind auch hier ganz vorne mit dabei. Dabei sind gezielte Hacker-Angriffe noch nicht einmal das Hauptproblem.

Zwei Drittel der deutschen Industrie sind von Datenklau, Spionage und Sabotage betroffen – der Schaden summiert sich laut IT-Verband Bitkom auf 22,35 Mrd. Euro pro Jahr. Nach einer Studie des IT-Verbands Bitkom (Wirtschaftsschutz 2015) stehen Chemie- und Pharmaindustrie auf der Beliebtheitsskala der Angriffsziele an zweiter Stelle.

Die grösste Tätergruppe für Datendiebstahl, Industriespionage oder Sabotage sind ehemalige und aktuelle Mitarbeiter, gefolgt von Lieferanten und Dienstleistern (Bitkom-Studie Wirtschaftsschutz 2015).


Mehr als zwei Drittel der Chemie- und Pharmaunternehmen in Deutschland hatten in den letzten zwei Jahren ein Cybersecurity-Problem. Besonders betroffen waren dabei die Bereiche Produktion sowie Forschung und Entwicklung. Und die Dunkelziffer ist hoch: Betroffene wenden sich selten an Ermittlungsbehörden, in der Regel werden IT-Security-Vorfälle in den Unternehmen nur intern untersucht; meist sind die Täter ehemalige oder aktuelle Mitarbeiter. Doch das Problem ist noch deutlich grösser, als Medienberichte über aktive Sabotage und Spionage sowieso schon vermuten lassen: Für die Verfügbarkeit von Chemieanlagen stellen Computerviren eine noch grössere Gefahr dar.

Obwohl die meisten Unternehmen technische Massnahmen wie Passwortschutz auf den Geräten, Firewalls und Virenscanner installiert haben und auch ihre Netzwerkverbindungen verschlüsseln, reicht dieser Basisschutz längst nicht mehr aus. Wie konkret die Bedrohung von aussen ist, zeigte auch der Angriff auf ein deutsches Stahlwerk vor drei Jahren: Hacker hatten sich über gefälschte E-Mails an Mitarbeiter des Stahlherstellers Zugriff auf das Büronetzwerk verschafft und sich von dort aus bis in die Automatisierungssysteme der Produktion vorgearbeitet und schliesslich die Steuerung eines Hochofens übernommen. In der Folge wurde die Anlage schwer beschädigt, der Schaden ging in die Millionen.

Während es sich bei diesem Angriff um eine gezielte Attacke auf ein bestimmtes Ziel handelte, ist die Gefahr prinzipiell auch für jede andere Industrieanlage sehr gegenwärtig. Wie konkret, testete der TÜV Süd mit einer sogenannten Honigfalle (Honeynet): Dazu wurde die Wasserversorgungsanlage einer Kleinstadt mit realer Steuerungs-Hard- und Software simuliert. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Das Ergebnis erschreckt selbst hartgesottene Automatisierer: Innerhalb von acht Monaten verzeichnete der fiktive Betreiber über das Internet rund 60‘000 Zugriffsversuche aus 150 Ländern, allen voran China und die USA.

Der IT-Security-Spezialist Kaspersky berichtete im vergangenen Jahr von 26.000 Steuerungsrechnern, die alleine in Deutschland via Internet erreichbar sind – die meisten davon (92 %) nutzen unsichere Internetverbindungsprotokolle, die Angreifern sogenannte „Man-in-the-Middle“-Attacken ermöglichen. Dazu kommt, dass die voreingestellten Passwörter der Steuerungshersteller häufig von den Anwendern nicht durch eigene ersetzt werden – offenbar in Unkenntnis darüber, dass die simple Suchmaschinenanafrage „scada passwords“ Listen der Default-Zugangscodes liefert, die von der „Netz-Community“ mit viel Liebe zum Detail aktuell gehalten werden (letztes Update: November 2016). Dazu kommt, dass manche Hersteller es gar nicht zulassen, Passwörter zu ändern. Kein Wunder, dass auch der Sachversicherer Allianz die Cybersecurity für das Risiko hält, auf das Unternehmen am schlechtesten vorbereitet sind.

Doch was tun? Massnahmen, wie sie beispielsweise von der Regierung in Singapur ergriffen werden, kann sich die Industrie im Zeitalter der Industrie 4.0 nicht leisten: So hatte die Regierung in Singapur im vergangenen Jahr angekündigt, fast alle 100‘000 Behördenrechner vom Internet trennen zu wollen. Als Antwort empfiehlt der IT-Verband Bitkom ein ganzes Bündel an Massnahmen umzusetzen: Dazu gehört die Erhöhung der organisatorischen Sicherheit, die Sicherheit im Hinblick auf die Mitarbeiter zu verbessern, und schliesslich Sicherheitszertifizierungen anzustreben, um zu erreichen, dass sich ein Unternehmen nachhaltig mit dem Thema Sicherheit und Cybersecurity auseinandersetzt.

In der chemischen und pharmazeutischen Produktion gewinnt insbesondere die IT-Sicherheit der Automatisierungssysteme (Automationsecurity) an Bedeutung. Mit der Namur Empfehlung NE 153 hat der Arbeitskreis 4.18 der Anwendervereinigung bereits vor zwei Jahren ein Papier vorgelegt, in dem die grundsätzlichen Anforderungen an zukünftige Automatisierungslösungen definiert werden.
Die Automatisierungsanwender in der Prozessindustrie wollen damit erreichen, dass IT-Securitykonzepte und -funktionen künftig ein integraler Bestandteil der Automatisierungskomponenten werden, und damit auch selbstverständlich zum Funktionsumfangs dieser Lösungen gehören. Den Anwendern geht es insbesondere darum, die Komplexität von Automatisierungslösungen zu reduzieren, wenn IT-Security von vornherein Bestandteil einer Komponente ist. Denn derzeit werden technische Cybersecurity-Massnahmen in der Regel zusätzlich aufgepfropft, was die Komplexität der Automatisierungsstruktur erhöht.

Doch was können Anlagenbetreiber bereits heute tun? Der Chemieverband VCI beschreibt in seinem 2015 erschienenen „Leitfaden Automation Security“ Handlungsfelder und die wesentlichen Bestandteile eines Konzeptes für die IT-Security von Automatisierungstechnik. Demnach muss die Grundlage für ein Sicherheitskonzept eine Risikoanalyse für alle betroffenen Systeme und Komponenten in einer Produktionsanlage sein. Diese sollte zudem regelmässig der aktuellen Bedrohungslage angepasst werden. Auf der Namur-Hauptsitzung im November 2015 wurden dafür Ansätze vorgestellt: So definiert die systembasierte Vorgehensweise das Risiko als Produkt aus der Wahrscheinlichkeit des Angriffs und den Auswirkungen eines erfolgreichen Angriffs. Um dieses zu quantifizieren, wurden in der für Steuerungs- und Leittechnik massgeblichen Norm IEC 62443 (ehemals ISA 99) analog zum Safety Integrity Level SIL der Funktionalen Sicherheit vier Schutzziele (Security Level, Target Protection Level) definiert. SL-0 bedeutet, dass keine besonderen Anforderungen bestehen und keine besonderen Schutzmassnahmen zu ergreifen sind, SL-4 steht dagegen für das höchste Schutzziel: den Schutz gegen vorsätzlich durchgeführte Angriffsszenarien mit hochentwickelten Hilfsmitteln. Wie hoch das aktuelle Schutzniveau in einer Anlage ist, wird dabei mit einem Fragebogen erfasst. Darauf aufbauend empfiehlt IEC 62443 die Einteilung des Automatisierungssystems in Zonen und Kommunikationsschnittstellen.

IEC 62443 gibt generell gute Hinweise, um seinen Cyber Security Status zu verbessern, allerdings ist die Norm meiner Meinung nach von ihrer Wortwahl her zu kompliziert und zu EDV-lastig“, bewertet Thomas Wegner, Lead Security Architect beim norwegischen Düngemittel-Hersteller Yara, den Standard. Das Chemieunternehmen hat bereits früh eine eigene Vorgehensweise für die Bewertung von Cybersecurity-Risiken entwickelt: „Man muss den Automatisierungsingenieuren etwas an die Hand geben, das verständlich und praktikabel ist“, so Wegner. Seine Empfehlung: Ein Team, bestehend aus IT- und Automatisierungsingenieuren des Unternehmens, sollte die Inhalte der Norm in eine an das Unternehmen angepasste und für die Mitarbeiter verständliche Anleitung übersetzen: „Stelle fest, was Du hast, lege fest, was wichtig ist und schütze dann konsequent das, was wichtig ist.“ Als primäre Massnahmen empfiehlt Wegner das per Firewall oder Daten-Diode getrennte Betreiben von kritischen Systemen in eigenen Netzwerken, deren vollständige Härtung sowie periodische Updates und konsequente Virenkontrolle.

Das mit Abstand grösste Sicherheitsproblem im Hinblick auf die Anlagenverfügbarkeit stellen aus Sicht des Security-Experten Viren dar, die über USB-Sticks oder ungeprüfte Laptops in das Unternehmen gelangen. Bei Yara hat man – wie in vielen anderen Chemieunternehmen auch – deshalb USB-Anschlüsse gesperrt und werden Laptops vor dem Anschliessen einer Virenprüfung unterzogen. Um das Bewusstsein bei Mitarbeitern und Dienstleistern zu erhöhen, werden USB-Anschlüsse nicht nur elektronisch deaktiviert, sondern mit farbigen Kunststoff-USB-Locks blockiert. Der physische Zugriff auf PC wird erschwert, indem diese in PC-Schränken weggeschlossen werden, die Kommunikation für Fernwartungsmassnahmen muss manuell initiiert werden und ist Timer-gesteuert zeitlich limitiert. Zudem helfen E-Learning-Massnahmen dabei, das Bewusstsein der Mitarbeiter für das Vermeiden von Cybersecurity-Risiken zu schärfen. „Die meisten Vorfälle passieren, weil Mitarbeiter nicht gut genug Bescheid wissen“, berichtet Wegner.

Um festzustellen, wie wirksam diese Massnahmen sind, hat man bei Yara professionelle Computer- und Netzwerk-Penetrations-Tester beauftragt, in die Automatisierungs-System-Netzwerke einzudringen. Vor der Umsetzung konnten sich diese in anderthalb Tagen Zugriff verschaffen, nachher war es den Auftragshackern innerhalb von mehreren Wochen nicht mehr gelungen. Doch darauf ausruhen kann man sich nicht – damit Cyber Security nicht nur eine Modeerscheinung bleibt, empfiehlt Wegner die finanziellen Aufwendungen dafür im Safety-Budget unter zu bringen – denn „für Automatisierungs-Systeme gilt: ohne Cyber Security keine Safety“, so Wegner.

 

Chemietechnik.de; Armin Scheuermann; 09.03.2017
http://www.chemietechnik.de/ct-report-cybersecurity-in-der-chemischen-industrie/

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK