Cyber Security von Anfang an

Security-Spezialisten sichern die Getränkeproduktion gegen Cyberangriffe

Die Getränkeproduktion gerät immer öfter in das Visier von Cyberangriffen, wissen die Spezialisten von Syskron Security. Das Regensburger Team sichert sowohl neue als auch bestehende Produktionslinien gegen Infektionen mit Schadsoftware und Angriffe über Netzwerke ab. Besonders wichtig sind hierbei die speziellen Anforderungen an die Informationssicherheit, die teils von klassischer Informationstechnologie abweichen.

Gefahr

durch Ransomware

Spätestens ab Mai 2017 erkannte die Getränkeindustrie, dass Produktionslinien anfällig für Schadsoftware sein können. Die Ransomware WannaCry befiel in kürzester Zeit weltweit Zehntausende Computer und wurde zur Forderung von Lösegeld genutzt. Selbst wenn Produktionslinien vom Internet getrennt betrieben wurden oder Sicherheitssoftware nutzten, kam es oft zur Infektion und somit zum teuren Produktionsausfall. Nicht nur veraltete Betriebssysteme, sondern auch unsichere Kommunikationsprotokolle, ungeplante Verbindungen in das Internet und Geräte von externen Servicetechnikern stellen technische Gefahren für die Verfügbarkeit der Produktion dar. Viele Anlagenbetreiber stehen oftmals vor demselben Problem: Ihre Produktionslinien sind über Jahre hinweg gewachsen, die Dokumentation ist veraltet und letztendlich herrscht inzwischen Unklarheit darüber, welche Hardware bei den gekauften Maschinen verbaut wurde und welche Software darauf läuft.

Netzwerkanalyse

als erster Schritt

Zur Verbesserung der Transparenz der Produktionslinien dient eine Netzwerkanalyse. Diese stellt einen der ersten Schritte dar, um bestehende Produktionslinien nachhaltig technisch abzusichern. Bei der Netzwerkanalyse wird zunächst sämtliche bestehende Dokumentation zusammengetragen und ausgewertet. Im Anschluss erfolgt eine Vor-Ort-Analyse durch Security-Spezialisten. Dabei werden die zentralen Netzwerkkomponenten (wie Switche und Router) sowie teilweise die Verkabelung untersucht. Hieraus ergeben sich aktuelle Pläne, die die physikalische und logische Netzwerkstruktur zeigen. Zusätzlich erfolgt die Analyse des Netzwerkverkehrs zwischen den Produktionslinien. Im Bedarfsfall kann dies mit aktiven Scans von unbekannten Geräten in den Netzwerken oder ausgiebiger Analyse von Einzelsystemen ergänzt werden. Aus diesen Schritten entsteht eine detaillierte Übersicht aller Kommunikationsteilnehmer in den Produktionslinien, ihrer Kommunikationsbeziehungen und physischen Standorte.

Auf Basis dieser Analyseschritte erhält der Anlagenbetreiber einen Bericht mit Handlungsempfehlungen, die den speziellen Anforderungen der Produktion an Informationssicherheit gerecht werden.

So auch ein Mineralwasserabfüller, bei dem Anfang 2021 eine Netzwerkanalyse durchgeführt wurde. Während der Auswertung der Dokumentation zeigten sich bereits logisch segmentierte Netzwerkbereiche auf Ebene der Produktionslinien, was eine wichtige Voraussetzung für deren Absicherung darstellt. Die Empfehlung lautete in diesem Fall, sämtlichen linienübergreifenden Datenverkehr über bereits vorhandene Firewalls zu leiten und nur unbedingt notwendigen Datenverkehr zuzulassen. Erst durch die Filterung des Datenverkehrs ist eine wirkliche Trennung der Produktionslinien gewährleistet. Dabei ist es wichtig, das herstellerseitige Wissen über die Maschinenkommunikation in das Regelwerk der Firewall einfließen zu lassen.

Im Verlauf der Analyse wurden außerdem mehrere undokumentierte Netzwerkteilnehmer gefunden. Darunter befand sich eine Steuerung, die in der nachfolgenden Untersuchung einer komplett undokumentierten Maschine zugeordnet werden konnte. Diese Maschine war vor Jahren nachträglich in die Produktionslinie integriert worden und existierte seitdem „unter dem Radar“.

Eine andere Netzwerkanalyse bei einem Abfüller von Soft Drinks zeigte hingegen ein auffälliges Verhalten einer Inspektionsmaschine. Diese versuchte sich erfolglos mit IP-Adressen im Internet zu verbinden. Die anschließende Analyse des Systems zeigte, dass es zu einer Malwareinfektion gekommen war, die im Zusammenhang mit einem Servicetechniker-Notebook stehen könnte. Allerdings war dies niemandem aufgefallen, da es keine dauerhafte Überwachung des Netzwerkverkehrs gab. Eine erfolgreiche Kommunikation mit dem Internet hätte wahrscheinlich das Nachladen von Schadcode ermöglicht und zur Infektion weiterer Maschinen bis hin zum Produktionsausfall führen können.

Spezielle Anforderungen

an Cyber Security

Bei der technischen Absicherung der Produktion muss an die speziellen Anforderungen an Cyber Security gedacht werden. Beispielsweise wird im klassischen IT-Bereich oft auf Anti-Malware-Lösungen gesetzt, die Dateien und Verzeichnisse auf Schadsoftware untersuchen. Auf Produktionssystemen können diese Lösungen in der Regel nicht eingesetzt werden. Produktionssysteme verfügen oft nur über begrenzte Hardwareressourcen, haben ein spezielles Betriebssystem oder die Signaturdatenbank der Anti-Malware-Lösung kann niemals aktualisiert werden. In diesem Fall kann ein sogenanntes „Application Whitelisting“ helfen, welches das Ausführen von nur explizit definierten Dateien auf dem Produktionssystem zulässt.

Allerdings stoßen Sicherheitsmaßnahmen auf einzelnen Systemen schnell an ihre Grenzen, weil das darunterliegende Betriebssystem oft gar nicht oder nur sehr selten aktualisiert werden kann. Teilweise werden für die verwendeten Betriebssysteme seit Jahren keine Sicherheitsupdates mehr veröffentlicht oder Sicherheitsupdates können nicht installiert werden, weil die Netzwerkkommunikation mit anderen Systemen oder die Ausführung von spezieller Software beeinträchtigt wird. Dies betrifft nicht nur Human Machine Interfaces (HMIs), die Kunden oft primär im Fokus haben. Steuerungen, Switches und Server sind ebenso in der Produktion vorhanden und haben eigene Einschränkungen, wenn es um das Implementieren von Sicherheitslösungen geht.

Folglich müssen Security-Lösungen gefunden werden, die der langen Lebenszeit, der speziellen Hard- und Software sowie generellen Unterschieden zwischen IT und Produktion gerecht werden.

Schritt für Schritt

zur sicheren Produktion

Um bestehende Produktionslinien technisch abzusichern, bieten sich vor allem Maßnahmen im Produktionsnetzwerk an. Nach einer Netzwerkanalyse können große logische Netzwerkbereiche in kleinere Segmente eingeteilt werden, beispielsweise eine Gliederung in einzelne Produktionslinien, ein Netzwerksegment für Servicetechniker und weitere Segmente für übergreifende Manufacturing Execution Systeme (MES). Der Datenverkehr aus diesen Segmenten wird im Anschluss über zentrale Firewalls geleitet und so gefiltert, dass nur explizit notwendige Kommunikation zulässig ist. Durch diese strikte Trennung wird die linienübergreifende Ausbreitung von Schadsoftware bereits stark eingeschränkt.

Die von Syskron Security angebotenen Bausteine ergänzen sich optimal, um bestehende Produktionslinien gegen Cyberangriffe abzusichern.

Die von Syskron Security angebotenen Bausteine ergänzen sich optimal, um bestehende Produktionslinien gegen Cyberangriffe abzusichern. Siehe auch: www.nist.gov/cyberframework

Dennoch kann es weiter zur Infektion und Ausbreitung von Schadsoftware innerhalb von Netzwerksegmenten kommen. Um dies frühzeitig zu erkennen, kann eine zentrale Anomalieerkennung zum Einsatz kommen. Aufgrund sehr stabiler Kommunikationsmuster und ‑beziehungen kann diese leicht den Normalzustand in der Netzwerkkommunikation einer Produktionsumgebung erlernen, um dann bei Abweichungen entsprechende Meldungen zu generieren. Hierdurch entsteht zusammen mit den Ergebnissen der Netzwerkanalyse eine hohe Transparenz der aktuellen Sicherheit der Produktionslinien.

Sowohl Firewall als auch Anomalieerkennung erfordern darüber hinaus eine vorhandene Organisation und Prozesse, um diese technischen Lösungen dauerhaft zu betreiben. Es muss definiert werden, wer Firewallregeln ändern darf, wo dies dokumentiert wird und was beim Ausfall dieser Lösung passiert. Genauso muss klar sein, wer die Meldungen der Anomalieerkennung empfängt, auswertet und anschließend Gegenmaßnahmen einleitet. Diesbezüglich betreibt Syskron Security ein Security Operations Center (SOC), um Security-Meldungen professionell zu bewerten und Kunden bei der Reaktion zu unterstützen. Besonders mittelständische Kunden schätzen diesen Service, da sie dadurch schneller reagieren und auf langjährige Security-Expertise im industriellen Umfeld zurückgreifen können.

Nicht zuletzt gehört zur sicheren Produktion der Faktor Mensch. Selbst bei einem hohen technischen Sicherheitsniveau und gelebten Prozessen können Menschen gezielt manipuliert werden, um Sicherheitsmaßnahmen zu deaktivieren oder zu umgehen. Deshalb ist es wichtig, kontinuierlich alle Mitarbeiter über Gefahren für die Produktionssysteme aufzuklären und vor allem zu zeigen, wie sie diese Gefahren erkennen und adäquat reagieren. Dies lässt sich mit Awarenessschulungen erreichen, die beispielsweise die Meldewege für Sicherheitsvorfälle thematisieren, oder anhand von Live-Demonstrationen aufzeigen, wie real Gefahren für die Informationssicherheit im Produktionsbereich sind.

Bei externem Personal muss weitergehend sichergestellt sein, dass Regeln der Informationssicherheit und des Datenschutzes eingehalten werden. Neben vertraglichen und organisatorischen Vereinbarungen können technische Sicherheitslösungen ergänzend wirken. Ein weltweit tätiger Abfüller von Soft Drinks installierte spezielle Scanstationen für Wechselmedien. Das Unternehmen nutzt USB-Sticks zur Sicherung der Projekte und Konfiguration von Steuerungen. Bevor ein USB-Stick in der Produktion verwendet werden darf, muss er an einer dieser Stationen gescannt werden. Falls Malware auf dem Medium ist, kann diese sofort entfernt werden, ohne die Produktion zu gefährden. Jeder Scan wird protokolliert. Die Scanstationen adressieren das Risiko einer Infektion mit Schadsoftware über Wechselmedien.

Zu einer sicheren Produktion gehören letztendlich auch ein gepflegtes Information Security Management System (ISMS) und ein funktionierendes Notfallmanagement. Bei diesen Themen greifen die Experten von Syskron Security auf ein Jahrzehnt Erfahrung zurück und beraten verschiedenste Unternehmen. Einigen Kunden wurde im Zuge von Notfallübungen mit angepassten Szenarien erst bewusst, über welche Wiederherstellungsthemen sie sich noch keine Gedanken gemacht hatten. Sollte es trotz aller implementierten Schutzmaßnahmen doch zu einer Ransomwareinfektion kommen, helfen die trainierten Abläufe, die Produktion zügig und systematisch wiederherzustellen.

Cyber Security

für eine erfolgreiche Digitalisierung

Bei neuen Produktionslinien – besonders im Rahmen der Digitalisierung – muss Cyber Security als elementarer Bestandteil, quasi von der ersten Minute, integriert werden. So besteht die Chance, bereits von Beginn an ein hohes technisches Sicherheitsniveau zu erzielen. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, sagte hierzu, Informationssicherheit sei die Voraussetzung einer erfolgreichen Digitalisierung. (BSI - Presse - „Digitalisierung und Informationssicherheit gehören zusammen“ (bund.de))

Ein bekannter Ansatz ist hierbei „Secure by Design“. Dieser Ansatz geht fest davon aus, dass es schadhafte Aktivitäten geben kann und adressiert sie entsprechend. Beispielsweise werden Rechte von Benutzerkonten auf das notwendige Minimum beschränkt, einzelne Systeme oder Dienste voneinander isoliert und auf eine sichere Softwareentwicklung geachtet.

Die Experten von Syskron Security raten jedem Betreiber von Produktionsanlagen so früh wie möglich auf Anbieter und Lieferanten zuzugehen, um das Thema Cyber Security als wichtigen Baustein der Digitalisierung zu adressieren. Je früher dies geschieht, desto leichter und kosteneffizienter lassen sich Anforderungen, Ansätze und Konzepte der Informationssicherheit umsetzen. Ein hohes Sicherheitsniveau unterstützt eine erfolgreiche Digitalisierung in der Produktion maßgeblich.

In Workshops identifiziert Syskron Security mit Kunden Gefahren für die Produktion und entwickelt zuge-schnittene Sicherheitslösungen.

In Workshops identifiziert Syskron Security mit Kunden Gefahren für die Produktion und entwickelt zugeschnittene Sicherheitslösungen.

Fazit

Cyber Security ab der ersten Minute

Die Getränkeproduktion wird nicht von Cyberkriminellen verschont. Ungeplanter Produktionsstillstand, fehlende Notfallpläne sowie Informationsabfluss können unvorbereitete Unternehmen empfindlich treffen. Deshalb ist es wichtig, ab der ersten Minute Cyber Security in Produktionslinien einzuplanen und umzusetzen. Insbesondere müssen die Unterschiede zwischen Produktionssystemen und der klassischen IT durch Security-Experten adressiert werden. Segmentierte Netzwerkbereiche mit Filterung des Datenverkehrs, eine Trennung der Produktionsnetzwerke von anderen Netzwerken, regelmäßige Awarenessschulungen der Mitarbeiter und definierte Security-Prozesse stellen eine gute Mischung für eine solide Basissicherheit in jeder Produktion dar.

Autoren: Benjamin Süß, Kuzman Kurtev - Syskron Security