Wiederherstellung, Resistenz und Resilienz nach Cyberangriffen auf Industriebetriebe: Mehr Widerstandsfähigkeit für OT-Systeme
In der heutigen IT-Bedrohungslandschaft sind angemessene Response- und Recovery-Pläne nach einem Cyberangriff das Fundament für jegliche Wirtschaftsaktivitäten. Der Allianz Risk Report 2023 unterstreicht das, indem er Cyberrisiken als eines der größten Risiken für Unternehmen weltweit identifiziert. Gerade für den deutschen Mittelstand mit seinen „Hidden Champions“ ist diese Bedrohung alarmierend.
Wenn die Produktions-IT und weitere kritische Geschäftsprozesse durch Cyberangriffe beeinträchtigt werden, ist reine Improvisation im Ernstfall keine Lösung. Viele dieser mittelständischen Industriebetriebe vernachlässigen jedoch nach wie vor die Absicherung und Planung angemessener Reaktions- und Wiederherstellungspläne für ihre IT- und Produktionssysteme.
Cyberangriffe richten sich häufig gegen IT-Systeme, wobei das eigentliche Ziel oft die Operational Technology (OT) ist. OT umfasst die Hardware und Software, die zur Überwachung und Steuerung von physischen Geräten und industriellen Prozessen eingesetzt wird. Beispiele hierfür sind industrielle Steuerungssysteme (ICS) und Supervisory-Control-and-Data-Acquisition-(SCADA)-Systeme, die in vielen Fertigungs- und Produktionsprozessen verwendet werden.
Mit der zunehmenden Vernetzung durch das Internet of Things (IoT) und durch den Einsatz von künstlicher Intelligenz (KI) in digitalen Produktionsprozessen wird die Bedeutung von OT-Schutzmaßnahmen immer wichtiger. Diese Systeme sind für die digitale Vernetzung, KI und moderne Produktionsprozesse unerlässlich. Vernachlässigen Unternehmen die Absicherung ihrer OT, setzen sie ihre gesamte Produktion einem erheblichen Risiko aus.
Der Unterschied zwischen IT und OT ist entscheidend: Während IT-Systeme zur Verwaltung von Daten und Kommunikation dienen, sind OT-Systeme direkt mit den physischen Prozessen in der Produktion verbunden. Angriffe auf IT-Systeme können Zugang zu OT-Netzwerken ermöglichen, was zu Produktionsausfällen und erheblichen finanziellen Verlusten führen kann.
Während große Konzerne umfassende Sicherheitsstrategien implementieren, fehlen im Mittelstand oft die notwendigen Ressourcen und das Bewusstsein für die Bedeutung von Cybersicherheit. Erfolgreiche Angriffe auf IT- und OT-Systeme können finanzielle Schäden verursachen, die Produktion lahmlegen und das Vertrauen in diese traditionsreichen Unternehmen erschüttern.
So führte zum Beispiel ein Cyberangriff auf den deutschen Batteriehersteller Varta zu einem Produktionsstopp.[2] Aus Sicherheitsgründen mussten die Systeme heruntergefahren und vom Internet getrennt werden, was die Produktion an mehreren Standorten zum Erliegen brachte. Das verursachte nicht nur finanzielle Verluste, sondern auch anhaltende Reputationsschäden.
Der jährliche IT-Sicherheitsbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass die Cyberbedrohung so hoch ist wie nie zuvor.[3] Kriminelle verfolgen mit Cyberangriffen unterschiedliche Ziele, darunter häufig finanzielle Gewinne oder den Zugriff auf hochsensible Daten. Am Beispiel von Ransomware ist die Vorgehensweise der Angreifer dabei immer gleich: Nach einem initialen Zugriff auf IT-Systeme werden die darauf befindlichen Daten verschlüsselt. Eine Entschlüsselung ist nur mit einem entsprechenden Schlüssel möglich, den das Opfer gegen Zahlung eines Lösegeldes erhält.
Die betroffene Organisation muss entweder das Lösegeld zahlen – wobei hier auch nicht der Erhalt des Entschlüsselungsschlüssels garantiert ist – oder die Daten anderweitig wiederherstellen, zum Beispiel über Backups. Das Bundeskriminalamt (BKA) bestätigt die steigende Bedrohungslage und weist darauf hin, dass Ransomware-Angriffe zunehmend auch kritische Infrastrukturen und Unternehmen treffen, was zu erhebliche finanzielle und operative Schäden verursacht.[4]
Vernetzung macht OT-Systeme angreifbar
Durch die Vernetzung von IT und Operational Technology (OT) sind dabei häufig auch OT-Systeme betroffen. Das kann auch dann geschehen, wenn die Angriffe nur indirekt erfolgen, wie etwa durch das Blockieren von IT-abhängigen Prozessen. Ein Beispiel hierfür ist die ausgedruckte Bestellliste aus dem SAP-System, die für die Logistik benötigt wird. Solche Angriffe können die gesamte Produktion und Lieferkette beeinträchtigen, was die Verwundbarkeit von OT-Systemen in vernetzten Umgebungen verdeutlicht. Neben Ransomware-Angriffen ist auch Industriespionage eine wachsende Bedrohung.
Professionelle Angreifer versuchen gezielt, an geistiges Eigentum (Intellectual Property, IP) und sensible Daten zu gelangen. Diese Angriffe zielen darauf ab, wertvolle Informationen wie Geschäftsgeheimnisse, technologische Innovationen und andere vertrauliche Daten zu stehlen, um sie entweder selbst zu nutzen oder an Wettbewerber weiterzuverkaufen. Unternehmen müssen daher nicht nur auf Ransomware vorbereitet sein, sondern auch umfassende Sicherheitsmaßnahmen implementieren, um ihr geistiges Eigentum und sensible Daten vor Industriespionage zu schützen.
Effektive Angriffsbewältigung
In diesem Zusammenhang ist eine effektive Bewältigung solcher Angriffe von entscheidender Bedeutung, um die Auswirkungen auf den Betriebsablauf und die damit verbundenen Kosten zu minimieren und die Zeit bis zur Wiederaufnahme des normalen Geschäftsbetriebs so kurz wie möglich zu halten. Einige Organisationen fokussieren sich auf die Implementierung präventiver und reaktiver Maßnahmen. Dabei sind entsprechende Recovery-Fähigkeiten zur Gewährleistung der Geschäftskontinuität essenziell. Entsprechende Maßnahmen zur Wiederherstellung des Normalbetriebs erfordern eine präzise Einschätzung, um sicherzustellen, dass die ursprüngliche Bedrohung beseitigt wurde.
Dies ist keine leichte Aufgabe angesichts des sofortigen Bedarfs an Reaktionsmaßnahmen, die das Abschalten interner Systeme und wichtiger Elemente des Unternehmensnetzwerks sowie schnelle Richtlinienänderungen umfassen. Zudem sind Änderungen der IT-Sicherheit auf dem komplizierten Weg zurück zum Normalbetrieb unentbehrlich. Unsere Erfahrung zeigt, dass der Reaktions- und Recovery-Prozess daher eine komplexe Herausforderung darstellt.
OT-Security ist die Voraussetzung für Wirtschaftsaktivitäten
Investitionen in einen angemessenen Schutz bilden die Grundlage für wirtschaftliche Aktivitäten. Dazu ist es notwendig zu verstehen, wie die miteinander verbundenen IT- und OT-Systeme und -Anwendungen kommunizieren, wie es um die Netzwerksegmentierung bestellt ist und welche aktuellen Risiken angesichts der zunehmenden Ransomware-Angriffe bestehen. Im Zuge der Digitalisierung ist nahezu jede Organisation auf Informationstechnologie angewiesen.
Gerade für den deutschen Mittelstand, der oft als Rückgrat der deutschen Wirtschaft bezeichnet wird, wächst die Abhängigkeit von der Informationstechnologie in allen Industriebereichen. Grund dafür ist die OT, die industrielle Prozesse verbindet, überwacht, steuert und sichert. Aber nicht nur in industriellen Prozessen kommt OT zum Einsatz, ebenso streben mittlerweile andere Branchen nach Effizienzsteigerungen durch OT.
So setzen beispielsweise E-Commerce-Giganten auf automatisierte Lager und digital vernetzte Betriebe. Auch medizinische Geräte, intelligente Gebäudetechnik und große Klimaanlagen gehören zu den OT-Geräten, die von einem Angriff betroffen sein könnten. Je früher sich eine Organisation ihrer OT-Geräte und der damit verbundenen Cyberrisiken bewusst wird, desto schneller kann die Cyberresilienz optimiert werden.
Die ersten 72 Stunden sind essenziell
Die Autoren dieses Beitrags haben beobachtet, dass es Organisationen oftmals an robuster Planung und OT-Backup-Fähigkeiten mangelt, was sich negativ auf den entscheidenden Faktor Wiederherstellungszeit auswirkt. Es ist verheerend, dass einige Unternehmen davon ausgehen, dass die Wiederherstellung des Normalbetriebs einige Wochen anstatt einige Monate dauert. Das führt zu einer langsameren Identifikation eines tatsächlichen Angriffs, der betroffenen Assets und der Geschäftsprozesse sowie zu einer langsamen Maßnahmenergreifung.
Im Allianz Risk Barometer 2023 [5] wird zudem der Mangel an Fachpersonal als eines der größten Risiken identifiziert. Dieser Mangel hat direkte Auswirkungen auf die Fähigkeit von Organisationen, sich nach einem Angriff schnell zu erholen.
Ohne ausreichend qualifiziertes Personal kann die Implementierung und Durchführung von OT-Recovery-Plänen erheblich behindert werden. Im Fall eines Angriffs sind die ersten 72 Stunden essenziell. Daher sind gut strukturierte OT-Recovery-Pläne notwendig, die das gesamte manuelle Betriebsführung zurückzugreifen, ist aus verschiedenen Gründen häufig ebenfalls nicht machbar. In digital automatisierten Produktlagern fehlt es beispielsweise wahrscheinlich an Personal für manuelle Lieferungen.
Schutzmaßnahmen
Direkte oder indirekte Cyberangriffe auf OT-Systeme bergen aufgrund ihrer Anwendung in physischen Prozessen ein höheres Risiko als rein logische Cyberattacken auf IT-Systeme. So könnte ein Angreifer, der Zugang zu einem OT-System hat, durch Manipulation von Daten ganze Anlagen zerstören oder auf andere Weise verheerende physische Schäden anrichten.
Im Gegensatz dazu sind IT-Cyberangriffe auf den Diebstahl oder die Manipulation von digitalen Daten beschränkt. Während bei klassischen IT-Netzen der Schwerpunkt auf der Vertraulichkeit und Integrität liegt, steht bei OT-Systemen eher die Verfügbarkeit im Vordergrund, um einen ununterbrochenen Betrieb zu gewährleisten.
Angesichts der fortschreitenden Verschmelzung von IT- und OT-Netzwerken sollten Organisationen ein Verständnis für die Verbindung und Kommunikation beider Komponenten entwickeln, um angemessen auf Bedrohungen reagieren zu können. So könnte der von OT-Geräten erzeugte Datenverkehr analysiert werden, um Anomalien oder Signaturen bereits bekannter Angriffe zu erkennen. Im Fall eines identifizierten Vorfalls sollten kompromittierte Geräte isoliert und jegliche Kommunikation zwischen IT und OT blockiert werden. Dies kann mithilfe von Netzwerküberwachungs-Tools umgesetzt werden, die identifizierte Bedrohungen an Security-Information-and-Event-Management-(SIEM)- oder „Security Orchestration, Automation and Response“-(SOAR)-Systeme zur Untersuchung oder automatisierten Reaktion weiterleiten.
Im oben genannten Beispiel des deutschen Batterieherstellers Varta begrenzte die Netzwerksegmentierung den Einfluss des Angriffs auf das OT-Netzwerk. Dieses wurde nach der Identifikation des Angriffs außer Betrieb genommen, um eine weitere Ausbreitung zu unterbinden. In den USA gab es bereits andere beunruhigende Vorfälle: So verschaffte sich ein Hacker Zugang zur OT-Steuerungssoftware eines Wasserwerks und erhöhte die Laugenkonzentration um das Hundertfache. Normalerweise wird eine geringe Menge Lauge verwendet, um den pH-Wert des Wassers zu regulieren.
Eine derart hohe Konzentration hätte katastrophale Folgen für die Gesundheit der Bevölkerung gehabt. Glücklicherweise bemerkte ein aufmerksamer Mitarbeiter die Sabotage und stellte die Laugenkonzentration wieder auf den normalen Wert ein.
Solche Vorfälle können jederzeit auch in Deutschland eintreten. Kritische Infrastrukturen wie die Wasserversorgung sind bereits weitgehend digitalisiert und damit potenziell anfällig für Cyberangriffe. Es ist daher von entscheidender Bedeutung, dass deutsche Unternehmen, insbesondere der Mittelstand, ihre Cyberresilienz erhöhen und robuste OT-Sicherheitsmaßnahmen implementieren, um ähnlichen Angriffen vorzubeugen.
Automatisiertes Incident-Management
Die schnelle Erkennung ist dabei die wichtigste Maßnahme! Hierbei kann der Einsatz von SIEM-Systemen helfen. Diese Systeme sammeln und analysieren in Echtzeit sicherheitsrelevante Daten aus verschiedenen Quellen innerhalb einer Organisation. Sie bieten eine umfassende Sicht auf die Sicherheitslage und ermöglichen es, Bedrohungen frühzeitig zu erkennen und darauf zu reagieren. Durch die Integration von SIEM in die Sicherheitsinfrastruktur können Unternehmen ihre Reaktionsfähigkeit auf Cyberangriffe verbessern und die Widerstandsfähigkeit ihrer
IT- und OT-Systeme stärken.
SOAR-Systeme hingegen können Erweiterungen eines SIEM sein. Sie dienen der orchestrierten und automatisierten Reaktion auf häufig auftretende Sicherheitsereignisse. Laut einem Bericht
des IT-Unternehmens Fortinet konnten lediglich 52 Prozent der befragten Unternehmen alle OT-Aktivitäten von ihrem Security-Operations-Center (SOC) verfolgen.[6, S. 17] Nur 37 Prozent der Befragten verfügen über ein SOAR. Dem Bericht zufolge ist die Wahrscheinlichkeit einer erfolgreichen Abwehr eines Cyberangriffs höher, wenn ein SIEM implementiert ist.[6, S. 19]
Ein wichtiger Bestandteil der OT-Technik sind die in der Industrie etablierten Industrial Control Systems (ICS), die zur Überwachung und Steuerung von industriellen Anlagen, Maschinen und Prozessen eingesetzt werden. Diese Steuerungssysteme werden häufig als Supervisory-Controland-Data-Acquisition-(SCADA)-Systeme realisiert. Die Automatisierung von Incidents-Response erlangt in der Industrie zunehmend an Relevanz.
Im Fall des Wasserwerks hätte eine SIEM-Lösung dabei geholfen, das gesamte SCADA-Netzwerk in Echtzeit zu überwachen, indem sie die zahlreichen von den OT-Sensoren generierten
Log-Dateien sammelt und nach definierten Regeln filtert. Das können zum Beispiel gemessene Veränderungen der Wasserqualität sein, die auf einen potenziellen Angriff hinweisen. Nach
Überschreiten eines definierten Schwellwertes löst das SIEM einen Incident aus.
Ein Alert ist eine Meldung, die auf eine mögliche Bedrohung hinweist und die Aufmerksamkeit eines SOC-Analysten erfordert, eine sofortige Reaktion ist dabei nicht vonnöten.[7] Ein Incident hingegen ist ein Ereignis, dass eine Organisation negativ beeinflusst und die umgehende Aufmerksamkeit eines SOC-Analysten bedarf.[6, S. 24] Ein Incident kann mehrere Alerts umfassen.
In der Folge könnte ein integriertes SOAR-System in Echtzeit auf die von der SIEM-Lösung generierten Incidents reagieren. Dies geschieht mithilfe von vordefinierten Playbooks, welche die zu ergreifenden Maßnahmen bei Eintritt eines Incidents umfassen. So könnte die Laugenkonzentration nach einer identifizierten Unverhältnismäßigkeit gesenkt und das OT-Netzwerk isoliert werden, um weitere Beeinträchtigungen zu vermeiden.
SIEM-Systeme sind aber grundsätzlich in der Lage, nicht nur Logs effektiv zu sammeln und zu analysieren, sondern auch die aggregierten Daten miteinander zu korrelieren. So könnten beispielsweise anhand der User Behavior Analytics (UBA) innerhalb eines SIEM Verhaltensabweichungen bei der Fernwartung durch Benutzer identifiziert werden. Ein Beispiel hierfür wäre
ein vermeintlicher Ingenieur, der sich zu einer ungewöhnlichen Zeit mit einer unbekannten IP-Adresse anmeldet. Auch hier würde ein SOAR entsprechende Maßnahmen einleiten.
Fazit
Aufgrund der zunehmenden Digitalisierung industrieller Prozesse und der damit einhergehenden Masse an Log-Daten bietet der integrative Ansatz von SIEM und SOAR in der Cyberstrategie
eines Unternehmens die Möglichkeit, Incident-Response-Prozesse effizienter zu gestalten, Reaktionszeiten auf potenzielle Sicherheitsvorfälle zu minimieren und das Risiko menschlicher
Fehler bei der Bearbeitung von Vorfällen zu reduzieren. Durch die frühzeitige Erkennung und Analyse potenzieller Angriffe und die daraus resultierende automatisierte Einleitung von Abwehrmaßnahmen lassen sich industrielle OT-Netzwerke zukünftig besser schützen, um die Sicherung und Aufrechterhaltung der Grundwerte der IT-Sicherheit zu gewährleisten.
So können insbesondere kritische Infrastrukturen geschützt werden, um letztlich das staatliche Gemeinwesen und die öffentliche Sicherheit aufrechtzuerhalten. Beim SOAR ist zu beachten,
dass es sich im Gegensatz zu SIEM-Lösungen gegenwärtig in einem vergleichsweise frühen Entwicklungsstadium befindet. Es bedarf weiterer Forschungen, um die Automatisierungs-,
Orchestrierungs-, Incident-, Response- und Reporting-Fähigkeiten zu verbessern.[8]
Literatur
[1] BSI – Die Lage der IT-Sicherheit in Deutschland (bund.de)
[2] Stefan Weinzierl und Anja Ringel, Cyberangriff: Varta arbeitet an Wiederinbetriebnahme, Zeitschrift Produktion, www.produktion.de/technik/cybersecurity/cyber-angriff-legt-varta-produktion-lahm-936.html, 22. Februar 2024
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2023, www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html, 2. November 2023
[4] Bundeskriminalamt (BKA), Cybercrime, https://www.bka.de/EN/OurTasks/AreasOfCrime/Cybercrime/cybercrime_node.html, abgerufen am 22.Mai 2024
[5] Allianz Risk Barometer 2023: Cyber und Betriebsunterbrechung sind Top-Gefahren für Unternehmen, volkswirtschaftliche und Energierisiken die größten Aufsteiger, Allianz Risk Barometer 2023, abgerufen am 22. Mai 2024
[6] Fortinet, Bericht zum Stand der operativen Technologie und Cybersicherheit 2022, https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/de_de/report-2022-ot-cybersecurity.pdf, 2022
[7] Servicenow Community, Events vs Alerts vs Incidents – What’s The Difference?, darius_koohmare, www.servicenow.com/community/itom-blog/events-vs-alerts-vs-incidents-what-s-the-difference/ba-p/2360645, abgerufen am 22. Mai 2024
[8] Ban, T.; Takahashi, T.; Ndichu, S.; Inoue, D. Breaking Alert Fatigue: AI-Assisted SIEM Framework for Effective Incident Response, S. 4
Florian Thiessenhusen ist Senior Manager Cyber Security KPMG AG am Standort Köln und seit über 20 Jahren im Bereich der Cyber Security tätig. Er hat umfangreiche Erfahrungen in allen Facetten dieses kritischen Feldes gesammelt. Derzeit liegt sein Fokus bei seinem aktuellen Arbeitgeber auf der Wiederherstellung nach Cyber-Angriffen sowie der Prävention solcher Vorfälle.
Burhan Kurnaz ist Senior Associate Cyber Security KPMG AG am Standort Köln. Er bringt fünf Jahre Erfahrung im Bereich der Cyber Security mit und hat sich auf SOC- und SIEM-Prozesse spezialisiert. Bei der KPMG AG konzentriert er sich derzeit auf den Aufbau von ISMS sowie auf Cyber-Security-Analysen sowohl im internationalen als auch im nationalen Umfeld großer Unternehmen.