Die Nutzung von Home Office erhöht die Cybergefahr für die Steuerungstechnik in den Unternehmen, da Angreifer über infizierte „Heim“- Rechner ins OT-Netz gelangen können.

Unter dem Eindruck der Corona-Krise wird flexibles Arbeiten zum Standard. „Digitale Technologien sind der Garant dafür, das Wirtschaftsleben in Zeiten von Ausgangssperren, Kontaktverboten und Produktionsstopps am Laufen zu halten. Die Corona-Krise ist eine Aufforderung an Politik und Wirtschaft, die Arbeitswelt schnellstmöglich, umfassend und dauerhaft zu digitalisieren“, sagt Bitkom-Präsident Achim Berg.

Doch die Sache hat auch einen Haken. So warnt der Leipziger Cyber-Sicherheitsdienstleister Rhebo vor ansteigenden Gefahren des Home Office während der Corona-Krise, was wiederum negative Folgen für die Cybersicherheit von Industrieunternehmen haben kann. Denn durch die Nutzung des Heimnetzwerkes steigt die Erfolgschance von Cyberkriminellen, Zugriff auf Unternehmensnetze zu erhalten.

Vernetzte Smart-Home-Geräte als Einfallstor

Davon können die notorisch schlecht gesicherten Steuerungsnetze in Industrieunternehmen besonders betroffen sein. Verantwortliche für die Sicherheit der IT und OT (Operational Technology) sollten sich auf einen Anstieg verdächtiger und neuartiger Vorgänge in den Netzwerken vorbereiten – und Strategien umsetzen, diese schnell zu identifizieren.

„Wir sehen vor allem das Risiko, dass Cyberkriminelle über das Heimnetzwerk leichter Schadsoftware auf einem Firmenrechner installieren können“, warnt Rhebo-CEO Klaus Mochalski. „Heimnetzwerke sind selten gut geschützt. Gerade mit professionellen Angriffstechniken haben die Angreifer leichtes Spiel.“

Zwar hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst sinnvolle Empfehlungen für die Arbeit im Home Office herausgegeben. Insbesondere vor Phishing-E-Mails wird gewarnt. Für die Kommunikation in Richtung Unternehmensnetz werden Virtual Privat Networks (VPN) empfohlen.

Jedoch muss für den Angreifer noch nicht einmal der eigentliche Firmenrechner die Eintrittspforte bilden. Viele Heime sind heutzutage mit smarten, vernetzten Geräten wie digitalen Assistenten, Thermostaten, Entertainmentsystemen und einer Vielzahl privater mobiler Endgeräte bestückt, die in der Regel keinerlei Sicherheitsfunktionen aufweisen. Diese können als erster Kontaktpunkt für Cyberkriminelle fungieren, um weitere Geräte im Heimnetzwerk zu kompromittieren.

VPN akzeptiert „gekaperten“ Rechner als legitimen Netzteilnehmer

„Die Angreifer springen sozusagen vom Alexa-Assistenten zum Firmenrechner, denn beide sind an dasselbe Heimnetz angeschlossen“, verdeutlicht Klaus Mochalski die komplexen Abhängigkeiten. „Ist der Angreifer erst einmal auf dem Firmenrechner, muss er eigentlich nur warten, bis sich die nächste Verbindung zum Unternehmensnetz ergibt. Dann hilft auch kein VPN mehr vor der Infizierung, denn das VPN akzeptiert den Firmenrechner als legitimen Netzteilnehmer. Im Zweifelsfall wartet der Angreifer auch einfach, bis die Corona-Krise vorbei ist und alle an ihren Arbeitsplatz zurückkehren. Die Mitarbeiter tragen die Schadsoftware gewissermaßen persönlich durch die Sicherheitsschranken ins Unternehmen. Zu dem meist komplett ungesicherten Steuerungsnetz in der Produktion ist es dann nur noch ein Katzensprung. Wir erwarten, dass es während der Corona-Krise und vor allem danach in vernetzten Produktionen vermehrt zu Störungen kommen wird. Auf so eine Chance wie Corona haben Cyberkriminelle eigentlich nur gewartet.“

Netzwerkmonitoring mit Anomalieerkennung schafft Sicherheit

Gängige Sicherheitstools überwachen ausschließlich die Netzwerkgrenzen und erkennen fast nur bekannte Gefährdungen. Die Cybervorfälle in Unternehmen seit 2016 zeigen jedoch vor allem eins: Schadsoftware wird ständig weiterentwickelt, während die Sicherheitstool immer einen Schritt hinterher hinken. In einer Krisensituation wie Corona wird die Dynamik diesbezüglich zunehmen. Wenn die unternehmensinternen Sicherheitstechnologien neuartige Kommunikationsmuster innerhalb des Steuerungsnetzes nicht erkennen, steht den Angreifern somit Tür und Tor offen.

Mit einem Netzwerkmonitoring mit Anomalieerkennung können Produktionsunternehmen diese Sicherheitslücke schließen. Das Monitoring sitzt zum einen innerhalb des Steuerungsnetzes und überwacht dort jede Kommunikation zwischen den Geräten. Zudem erlaubt die Anomalieerkennung das Aufspüren unbekannter Angriffsmuster, da diese sich in neuartiger Kommunikation niederschlagen.

Auch ein Stabilitäts- und Sicherheitsaudit kann helfen

Wenn ein im Home Office infizierter Firmenlaptop sich mit dem Steuerungsnetz verbindet und die Schadsoftware aktiv wird, meldet die Anomalieerkennung dies in Echtzeit als verdächtige, zuvor unbekannte Kommunikation. Verantwortliche für IT/OT-Sicherheit werden so umgehend über schädliche Aktivitäten informiert und können direkt entsprechende Gegenmaßnahmen wie Netzwerktrennung und Quarantäne einleiten.

Zusätzlich kann in den Wochen nach Normalisierung der Arbeitsprozesse auch ein Stabilitäts- und Sicherheitsaudit helfen. Es wird über einen festen Zeitraum die gesamte im Steuerungsnetz auftretende Kommunikation und identifiziert bestehende Schwachstellen oder Sicherheitsprobleme analysiert. So können die Verantwortlichen nach der Krise mit einem bereinigten System starten und eine stabile Produktion sicherstellen.

Die Datensicherung auf OT ausweiten

Eine weitere wichtige Präventionsmaßnahme ist die Datensicherung. Waxar, Spezialist für betriebssystem-unabhängige Backup-Lösungen,empfiehlt, diese auch auf OT auszuweiten.

In produzierenden Unternehmen führt Datenverlust durch Schadcode wie Ransomware oder infolge eines Hardware-Crashs zu Maschinenstillstand und Produktionsausfall. Eine Wiederherstellung der Funktionalität der Produktionssysteme ist zeit- und kostenaufwendig und in der Regel nur mit der Unterstützung durch Techniker von IPC-Herstellern und Anlagenbauern zu bewerkstelligen. Durch vorbeugende Datensicherung können die Wiederherstellungszeiten deutlich abgekürzt und finanzielle Verluste reduziert werden.

Die zunehmende Vernetzung zwischen IT und OT im Rahmen von Industrie 4.0 macht Produktionssysteme für Cyberangriffe erreichbar und vergrößert das Ausfall-Risiko für die Fertigung erheblich.

Während zuvor gängige Wege der Schadcode-Verbreitung über USB-Sticks oder gehackte Fernwartungslösungen noch einigermaßen unter Kontrolle zu halten waren, ist mit der Vernetzung eine nicht mehr kontrollierbare Vielfalt an Verbreitungsmöglichkeiten und eine rapide wachsende Zahl an Schadcode-Variationen entstanden. Besonders gefährdet sind veraltete Betriebssysteme mit bekannten offenen Schwachstellen, die in der Industrie nach wie vor häufig verwendet werden.

Was OT-Sicherungssoftware leisten sollte

Sicherungssoftware für Backups in Produktionsumgebungen muss die besonderen Anforderungen von Steuerungssystemen berücksichtigen. Im Unterschied zur IT, für die im Lauf der Zeit selbst erzeugten Dateien entscheidend sind, stehen in der OT Daten im Mittelpunkt, die die Funktionalität einer Anlage sicherstellen, wie Betriebssystem-, Konfigurations- und Lizenz-Daten sowie maschinenspezifische Treiber.

Eine Wiederherstellung dieser Daten ermöglichen betriebssystem-unabhängige Backup-Lösungen durch eine bit-genaue Sicherung aller Informationen vom Datenträger. Sie sichern auch proprietäre Betriebssysteme und Daten von instabiler Hardware. Damit sie das Produktionssystem nicht beeinträchtigen, werden sie außerhalb des Betriebssystems beispielsweise von USB-Sticks, externen Festplatten oder anderen Speichereinheiten aus ausgeführt.

Zudem sollten Datensicherung und Restore weitestgehend automatisiert ablaufen, damit auch Benutzer ohne spezielle IT-Kenntnisse eigenständig Sicherungskopien ziehen und die Anlagenfunktionalität wiederherstellen können.

Autor: Jürgen Schreier

(c)2020
Vogel Communications Group

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.

Vogel Communications Group