Fokus 4 | 19

Gut gewappnet: keine Chance der Cyber-Gefahr

ABB rüstet Unternehmen gegen eCrime

Die Cyber-Gefahren für industrielle Prozesse sind in den vergangenen Jahren immer größer geworden. Deshalb ist es wichtig, für geeignete Cyber-Security-Maßnahmen zu sensibilisieren. ABB hat einen Prozess definiert, der die Kunden über mehrere Entwicklungsschritte zu bestmöglicher Sicherheit begleitet.

Fragt man in Unternehmen nach Cyber-Kriminalität, ist die Antwort häufig eine Mischung aus Sankt-Florians-Prinzip und Pfeifen im Walde: Statt sich mit der realen Gefahr zu befassen, hoffen die Verantwortlichen darauf, dass das digitale Haus der anderen in Brand gerät, oder sie behelfen sich mit Verdrängen. Das stellt die Studie „e-Crime in der deutschen Wirtschaft 2019“ der Wirtschaftsprüfer von KPMG unter repräsentativ ausgewählten Unternehmen fest. Demnach gaben 39% der befragten Firmen an, dass sie in den vergangenen zwei Jahren von e-Crime betroffen gewesen seien. Dennoch glauben viele, das Risiko, betroffen zu sein, sei für andere Unternehmen deutlich höher als für das eigene Unternehmen. In Zahlen: Für die deutsche Wirtschaft im Allgemeinen nehmen die Befragten ein hohes oder sehr hohes e -Crime-Risiko von 92% wahr, für das eigene Unternehmen jedoch nur eines von 52%. Die Studienautoren vermuten, dass dies ein entscheidender Grund dafür ist, dass die Bereitschaft, in die Prävention von Cyber-Kriminalität zu investieren, nach wie vor gering ist.

Die hohe Bedrohung ist bekannt, wie sich Unternehmen dagegen wappnen könnten, meistens auch. Dennoch zögern manche Unternehmen beim Ausbau der IT-Sicherheit – das zeigen einige Studien. Die Infografiken zitieren den Monitor 2.0 der ITS/KRITIS-Studie von 2018, in der IT-Verantwortliche von Kritischen Infrastrukturen und anderen wichtigen Betrieben befragt wurden.

Zu unkritischer Blick auf sich selbst

Die etwas paradoxe – wenn auch von der menschlichen Risikopsychologie her verständliche – Diskrepanz in der Wahrnehmung der Gefahr aus dem Cyberspace für das eigene Haus und für den Sektor allgemein zeigt sich in ähnlicher Weise im Monitor 2.0. Er ist 2018 im Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ (ITS|KRITIS) des Bundesministeriums für Bildung und Forschung auf der Basis einer Umfrage entstanden. Demnach schätzen auch die Betreiber von Kritischen Infrastrukturen ihre Bedrohungssituation sowie ihre eigenen Fähigkeiten, Cyberangriffe erfolgreich abzuwehren, offensichtlich zu unkritisch und damit optimistischer ein als die der eigenen Branche oder die des Wirtschaftsraums Deutschland. 100% der Befragten sehen eine sehr hohe (35%) oder hohe (65%) Bedrohungslage für den Wirtschaftsraum Deutschland; dagegen sehen nur 10% eine sehr hohe und 72% eine hohe Bedrohung für die eigene Organisation.

Der menschliche Faktor

Den Umfrageergebnissen von ITS|KRITIS und KMPG ist gemeinsam, dass die am häufigsten genannte Ursache für den Erfolg von Cyberangriffen das Fehlverhalten von Mitarbeitern ist. Menschliche Kriterien wie Unachtsamkeit und ungenügend geschulte Mitarbeiter gelten als entscheidende Faktoren bei der Entstehung von e-Crime. Entsprechend sind die Schulung und die Sensibilisierung der Beschäftigten die meistgenannten präventiven Maßnahmen. Zudem lösen Bedrohungen mit großer Medienaufmerksamkeit – wie WannaCry, das Mirai-Botnetz, Industroyer oder (Not)Petya – in den Organisationen die Reaktion aus, die IT-Sicherheit zu überdenken. Ähnlich wie bei den wichtigsten Ursachen für Cyber-Kriminalität sind die Studienergebnisse bei der Frage nach den Verantwortlichen von Cyber-Attacken – hier tappen die Unternehmen vielfach im Dunkeln. 58% der im Rahmen des ITS|KRITIS-Monitors Befragten konnten die Angreifer nicht feststellen. In der KPMG-Studie können sogar 85% der Betroffenen die Täter nur der Kategorie „unbekannte Externe“ zuordnen. Neben einzelnen Hackergruppen stehen häufig organisierte Wirtschaftskriminelle oder staatliche Stellen im Verdacht, sich hinter den Angriffen zu verbergen. Gesicherte Erkenntnisse fehlen aber meist.

Fataler Angriff: ICS Cyber Kill Chain

Häufig folgen externe Angreifer auf industrielle Leitsysteme (Industrial Control System, ICS) dem Handlungsschema der Cyber Kill Chain, das Lockheed Martin entwickelt hat, um Cyber-Angriffe zu beschreiben, und das das SANS Institute für industrielle Leittechnik adaptiert hat. Das Schema besteht zwei größeren Etappen, die ein immer tieferes Vordringen des Angreifers beschreiben. In Etappe 1 adressiert der Angreifer der Zielorganisation – an sich analog zu „klassischen“ Angriffen – auf Unternehmensnetze im Allgemeinen. In Etappe 2 nutzt der Angreifer den Zugang zum Unternehmensnetz, um detaillierte Informationen über die Leittechnik und deren Konfiguration zu sammeln. Auf Basis dieser Informationen entwickelt der Angreifer dann spezifisch auf die Zielorganisation und -anlagen zugeschnittene Angriffspläne, wählt dazu passende Werkzeuge aus oder entwickelt bei Bedarf auch neue Werkzeuge und parametrisiert sie entsprechend der Zielumgebung.

SCION als Internet-Architektur der Zukunft

Eine Arbeitsgruppe an der ETH Zürich ist dabei, mit der neuen Internet-Architektur SCION (Scalability, Control, and Isolation on Next-Generation Networks) viele Sicherheitsmängel des heutigen Internets zu beseitigen. Prof. Dr. David Basin erläutert: „Das Internet wurde nicht im Hinblick auf die Sicherheit entwickelt. Bei der Entwicklung der Architektur SCION war Sicherheit von Anfang an ein wichtiges Thema. Die Sender können selbst bestimmen, wie die Daten durch das Netzwerk fließen. Sobald der Datenverkehr auf einen bestimmten Pfad gelenkt wurde, können Dritte ihn nicht mehr umleiten. Darüber hinaus werden alle netzwerkbezogenen Informationen kryptografisch geschützt.“

"Das Internet wurde nicht im Hinblick auf die Sicherheit entwickelt."

Allgemeine Gefahren und spezielle Angriffe

Während der Aufbau von SCION eher noch Zukunftsmusik ist, unterstützt ABB seine Kunden unter den heutigen Gegebenheiten mit einer breiten Auswahl von angepassten Lösungen, um deren Sicherheit effizienter anzugehen. Ragnar Schierholz, Head of Cyber Security bei ABB Industrial Automation, erläutert: „In der IT-Welt sind Verfügbarkeit und Vertraulichkeit von Daten am wichtigsten. In unserer OT-Welt mit hochspezialisierter Leittechnik steht die deterministische Verhaltensweise des Systems im Fokus. Es tut, was es tun soll.“ IT und OT überschneiden sich und sind zudem von ähnlichen oder gleichen Gefahren bedroht. „Wir sehen eine Dichotomie, eine Zweiteiligkeit der Gefahren. Einerseits gibt es ein Grundrauschen von Cyber-Gefahren; gegen dieses helfen vergleichsweise einfache Gegenmaßnahmen wie regelmäßige Patches. Andererseits erleben wir sehr gezielte Angriffe gemäß dem Prinzip der Cyber Kill Chain“, sagt Ragnar Schierholz. Hier versuchen die Angreifer, sich in mehreren Schritten bis in das Leitsystem vorzuarbeiten. Abhilfe gegen Angriffe auf Unternehmen des Industriesektors und einzelne Anlagen schaffen Gegenmaßnahmen, die das Wissen um die Vorgehensweise des Angreifers nutzen und ihn abwehren. „Eine wirksame Abwehrstrategie ist beispielsweise, einen Angreifer in der frühen Phase bereits zu erkennen und zu beobachten, die Sicherheitsmaßnahmen auf die spezifischen Charakteristiken des erkannten Angriffs einzustellen und ihn so nichts Wichtiges erreichen zu lassen“, erklärt Ragnar Schierholz.

"Wir sehen eine Zweiteiligkeit der Gefahren. Einerseits gibt es ein Grundrauschen von Cyber-Gefahren, andererseits erleben wir sehr gezielte Angriffe."

Mit unterschiedlichen Lebenszyklen umgehen

Erschwerend wirken sich bei der Abwehr von Cyber-Bedrohungen die unterschiedlichen Lebenszyklen von Geräten und Anlagen in den Bereichen OT und IT sowie von (Schad-)Software aus. Während typische Lebenszyklen in der Prozessindustrie bei mindestens zehn bis 20 Jahren liegen, ist die IT-Welt samt Software sehr kurzlebig. „Die Verfügbarkeit und die Prozesskontinuität sind für die Industrie extrem wichtig“, sagt Ragnar Schierholz. „Deshalb ist es ratsam, während der Lebensdauer der Anlage jeden Versionensprung über kleinere Updates mitzumachen, um das Risiko für Upgrade-Projekte oder gar Anlagenstopps für große IT-Änderungen so gering wie möglich zu halten.“

Einen wesentlichen Anteil an der Verbreitung von Cyber-Gefahren haben Mitarbeiter, die durch Fehler oder Nachlässigkeiten Angriffswege in die Systeme öffnen.

Vier Mythen zerstören

„Häufig beginnt unsere Beratung bei Industriekunden damit, dass wir die klassischen vier Mythen zur Cyber Security zerstören müssen“, sagt Ragnar Schierholz. Der erste Mythos lautet, dass kleine Unternehmen und Branchen außerhalb der Medienpräsenz kein relevantes Ziel seien. Das ist falsch, weil alles, was es wert ist, besessen zu werden, auch lohnt, gestohlen zu werden. Starke Sicherheit sei Zeit- und Geldverschwendung lautet der zweite Mythos. Das ist falsch, weil kompromittierte Leittechnik verhindert, Aufträge rechtzeitig oder in erforderlicher Qualität zu erfüllen. Zudem führen nicht adressierte Sicherheitsrisiken zu erhöhten Prämien von Business-Continuity-Versicherungen bis hin zur Ablehnung durch Versicherer. Der dritte Mythos behauptet, unser System sei hermetisch abgeschottet und habe keine Verbindung zur Außenwelt. Das ist falsch, weil das Personal Daten in das System ein- und auslagern muss. Wenn keine Kommunikation eingebaut ist, werden praktische und gefährliche Workarounds improvisiert. Das System habe keine direkte Verbindung zum Internet, sodass Angreifer keinen Zugang hätten, lautet der vierte Mythos. Das ist falsch, weil die meisten Vorfälle mehrstufige Angriffe sind und sich die Angreifer im Unternehmensnetzwerk seitlich bewegen, um interessante Ziele zu erreichen.

In drei Stufen zu mehr Cyber-Sicherheit

Das Ausräumen der Mythen, die Sensibilisierung des Managements und anderer relevanter Ebenen des Unternehmens sowie die Identifikation von Bereichen mit dem größten Risiko auf der Basis der gemeinsamen Erfahrung zählen zur vorgeschalteten Stufe 0 des dreistufigen Modells von ABB zur Schaffung von mehr Cyber-Sicherheit.
In Stufe 1 führt das Unternehmen den Basisschutz ein und schafft damit die Grundlage für Cyber-Sicherheit im Betrieb. Es mindert die häufigsten Risiken durch Gegenmaßnahmen und etabliert ein kontextspezifisches, detailliertes Risikoverständnis.
In Stufe 2 baut das Unternehmen unter der Überschrift „Verteidigen Sie Ihr System“ ein Sicherheitsmanagementsystem auf der Grundlage der Ergebnisse der Risikobewertung auf, etabliert Sicherheitspraktiken systematisch und hält relevante Normen, zum Beispiel die deutsche KRITIS-Verordnung oder IEC 62443-2-1, ein.
In Stufe 3 beherrscht das Unternehmen seine Risiken. Es verbessert kontinuierlich sein Sicherheitsmanagementsystem entsprechend der Bedrohungslandschaft und dokumentiert die Einhaltung relevanter Normen.
Für die Aufgabenerfüllung in allen Stufen des Modells bietet ABB ineinandergreifende Module aus der ABB Ability Suite an. „Die Cyber-Sicherheitslösungen von ABB helfen den Kunden dabei, bessere Entscheidungen zu treffen, ihre Cyber-Abwehr zu verstärken und Cyber Security zu einem natürlichen Teil ihrer täglichen Routine  zu machen“, sagt Ragnar Schierholz. Die jeweiligen Servicepakete können selbstständig von Kunden genutzt oder über die ABB-Servicezentren implementiert und verwaltet werden.

Sicher in die Zukunft: Im ABB-Konzernforschungszentrum in Dättwil arbeiten Wissenschaftler an der Cyber Security von morgen – mit Technologien wie Blockchain, Quantencomputern und homomorpher Verschlüsselung.

Bereit für zukünftige Herausforderungen

An weiteren Lösungen von ABB für Cyber Security in der Zukunft arbeiten die Wissenschaftler im ABB-Konzernforschungszentrum in Dättwil. Ognjen Vukovic, Leiter des Bereichs Cyber Security, erläutert: „Im Projekt Service-Ledger untersuchen wir den Einsatz der Blockchain-Technologie in einem Microgrid-Szenario für Smart Contracts und Smart Billing zwischen den Beteiligten des Microgrids.“ Als ersten Meilenstein der praktischen Anwendung haben die Forscher blockchainfähige Smart Meter in einer Pilotanlage in der Schweiz eingesetzt. „In einem weiteren Projekt untersuchen wir, welche Gefahren zukünftig beim kriminellen Einsatz von Quantencomputern entstehen könnten, weil diese im Prinzip viele kryptografische Algorithmen knacken, die heute verwendet werden“, sagt Ognjen Vukovic. Es ist zwar unwahrscheinlich, dass es in den nächsten zehn bis 20 Jahren praktisch verwendbare Quantencomputer geben wird, aber da ABB digitale Produkte mit einer erwarteten Lebensdauer von über 20 Jahren baut, müssen sie kryptografische Algorithmen verwenden, die von Quantencomputern nicht geknackt werden können. Ein drittes Projekt in Dättwil hat die Analyse von hochvertraulichen Daten zum Inhalt. „Da viele Kunden sehr sensible Daten wie Betriebsgeheimnisse und Angaben zu Mitarbeitern nicht in die Cloud senden wollen, untersuchen wir technische Methoden wie die homomorphe Verschlüsselung, die es uns ermöglicht, verschlüsselte Daten zu analysieren, ohne den Schlüssel zu kennen“, sagt Ognjen Vukovic.

"Wir erfüllen als Geschäftsbereich die gleichen Vorgaben, die unsere Kunden als Betreiber einer Kritischen Infrastruktur selbst zwingend einhalten müssen."

Zertifizierter Partner

Die umfassende Kompetenz von ABB als Partner in Sachen Informationssicherheit zeigt sich auch in einem jüngst erreichten Zertifizierungserfolg: Der Geschäftsbereich Grid Automation von ABB Deutschland hat das Zertifikat für die Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 erworben; Cyber Security ist einer der Aspekte der Zertifizierung. „Um das Zertifikat zu erreichen, mussten wir einen dreistufigen Prozess mit Definition des Anwendungsbereichs, Schutzbedarfsanalyse und Risikobewertung durchlaufen“, sagt Johannes Hoffmann, Local Lead des Geschäftsbereichs Grid Automation von ABB. „Jetzt sind wir in der Lage, unseren Kunden zu belegen, dass wir als Geschäftsbereich die gleichen Vorgaben erfüllen, die sie als Betreiber einer Kritischen Infrastruktur nach gesetzlichen Vorgaben selbst zwingend einhalten müssen.“ Damit macht es ABB für den Kunden bei dessen eigener Zertifizierung viel einfacher, nachzuweisen, dass sein ISMS der Norm entspricht – denn die normkonformen Schnittstellen zu den Lieferanten sind Teil des ISMS.