Schutzwall gegen Cyberattacken
Erfolgsfaktoren für den Aufbau eines Information Security Management System in Chemieunternehmen
Cyberkriminalität mit allen Facetten der digitalen Sabotage und Spionage zählt seit Jahren zu den größten Risiken für deutsche Industrieunternehmen. Mit hoher technologischer Professionalität werden insbesondere Branchen wie die Chemische Industrie gezielt von Hackern attackiert. Umso wichtiger ist der Auf- und Ausbau eines aktiven Information Security Management Systems zum Schutz der IT-Infrastrukturen.
Wie tückisch und verheerend ein erfolgreicher Cyberangriff ablaufen kann, zeigte das Beispiel des mutmaßlich chinesischen Hacker-Kollektivs „Wicked Panda“. Dessen Malware-Toolkit Winnti basiert auf frei verfügbaren Tools, mit denen es den Hackern gelang, die Netzwerke zahlreicher Unternehmen zuerst an Schwachstellen zu infizieren und sich dann unbemerkt auf das eigentliche Ziel zuzubewegen. Bei mindestens sechs DAX-Konzernen wurde bislang ein Winnti-Angriff aufgedeckt, wobei die Angreifer offenbar die Chemie- und Pharmaindustrie gezielt ins Visier nahmen.
30% der Chemieunternehmen wurden bereits durch einen Cyberangriff geschädigt.(2)
Tatsächlich steht Winnti nur für die Spitze des Eisberges. Bereits vor fünf Jahren gaben 68% der Chemie- und Pharmaunternehmen an, von Cyberkriminalität betroffen zu sein (1). Laut einer Umfrage des GDV erlitt zudem fast jedes dritte kleine bzw. mittlere Chemieunternehmen in den vergangenen Jahren Schaden durch Cyberangriffe (2).
Fast 70% der Chemieunternehmen erfüllen IT-Standards nicht. (2)
Drei Handlungsfelder für IT-Sicherheit
Marktstudien zu Angriffen und Schadensvolumina sorgen dafür, dass das Thema in der öffentlichen Diskussion präsent bleibt und der Handlungsdruck den Unternehmen durchaus bewusst ist. Allerdings lässt sich eine starke, erfolgreiche IT-Security in der Regel nicht im Sprint bzw. nur mit einzelnen Tools bewerkstelligen. Notwendig ist ein adäquater strategischer Rahmen, der z.B. in einer Roadmap Maßnahmen und Technologien für die operative Umsetzung vorgibt. Dies erfordert Zeit und folgt je nach Unternehmen unterschiedlichen Zielsetzungen.
Wie die Erfahrung aus unseren Projekten zeigt, gibt es jedoch Handlungsdimensionen, die generell für einen kurz- und langfristig wirksamen Schutz der Infrastrukturen von IT und OT (Operational Technology) wichtig sind. Drei davon sind aktuell als erste Orientierungshilfe besonders wertvoll:
- Reifegrad der IT-Security-Technologien erhöhen. Die fortschreitende Digitalisierung und Automatisierung eröffnet kontinuierlich neue Angriffsflächen, um mit Malware die Unternehmensnetzwerke zu infizieren. Beispiele sind die Maschinenwartung im Remote- bzw. Fernzugriff oder wenn Fertigungslinien an IoT-Plattformen angebunden werden. Investitionen in IT-Sicherheitstechnologien sollten sich hier konsequent am Reifegrad der vorhandenen IT-Systeme orientieren. Das beginnt beim Basisschutz und der grundlegenden Überarbeitung der IT-Standards, endet jedoch nicht bei Auswahl und Einsatz neuer, zukunftsweisender Tools wie einer AI-unterstützten Anomalieerkennung
- Risikowahrnehmung der Mitarbeiter schärfen. Auf Informationen mit geschäftskritischer Bedeutung können Hacker in der Regel ebenso wenig direkt zugreifen wie auf die Anlagen- / Maschinensteuerung in der Produktion. Selbst bei basal geschützten Systemen sind nach dem ersten Eindringen meist noch weitere Sicherheitszonen in den (idealerweise segmentierten) Netzwerken zu überwinden. Umso wichtiger ist eine umfassende, „erste“ Verteidigungslinie gegen das Einschleusen von Schadsoftware. Wie diese aussieht und welche Schwachstellen existieren, sollten die Verantwortlichen aus Riskmanagement, IT-Sicherheit und Datenschutz gemeinsam identifizieren. Ein wertvolles Ergebnis einer solchen Kooperation ist z.B. eine „Landkarte“ der Risikozonen mit den physischen (Zugang zu Räumen und Maschinen) und digitalen Schwachpunkten (Phishing-Mails, VPN-Dienste, Konferenzsoftware…). Dazu ist ein Vorgehen zu entwickeln, wie die Risikowahrnehmung der Mitarbeiter an diesen Punkten ständig geschärft werden kann.
- Compliance sicherstellen. Je mehr Standorte und Akteure im Netzwerk eingebunden sind, desto komplexer und umfassender gestaltet sich die Umsetzung von Compliance-Vorgaben wie PCI-DSS, PSD2 und weiteren Richtlinien zu Netzwerksicherheit und Datenschutz. Mit dem Einrichten von Arbeitsplätzen im Home Office unter hohem Zeitdruck hat die Corona-Pandemie diese Herausforderung weiter verschärft. Um Transparenz zu schaffen und Risiken zu identifizieren, sollten IT-Verantwortliche z.B. alle Anwendungen kennen, die Kundendaten verwalten. Hier können Automatisierungstools unterstützen, indem sie diese Daten finden und die jeweiligen Interaktionen aufzeigen. Auf diesem Wege lassen sich auch die Anwendungen anhand der für sie geltenden Vorschriften klassifizieren. Zudem sollten Awareness-Schulungen die entsprechenden Mitarbeiter mit Kundenkontakt sensibilisieren, um den Anforderungen der DSGVO gerecht werden zu können.
Schutz von Systemen und Komponenten
In den Wertschöpfungsketten der chemischen Industrie gibt es eine Fülle von „Sweet Spots“, d.h. attraktiven Angriffspunkten für Cyberkriminelle. Exemplarisch seien zwei genannt, deren Absicherung höchste Priorität haben sollte.
1. IT-Security Sweet Spot: Produktion
Qualitätskontrollsysteme in IT- & OT-Netzwerken
- Erstellen Sie eine Landkarte der Schwachstellen und Risiken. Klassische Schwachstellen können bei MES-Schnittstellen mit anderen Systemen auftreten. Risiken lauern etwa beim Thema Fernwartung / Remote Access.
- Nutzen Sie bei der Bewertung Industrie-Standards wie CVSSv3-Scores (Common Vulnerability Scoring System). So leiten Sie aus den wesentlichen Eigenschaften einer Sicherheitslücke ein Kritikalitätsmaß ab.
2. IT-Security Sweet Spot: Lagerung und Vertrieb
Systeme zur Sicherstellung der Kühlkette
- Bilden Sie in einer Angriffsvektoranalyse die Angriffsoptionen ab, die gegen Infrastruktur und Geräte ausgeführt werden können – etwa in Architektur, Design und Konfiguration der Netzwerke sowie bei den Firewalls.
- Nutzen Sie die Cybersecurity-Norm IEC 62443 als Orientierungspunkt, um z.B. mögliche Angriffspunkte bei VPN Verbindungen von Anlagen, Außenstationen und Transportvehikeln zu identifizieren.
Aktives Management kritischer Punkte
Um in den genannten und weiteren Feldern Schwachstellen aufzudecken und das Unternehmen gegen Cyberangriffe zu schützen, sollte ein professionelles Information Security Management Systems zum Einsatz kommen. Dessen Aufbau ist aus unserer Erfahrung in sechs bis acht Monaten möglich, wobei der Zeitraum nach Reifegrad und Zielsetzungen der IT-Security variiert. Die wesentlichen Schritte auf dem Weg dorthin sind:
- Scoping: Hier steht die Aktivierung der Stakeholder (z.B. C-Level Management, IT Leitung, Leitung Digitalisierung) im Vordergrund, ebenso die Identifikation der besonders zu schützenden Anlagen und Komponenten. Neben der Abgrenzung des Geltungsbereichs sollte zudem eine Überprüfung der Anwendbarkeit von spezifischen Branchenstandards vom IT Grundschutz über ISO 27001 bis zu spezifischen Normen wie IEC 62443 erfolgen.
- Analyse: In dieser Phase sind die Standards auf das Scoping abzugleichen. Auch der Blick nach innen hilft, das Gefahrenpotential einzuschätzen: Wie laufen die internen Prozesse, wo sind offene Zugänge von außen/nach außen, welche Mitarbeiterbereiche und Anlagen sind heute bereits wie geschützt? Zudem sind hier eine GAP-Analyse & Maßnahmenplanung, eine Projektplanung und Ressourcenschätzung als zentrale Elemente zu nennen.
- Umsetzung: Damit die Ergebnisse der ersten beiden Phasen im Arbeitsalltag greifen, sind insbesondere die Sensibilität der Mitarbeiter für IT-Sicherheitsthemen sowie klar definierte Prozesse (z.B. im Risikomanagement) als Erfolgsfaktoren zu berücksichtigen.
Anhand dieser Orientierungspunkte fällt der Aufbau eines Information Security Management Systems leichter. Einmal etabliert, profitieren Chemieunternehmen in mehrfacher Hinsicht. Denn sichere, robuste Schutzmechanismen sorgen für stabile Geschäftsprozesse –und halten Angreifer wie „Wicked Panda“ vom geistigen Eigentum fern.
Quellen
(1) Bitkom (Wirtschaftsschutz 2015) in CHEMIE TECHNIK, März 2017
(2) Forsa u. GDV Gesamtverband der Deutschen Versicherungswirtschaft e.V. (Cyber Sicher), Februar 2020