Hacker bedrohen die Produktion

44 % der deutschen Industrieunternehmen stellten vergangenes Jahr Hacker-Angriffe auf ihre Produktionsinfrastruktur fest, so eine Studie von Techconsult. Darüber hinaus gibt es eine große Grauzifffer, denn Attacken können aufgrund unzureichender technischer Sicherheitsausstattung unbemerkt bleiben und gar nicht erst erfasst werden. Foto: Adobestock

Hacker und andere Cyberkriminelle attackieren zunehmend Produktionsinfrastrukturen – darauf hat die K-ZEITUNG Spritzgießmaschinenhersteller angesprochen.

„Industrieunternehmen müssen sich darauf einstellen, dass ihre Produktionsanlagen jederzeit durch Hacker oder kompromittierte Datenspeicher gezielt angegriffen und lahmgelegt werden können“, sagt Ercan Hayvali, Analyst beim Kasseler Research- und Analystenhaus Techconsult. Es hat im Herbst vergangenen Jahres im Auftrag des Softwarehauses Baramundi die Studie „Security Niveau der Operational Technology“ erstellt, für die rund 150 Industrieunternehmen in Deutschland zur Gefährdungslage ihrer vernetzten Produktion befragt wurden. Demnach sind in rund 84 % der Industrieunternehmen sämtliche IT-Geräte im Produktionsumfeld miteinander verbunden und in nahezu all diesen Netzwerken (98 %) besteht eine Verbindung nach außen. „Gelingt es Angreifern, eines der Geräte zu infiltrieren, so erhalten sie Zugriff auf das gesamte Produktionsnetzwerk“, so Hayvali.

Dieses Szenario tritt häufig ein, wie die Studie belegt: 44 % der Industrieunternehmen stellten in den zwölf Monaten vor der Befragung Cyberangriffe auf die Produktionsinfrastruktur fest. Insbesondere größere Unternehmen wurden Opfer derartiger Angriffe. „Dies liegt nicht zuletzt an der größeren Angriffsfläche durch eine stärkere Vernetzung der Geräte und eine höhere Anzahl von Mitarbeitern, die durch unachtsames Verhalten die Netzwerksicherheit gefährden können“, betont Hayvali. Doch sollten sich kleinere Unternehmen keinesfalls in Sicherheit wiegen. Es sei davon auszugehen, dass auch sie „deutlich häufiger Opfer von Cyberkriminellen werden, als von ihnen angenommen wird. Die Attacken könnten aufgrund unzureichender technischer Sicherheitsausstattung der Produktionsinfrastruktur unbemerkt bleiben und gar nicht erst erfasst werden“, so der Analyst weiter.

Hacker bahnen sich den Weg über die produktionsnahe IT

Vor allem durch Phishing-Angriffe gelang es Kriminellen, mithilfe gefälschter E-Mails und Anmeldefenster zunächst in die produktionsnahe IT einzudringen und von dort aus die Produktionsinfrastruktur zu infiltrieren. Insgesamt handelte es sich bei mehr als jedem zweiten erfassten Angriff laut der Studie um eine Phishing-Attacke. Bei Unternehmen ab 1000 Mitarbeitern lag dieser Anteil sogar bei 62 %. Darüber hinaus war fast jeder zweite erfasste Sicherheitsvorfall im Produktionsumfeld ein durch Malware ausgelöster sogenannter APT-Angriff. ATP steht für Advanced Persistent Threats und dabei handelt es sich um komplexe und zielgerichtete Angriffe auf Produktionsinfrastrukturen, die durch unachtsames Verhalten von Mitarbeitern in Gang gesetzt werden können. Dabei können Angreifer direkten Einfluss auf die Produktions- und Steuerungsanlagen ausüben, um beispielsweise durch Überlastung große Schäden zu verursachen.

Welche Auswirkungen haben Cyberangriffe auf die Produktionsinfrastruktur? Für 57 % der betroffenen Unternehmen kam es laut der Techconsult-Studie zu einer Störung der Produktion. Derartige Störungen des Produktionsablaufs können zu hohen finanziellen Einbußen führen, selbst wenn sie schnell behoben werden. Zudem führten Cyberangriffe in jedem dritten Unternehmen zur Beeinträchtigung der Produktivität. Hayvali: „Vor allem während und nach APT-Angriffen können Produktionsanlagen stark beeinträchtigt oder beschädigt werden. Angreifer verfolgen das Ziel, die Produktion so lange wie möglich unbemerkt zu sabotieren, zum Beispiel durch Konfigurationsänderungen oder Änderungen der Produktionsabläufe, um den größtmöglichen Schaden anzurichten. Wird solch ein Angriff durch Ausfall von Steuerungskomponenten oder anderen Auffälligkeiten entdeckt, bedarf es einer aufwändigen Fehlersuche, die langfristig zu Produktivitätseinbußen führen kann.“

Techconsult hat für die Studie Produktionsunternehmen verschiedenster Branchen befragt. Explizite Zahlen zum Status von Cybersecurity in der kunststoffverarbeitende Industrie nennt die Studie nicht, doch machen Angreifer mit Sicherheit nicht vor ihr Halt. Vor allem Spritzgießmaschinen stehen dabei im Fokus.

Spritzgießmaschinenhersteller sind sich der Bedrohungen bewusst

„Sobald Maschinen und Anlagen an ein Netzwerk angeschlossen sind, sind sie potenziellen Cyber-Bedrohungen ausgesetzt. Das Thema Security ist daher seit der Entwicklung der ersten digitalen Lösung ein wichtiger Entwicklungsschwerpunkt bei uns“, bestätigt Dr. Gerhard Dimmler, Senior Vice President Entwicklung Produkte bei Engel. Nadine Despineux, President des Segments Digital & Service Solutions bei Krauss Maffei, bestätigt: „Wir sind uns bewusst, dass mit der steigenden Vernetzung auch das Risiko für Cyberangriffe zunehmen wird. Dies wird potentiell jeden Industriebereich berühren, der das Industrielle Internet der Dinge (IIoT) nutzt – unabhängig von Maschinen und Herstellern. Spritzgießmaschinen oder auch Extruder sollten daher als hochperformante Computer mit allen Chance und Risiken betrachtet und betrieben werden.“ Despineux macht dabei auf eine grundlegende Herausforderung aufmerksam: „Eine Maschine hat einen vergleichsweise langen Lebenszyklus mit wenigen (Offline-)Updates. Dagegen müssen Maschinen, die an das Internet angeschlossen sind, durch regelmäßige Updates geschützt werden.“

„Gezielte Angriffe nur auf Produktionsmaschinen machen keinen Sinn“

Michael Wittmann, Geschäftsführer der Wittmann Gruppe, stellt fest, dass Produkte auf der Prozessleitebene bei vielen Firmen in einen Graubereich zwischen IT und OT (Operation Technology) fallen. Foto: Wittmann Group

„Cyberangriffe auf Unternehmen stellen eine allgegenwärtige Gefahr dar – auch deshalb, weil es keinen 100%igen Schutz dagegen geben kann“, betont auch Michael Wittmann, Geschäftsführer der Wittmann Gruppe. „Bei einem Cyberangriff präsentieren sich Maschinen und mögliche Datenserver der Maschinen als Teil der Server-Landschaft und der Netzwerkstruktur des Unternehmens.“ Bei einer Verschlüsselung im Angriffsfall werde nicht zwischen Fileservern, Maschinen und zugehörigen Datenservern unterschieden. „Das Ziel der Angreifer besteht darin, einen möglichst großen Schaden anzurichten, sprich möglichst viele Server zu verschlüsseln, damit die Verhandlungsposition für die nachfolgende Lösegeldforderung entsprechend verbessert wird“, stellt Wittmann klar. Deshalb kann die Verschlüsselung von Datenservern für Maschinen oder möglicherweise die Maschinen als solche vielmehr als ein Kollateralschaden des gesamten Angriffs angesehen werden. Ein gezielter Angriff nur auf Produktionsmaschinen würde keinen Sinn machen.“

Wittman stellt fest, dass bei der großen Mehrzahl der Spritzgießer das Bewusstsein für Cyberangriffe vorhanden ist, „weswegen auch eine Anbindung der Spritzgießmaschinen an das IT-Netzwerk oftmals durch entsprechende Firmenrichtlinien oder das Veto der IT-Abteilungen unterbunden wird. Teilweise werden Maschinen über eigene Netzwerkdomänen verbunden, die entweder selbst eine Insellösung bilden oder die einer sehr strengen Sicherheitsauflage bei der Verbindung nach außen unterliegen.“

Achtung, wenn Maschinen über die Cloud vernetzt werden

Auch bei Krauss Maffei stellt man fest, dass sich viele Kunden der Thematik bewusst sind und sie entsprechend vorsichtig agieren. „Gesprächsbedarf zu Netzwerksicherheit, potentiellen Risiken und möglichen Lösungen entsteht immer dann, wenn eine Maschine an ein Netzwerk oder das Internet angeschlossen werden soll. Insbesondere auch, sobald eine Maschinenvernetzung über die Cloud erfolgt“, so Despineux. „Hier gehen wir in den Dialog und erarbeiten gemeinsam mit unseren Kunden entsprechende Lösungen.“

Engel-Manager Dimmler stellt fest, dass im Rahmen der Lieferantenbewertung die Maßnahmen, die Engel zur Datensicherheit ergreift, nicht nur abgefragt, sondern von den Kunden auch hinterfragt werden. „Deren IT-Abteilungen sind in den Beschaffungsprozess direkt involviert und schreiben ihre Anforderungen im Lastenheft fest, was auch aus unserer Sicht nur zu empfehlen ist. Jedes Unternehmen muss sich absichern, um jederzeit die Kontrolle über die Daten zu behalten und die Kommunikationsmöglichkeiten über die Systemfunktionen entsprechend einzuschränken.“

Die Prozessleitebene ist kritisch in Bezug auf Hacker

Nadine Despineux, President des Segments Digital & Service Solutions bei Krauss Maffei, empfiehlt, Spritzgießmaschinen und Extruder, die an das Internet angeschlossen sind, durch regelmäßige Updates zu schützen. Foto: Krauss Maffei

Doch wo sind die größten Schwachstellen? In dem aktuellen Whitepaper „Cybersecurity in der vernetzten Produktion“ stellt das Fraunhofer Institut für Produktionstechnologie IPT klar, dass in jeder einzelnen Ebene der Automatisierungspyramide Schwachstellen existieren. Doch die Auswertung von öffentlichen Meldungen und der Datenbank der für die Sicherheit von Industrieanlagen zuständigen US-Behörde ICS-Cert betrifft mehr als die Hälfte der veröffentlichten Schwachstellen die Prozessleitebene. Als Gründe dafür sehen IT-Sicherheitsexperten mehrere Ursachen: So ähnele die eingesetzte industrielle Hardware und Software der Office-Hardware und -Software – etwa im Hinblick auf die Mensch-Maschine-Schnittstelle, also dem Bedienpanel von Spritzgießmaschinen. Und damit seien Hardware und Software Schwachstellenforschern geläufig. Außerdem sei die Prozessleitebene von kritischer Natur. „Das heißt, der Zugang zur Prozessleitebene gewährt automatisch Zugang zur verbundenen Feldebene und zum physischen Prozess. Die Suche nach Schwachstellen innerhalb der Steuerungs- und Feldebene wird überflüssig“, so das Whitepaper des Fraunhofer IPT.

Scada-Systeme sind ein Graubereich zwischen IT und OT

Die Prozessleitebene betrifft auch Scada-Systeme für Spritzgießzellen, die mit Peripherie und Automation ausgeliefert werden. Sind sie also besonders gefährdet? „Produkte auf der Prozessleitebene fallen bei vielen Firmen in einen Graubereich zwischen IT und OT (Operation Technology)“, stellt Wittmann fest. „Während die meisten Firmen für die Wartung von IT-Produkten ein hauseigenes Team mit klaren Aufgabenbereichen bereithalten, welches unter anderem auch für Sicherheitsbelange zuständig ist, oder diese Dienstleistungen von extern beziehen, ist das für OT nicht der Fall. Prozessleitsysteme werden oft einmal installiert, aber anschließend nicht mehr regelmäßig gewartet. Diese Systeme könnten bei einer Anbindung nach außen als Einfallstor in die Unternehmens-IT genutzt werden.“

Bei Maschinen- oder Gerätesteuerungen ist ein Software-Upgrade laut Wittmann nur mit hohem Aufwand möglich oder teilweise sogar unmöglich. Upgrades greifen sehr oft in die interne Funktionalität des Betriebssystems ein und könnten einen Totalausfall der Steuerung verursachen. Andererseits nimmt ein Verifizierungsprozess von neuen Betriebssystemversionen durch den Hersteller eine sehr lange Zeit in Anspruch. In der Zwischenzeit bleibt das System gegenüber Cyberattacken verwundbar. „Daher ist eine Steuerungssoftware, welche auf einem gängigen Betriebssystem basiert, aus sicherheitstechnischer Sicht immer anfälliger als ein regelmäßig gewarteter Büroarbeitsplatz mit erzwungenen Sicherheits-Updates.“

Produktionszelle darf keine Blackbox für den Kunden sein

Dr. Gerhard Dimmler, Senior Vice President Entwicklung Produkte bei Engel: "Jedes Unternehmen muss sich absichern, um jederzeit die Kontrolle über die Daten zu behalten und die Kommunikationsmöglichkeiten über die Systemfunktionen entsprechend einzuschränken.“

„Deshalb ist es so wichtig, dass die Maschinen unabhängig vom verwendeten Leitsystem abgesichert sind und für die Kommunikation ausschließlich sichere Verbindungen genutzt werden“, sagt Engel-Experte Dimmler. „Diese müssen natürlich immer den neuesten Sicherheitsstandards entsprechen.“ In punkto Security sei eine von Engel ausgelieferte komplette Produktionszelle aber keinesfalls eine Blackbox für den Kunden. „Das wäre der absolut falsche Ansatz. Maximale Transparenz ist beim Thema Security das A und O. Wir befassen uns sehr intensiv damit, für unsere Kunden die gewünschte und erwartete Transparenz herzustellen. Für die sichere Kommunikation zwischen Produktionszelle und Edge Device arbeiten wir mit zertifikatsbasierter Authentifizierung und Autorisierung. Ebenso sind Applikationen signiert, um Manipulationen durch Dritte auszuschließen. Alle Schnittstellen zu Fremdsystemen werden für die Kunden daher sehr umfangreich dokumentiert.“

„Schnittstellen zu Scada- oder MES-Systemen sind für uns als Maschinenbauer für die Integration der Anlagen in die Fertigungsprozesse unserer Kunden von großer Bedeutung“, bestätigt auch Krauss-Maffei-President Despineux. „Das kann zum Beispiel über Standards wie die Euromap 77 erfolgen. Die Anbindung erfolgt hierbei über eine vom Anlagennetzwerk getrennte Netzwerkschnittstelle, die zusätzlich durch eine Firewall geschützt ist.“ Geht die Integration mit der Fertigungs-IT über Standardschnittstellen hinaus, arbeitet Krauss Maffei bei der IT-Security für eine Produktionszelle häufig eng mit dem Kunden zusammen. „Das kann so weit gehen, dass der Kunde die Administration des Rechners an der Schnittstelle vollständig übernimmt und Aufgaben wie Virenscan, Security-Updates und Monitoring selbst ausführt. Die Bereitstellung entsprechender Hardware und die Unterstützung bei der Konfiguration erfolgt durch uns“, erklärt Despineux.

Edge Device fungiert als zusätzliche Firewall für die Produktionszelle

An zweiter Stelle im Ranking der veröffentlichten Schwachstellen stehen nach dem Fraunhofer-IPT-Whitepaper Schwachstellen auf der Steuerungsebene. Welche Maßnahmen ergreifen die Spritzgießmaschinenhersteller hier, um die Maschinen sicher zu machen? Engel empfiehlt auch hier die Einführung eines Edge Devices, das die Aufgabe einer zusätzlichen Firewall für die Produktionszelle übernimmt und Angriffsvektoren eliminiert. „Unsere Anlagen kommunizieren in keinem Fall direkt mit dem Internet, sondern immer über das Edge Device, zum Beispiel im Falle von Online-Support oder Fernwartung“, erläutert Dimmler. „Essenziell sind darüber hinaus regelmäßige Updates. Zukünftig wird es so sein, dass wir beispielsweise Security Patches unmittelbar nach deren Veröffentlichung unseren Kunden zur Verfügung stellen oder diese auch automatisch einspielen können.“

Auch Krauss Maffei hat ein eigenes Edge Device mit dem Namen Smartcube im Programm, das automatisch „over the air“ upgedatet wird. Wittmann Battenfeld hat dafür den Wittmann 4.0 Router entwickelt, der mit zwei Firewalls und der sogenannten Demilitarized Zone (DMZ) die Steuerungsebene komplett von den externen Daten-Clients abgekapselt. „Als weiterer wichtiger Sicherheitsaspekt verfügt der Router über einen Secure Boot Process und ermöglicht außerdem ein automatisches Update des Betriebssystems, solange dieses Update über eine von Wittmann vergebene Zertifizierung verfügt. Damit wird verhindert, dass ein Fake-Update in die Hardware eingespielt wird, welche möglicherweise jegliche Sicherheitseinrichtungen umgehen könnte“, erklärt Geschäftsführer Wittmann.

Bei Krauss Maffei sind zum Schutz der Steuerung Applikationen nur ohne Administratorrechte ausführbar und die Installation von Fremdsoftware ausgeschlossen. Beim Betriebssystem wählt der Münchner Maschinenbauer nach Aussagen von Despineux immer die maximalen Sicherheitseinstellungen. „Außerdem werden die Ethernet-Schnittstellen, die Zugriff auf die Steuerung haben, über spezielle Zusatz-Hardware mit Firewalls und Port-Freigaben abgesichert.“

Sabine Koll