Im Zeitalter der fortschreitenden Digitalisierung und Vernetzung der Fertigungsstätten genießen Hersteller die daraus resultierenden Vorteile. Jedoch birgt die wachsende Vernetzung auch Gefahren – und diese tragen menschliche Züge.
Das Industrial Internet of Things ist eigentlich eine feine Sache. Es befähigt Hersteller, ihren Produktionsprozess zentral besser zu steuern, die Sensordaten zur Produktionsplanung zu nutzen und effizientere Wartungszyklen durch die digitale Erfassung des Maschinenverschleißes durchzuführen.
Um dies zu bewerkstelligen, müssen alle Komponenten an ein Netzwerk angebunden sein und ihren aktuellen Status zentralen Produktionssteuerungssystemen mitteilen, die wiederum in die Prozesse eingreifen können.
Für Cyberkriminelle ist es durchaus interessant, sich digitalen Zugang zu den Produktionsanlagen zu verschaffen. Die Motivation kann variieren.
Klassisch ist der Einbruch in IT-Systeme, um vertrauliche Informationen über Produktionsmethoden, den Konditionen beim Einkauf von Rohstoffen oder über zusammenhängende Prozesse mit dritten Dienstleistern zu erlangen. Doch auch Erpressung kann im Fokus des IT-Einbruchs stehen. Nicht zuletzt könnten Wettbewerber auf illegale Weise versuchen, die Produktion zu stören und so einen Produktionsbetrieb empfindlich zu treffen. Gerade eine Störung oder gar Unterbrechung des Produktionsprozesses kann das betreffende Unternehmen ziemlich teuer zu stehen kommen und im schwerwiegendsten Fall das Weiterbestehen der Firma gefährden.
Obwohl nahezu jedes Unternehmen über die notwendige IT-Sicherheitsstrukturen und -Tools verfügen dürfte, gelingen diese Angriffe immer wieder. Denn vor einem Faktor schützen Firewalls und Anti-Malware-Tools nur bedingt: den menschlichen Schwächen der eigenen Mitarbeiter. Da die technischen Abwehrmechanismen, die Unternehmen zur Verfügung stehen, mittlerweile ziemlich ausgeklügelt sind, verlegen sich Cyberkriminelle auf die Ausnutzung dieser Schwächen. Insbesondere ausgefeilte Social-Engineering-Techniken sind hier aus Sicht der Angreifer erfolgversprechend. Solche Attacken treffen jedoch nicht nur diejenigen, die aktiv im Herstellungsprozess eingebunden sind. Es könnte praktisch jeden treffen, denn wichtig ist vor Allem erst einmal der Zugriff auf IT-Komponenten, die sich im Netzwerk des Unternehmens befinden. Von dort aus ist es nur ein kleiner Schritt, die wirklich relevanten Systeme anzugreifen.
Angriffsziel Mensch
Wie gehen die Kriminellen dabei vor? Das Transportmittel der Wahl ist eine einfache E-Mail. Dabei handelt es sich längst nicht mehr um das legendäre Schreiben des nigerianischen Prinzen, der einfach so einen Abnehmer für seine Millionen Dollar sucht. Die heutigen Angriffsversuche sind perfide und die Mails sehen authentisch aus. So können etwa als Absender vermeintlich Vorgesetzte auftreten, die den Empfänger dazu auffordern, einen infizierten Dateianhang zu öffnen. Zwar verbieten es viele Mail-Programme, ausführbaren Code im Anhang zu öffnen, allerdings lassen sich mittlerweile auch harmlose Dateien, etwa Dokumente oder Grafikdateien manipulieren.
In solch manipulierten Dateien lässt sich vielfältige Schadsoftware verstecken. Das kann zum einen Malware sein, die von sich aus direkt aktiv wird, oder zum anderen auch solche, die den Angreifern in einem ersten Schritt lediglich unbeobachteten Zugang zum System des Anwenders ermöglicht. Auf dieser Basis können die Cyberkriminellen dann entscheiden, welche Form von Schadsoftware sie verbreiten wollen. Dazu gehören heutzutage auch Programme, die IoT-Geräte steuern, manipulieren, abschalten oder beschädigen können. Wenn es sich dabei um Systeme in der Produktion handelt, ist nicht nur das eigentlich manipulierte Device beschädigt, sondern möglicherweise auch die Fertigungssysteme und die dort seit der Manipulation gefertigten Produkte.
Um ein solches Szenario einer zerstörten Produktion zu vermeiden, muss man sich vergegenwärtigen, dass als Absender aber nicht nur der vermeintlich eigene Vorgesetzte mit einer gefälschten dienstlichen oder pseudo-privaten Adresse auftreten kann. Vielmehr können gerade gefälschte Mails auftauchen, die etwa den Absender bei einem legitim erscheinenden Zulieferer verorten.
Übung macht den Meister
Was ist dagegen zu tun? Wie so oft, bei der Vorbereitung auf Bedrohungssituationen, ist auch hier die beste Methode die Übung. Sogenannte Cybersecurity Awareness Trainings eignen sich an dieser Stelle sehr gut, um bei den Mitarbeitern langfristig ein Bewusstsein für das Thema IT-Sicherheit zu schaffen. Innerhalb eines übergreifenden Sicherheitskonzepts bestehen diese Trainings nicht nur aus Schulungsmaßnahmen. Die erlernten Inhalte werden in der Praxis „geübt“. Zu diesem Zweck werden fingierte E-Mails an die Mitarbeiter versandt, die allerdings nicht von Cyberkriminellen, sondern von dem Trainer stammen. Nur so kann wirklich nachvollzogen werden, ob die eigene Belegschaft ausreichend für dieses Thema sensibilisiert wurde. Technische Maßnahmen, etwa die Einführung einer starken Verschlüsselung für die Kommunikation oder der Überprüfung, ob die Mail von einer vertrauenswürdigen Domäne stammt, komplettieren diese Maßnahme.
Da der Schutz relativ einfach implementierbar, der Schaden im Fall eines Angriffs aber ziemlich hoch ist, sollten sich Entscheider und Sicherheitsverantwortliche sowohl aus der IT als auch aus der Produktion mit dieser Thematik eingehender beschäftigen – im Interesse ihres eigenen Unternehmens.
Autor: Werner Thalmeier
(c)2020
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group