tci GmbH | Blog

Industrial Security – typische Bedrohungen und Risiken

Geschrieben von Gerhard Bäurle | Oct 29, 2024 6:50:46 AM

Die heutige vernetzte Welt umfasst nicht nur Maschinen und Anlagen in der Fabrik, sondern auch über die Werksgrenzen hinaus – wie beispielsweise die Anbindung von Logistik und Handel. In Industrieanlagen lässt sich der Nachschub an Rohstoffen automatisch steuern. Anhand der Verschleißüberwachung werden Ersatzteile beim Maschinenlieferanten rechtzeitig bestellt. Durch die globale Vernetzung mehrerer Werke kann sich die Betriebsleitung auf Knopfdruck über aktuelle Produktionszahlen informieren. Und der Handel sieht in Echtzeit, wann die bestellten Produkte produziert und in ihren Regalen verfügbar sein werden.

Licht und Schatten der Vernetzung

Die Vernetzung von industriellen Maschinen und Anlagen im Rahmen von Digitalisierung und Industrie 4.0 bringt viele Vorteile. Die Verfügbarkeit einer durchgängigen Datenbasis macht es möglich, Prozesse zu optimieren und die Effizienz zu steigern. Gleichzeitig steigt jedoch auch das Risiko von Cyberangriffen, die nicht nur einzelne Maschinen, sondern ganze Produktionslinien oder komplette Unternehmen stören oder blockieren können. In diesem Artikel beleuchten wir die häufigsten Bedrohungen und Risiken, denen industrielle vernetzte Systeme ausgesetzt sind.

Ransomware-Angriffe

Eine der größten Bedrohungen für vernetzte Industrieanlagen ist die sogenannte Ransomware. Dabei wird eine Schadsoftware in das Unternehmen eingeschleust, welche Benutzerzugänge blockieren und Daten verschlüsseln kann. Die Urheber fordern dann ein Lösegeld, um Zugänge oder Daten wiederherzustellen. In der industriellen Produktion hat das in der Regel weitreichende Folgen, da der Stillstand einer Produktionslinie hohe Kosten verursacht. Ebenso leidet das Image des Unternehmens, das nun nicht mehr lieferfähig ist. Zudem ist es keinesfalls sicher, dass nach einer eventuellen Zahlung des Lösegelds tatsächlich wieder alle Daten verfügbar sind.

Angriffsflächen von industriellen Netzwerken

Wie sind solche Ransomware-Angriffe überhaupt möglich? Solche Attacken erfolgen in der Regel zweistufig. Die Angreifer verschaffen sich im ersten Schritt Zugang zum betreffenden Netzwerk.

Dafür kommen verschiedene Möglichkeiten in Betracht:

  • Sicherheitslücken durch veraltete Software und fehlende Updates an den Systemkomponenten wie Steuerungen und Industrie-PCs.
  • Manipulierte Software-Updates – bei einem tatsächlich notwendigen Update werden durch den Angreifer schädliche Codefragmente in legitime Software-Updates eingeschleust, die anschließend auf den Geräten im Netzwerk installiert werden.
  • Ungesicherte Zugänge, die irgendwann einmal eingerichtet und dann vergessen wurden.
  • Social Engineering – hier wird eine menschliche Schwachstelle gesucht. Die Angreifer manipulieren Mitarbeitende des Unternehmens, sodass diese unwissentlich schädliche Aktionen ausführen oder vertrauliche Informationen preisgeben.
  • CEO-Betrug – hier geben sich die Angreifer als Führungskräfte aus und verlangen dringend die Weitergabe sensibler Informationen.

Die Erpressung per Ransomware ist zwar eine der größten Bedrohungen, aber bei Weitem nicht die Einzige. In dem Moment, in dem eine Organisation merkt, dass sie ein Ransomware-Problem hat, ist es häufig zu spät, um zu reagieren. Trotzdem sollten aktive Netzwerkkomponenten so schnell wie möglich abgeschaltet werden, um bisher nicht betroffene Teile zu retten.

Spionage und Trojaner

Wer sich Zugang zu einem Netzwerk verschafft hat, hat aber noch viele weitere Möglichkeiten. Im schlimmsten Fall können die Angreifer hier jahrelang aktiv sein, ohne dass sie entdeckt werden.

Spionagesoftware kann unbemerkt auf den Rechnern eines Unternehmensnetzwerks installiert werden und wertvolle Informationen abgreifen – wie etwa Details über Produktionsprozesse und Rezepte, Informationen zu Patenten oder strategische Pläne. Solche Aktivitäten sind in der Regel schwer zu entdecken, da die Angreifer langsam und gezielt vorgehen und sich eine längere Zeit im System aufhalten.

Trojaner sind Schadprogramme, die sich hinter nützlicher Software verstecken oder als solche tarnen. In gezielten Sabotageakten kann etwa die Steuerungssoftware einer Produktionsanlage manipuliert werden, um die Qualität der Produkte zu beeinträchtigen. Ebenso ist die Manipulation von Rezepturen denkbar, sodass die produzierten Produkte unbrauchbar sind. Durch die Manipulation der Anlagenüberwachung können Angreifer dafür sorgen, dass eine Maschine ständig überlastet und damit beschädigt wird.

Fazit

Die aufgezeigten Risiken sind eine Momentaufnahme, die keinen Anspruch auf Vollständigkeit hat. Cyberkriminelle finden ständig neue Wege, um in Systeme einzudringen und diese zu manipulieren. Für Anlagenbetreiber ist daher ein umfassendes Cyber-Sicherheitskonzept wichtig. Neben der technischen Absicherung durch Firewalls und der Schulung der Mitarbeiter ist es auch wichtig, dass die eingesetzten Automatisierungskomponenten das Sicherheitskonzept unterstützen. Das betrifft die Netzwerktechnik mit Firewalls, Routern und Switches ebenso wie Bedienpanels, SPSen, Industriecomputern und andere aktive Komponenten.

Bild: F-Serie von tci

Das gewährleisten die neuen Touchpanels der F-Serie von tci. Sie basieren auf dem neuen skalierbaren Modulsystem von tci und wurden nach dem Security-by-Design-Konzept entwickelt. Diese Touchpanels mit kapazitivem Multitouch-Display bieten nicht nur die ideale Basis für Bedienungs- und Visualisierungsaufgaben in der Industrie, Produktion und Logistik, sondern auch CyberSicherheit auf höchstem Niveau. Das System basiert auf einem gehärteten Linux-Kernel mit Yocto-Framework und setzt auf ein schreibgeschütztes Root-Dateisystem, das unerwünschte Manipulationen verhindert.