Stellen Sie sich vor, Sie müssten dafür bezahlen, Zugriff auf Ihre eigenen Maschinen zu bekommen. 6754 Fälle solcher digitaler Erpressung unter Einsatz so genannter Ransomware registrierte das Bundeskriminalamt (BKA) im Jahr 2013 – und die Fälle nehmen schnell zu, so das aktuelle Lagebild Cybercrime. Eindringlinge sperren den Computer oder den Zugriff auf wichtige Daten, über Manipulation des Betriebssystems oder indem sie den Datenbestand verschlüsseln. Nur wer das Lösegeld bezahlt, bekommt wieder vollen Zugang. Was bei einem Bürocomputer möglicherweise nur zeitweise Untätigkeit für einige Mitarbeiter bedeutet, kann in einer laufenden Produktion zu verheerenden Schäden führen.
Der beste Schutz ist deshalb, die Angreifer von Anfang an wirkungsvoll auszusperren. Das klingt zunächst nach einer rein technischen Aufgabe. Firewalls, Virenscanner und Co. können ein Netzwerk vor Schad-Software schützen. Stefan Ditting, Produktmanager von Hima, setzt dabei auf Produkte aus unterschiedlichen Quellen: „Mehrstufige Abwehrsysteme von verschiedenen Herstellern minimieren die Wahrscheinlichkeit gleichartiger Schwachstellen, also common cause failures.“ Und er empfiehlt, die separaten sicherheitsgerichteten Steuerungen ausschließlich über definierte Schnittstellen kommunizieren zu lassen. Denn sie stellen die letzte Verteidigungslinie dar.
Doch manchmal reißen Anwendungen Löcher in diesen Schutzwall. Laut Raphael Labaca Castro, Security Researcher bei Eset, sind regelmäßige Updates deshalb ebenso unerlässlich wie der Virenschutz. Die größte Bedrohung geht seiner Ansicht nach derzeit von Botnets aus, also ganze Gruppen von Computern, die mit einem Schadprogramm infiziert sind und durch Dritte ferngesteuert werden. Oft dienen sie nur dem Versand von Spam, ihre vereinte Rechenkraft kann aber auch dazu genutzt werden, Zugangssysteme anzugreifen.
Um Schwächen von Software und Hardware zu minimieren, sollten alle nicht benötigten Programme, die sich auf PCs zum Teil vorinstalliert finden, vollständig entfernt werden. Ebenso sollten die Anwender Betriebssystem-Services und Anschlüsse, die nicht genutzt werden, stilllegen, empfiehlt Marcel Rameil, Technical Sales Consultant von Invensys.
Nicht nur Einzelmaßnahmen
Das Wichtigtste aus Rameils Sicht ist jedoch ein Sicherheitskonzept von Anfang an: „Überlegungen zur Cyber-Sicherheit müssen von Beginn an in die Systementwicklung einfließen. Entsprechende Mechanismen können nicht erst im Nachhinein eingebunden werden. Ohne die Einhaltung von Standards, Best Practices, Richtlinien und Prozeduren zur Abwehr von Cyber-Angriffen ist jedes Automatisierungs- und Sicherheitssystem möglichen Angriffen schutzlos ausgeliefert.“
Zu den Richtlinien zählen beispielsweise Security-Policies, die festlegen, wie ein sicheres Kennwort aufgebaut ist und wie häufig es erneuert werden muss. Solche Richtlinien müssen definiert, vermittelt und so umgesetzt werden, dass der Mitarbeiter sie nicht umgehen kann.
Ein wirkungsvolles Sicherheitskonzept ist bei Frimo, einem Hersteller von Fertigungssystemen für Kunststoffbauteile, im Einsatz. Hier dürfen Zugriffe auf die Maschinen und Anlagen nicht von außen initiiert werden, sondern die Verbindung wird zunächst von innen aufgebaut. So wird Fernwartung möglich, ohne die Security zu gefährden. IT-Administrator Axel Starflinger betont: „Maschinenbetreiber stehen einem externen Zugriff auf ihr Produktionsnetz generell skeptisch bis ablehnend gegenüber. Die Vorteile einer schnellen Störungsbeseitigung durch die Fernwartung und die Sicherheitsfeatures einer Lösung wie mGuard von Innominate können aber überzeugen, denn die ausgehende Verbindung unterliegt immer der Kontrolle des Kunden.“
Die Erkenntnis, dass nicht allein technische Maßnahmen für einen ausreichenden Schutz sorgen können, scheint sich erst langsam durchzusetzen. Eindringlich warnt deshalb Wolfgang Schenk von Belden: „Cybersicherheit ist keine bestimmte Komponente in der Wertschöpfungskette. Sie wird mehr und mehr zu einem strategischen Faktor. Sicherheit ist ein Prozess, den ich gerne Security by Design nenne. Dieser Prozess muss von Anfang an implementiert und – das ist wichtig – über alle Stufen gelebt werden. Das heißt, Sie müssen die Intelligenz des Netzes dezentralisieren, Attacken entdecken und nachverfolgen, Rechtssicherheit herstellen und nicht zuletzt das nötige Know-how aufbauen. Die Aufgabe nur technisch angehen zu wollen, ist zu wenig.“
Mitarbeiter einbinden
Was das Know-how betrifft, so ist jeder einzelne Mitarbeiter gefordert, zur Sicherheit seines Unternehmens beizutragen. Das muss ihm bewusst gemacht werden. „Letztendlich entscheidet er durch sein Verhalten, ob eine kritische Situation entsteht oder nicht“, erläutert Jochen Streib, Vorstand Safety Network International, und gibt Beispiele für Situationen, in denen die Aufmerksamkeit der Mitarbeiter gefordert ist: „In Automatisierung und Produktion geht es um den Umgang mit externen Servicetechnikern und Servicegeräten, das Verwenden des Produktionsnetzwerks mit sowohl privat wie beruflich genutzte Devicesn beispielsweise Smartphones, und den Umgang mit mobilen Speichern, wie USB-Sticks, an Produktionsanlagen.“ Streib plädiert deshalb für eine regelmäßige Information und Sensibilisierung von Anwendern und Konstrukteuren für solche kritischen Aspekte der verwendeten Technik.