Die potentiellen Schäden in Produktionsumgebungen können dabei beträchtlich sein. Sie reichen vom Verlust einzelner Chargen bis hin zur Zerstörung kompletter Anlagen. Vom etwaigen Diebstahl von Rezeptur- oder Prozessdaten  einmal ganz abgesehen. Zugleich sind Produktionsumgebungen besonders anfällig für die vielfältigen Gefahren der IT-Welt, so dass hier besondere Vorsicht geboten ist.

Die Steuerung von Industrieanlagen erfolgt üblicherweise mittels Speicherprogrammierbaren Steuerungen (SPS), die von einem Prozessleitsystem programmiert und überwacht werden. Leitsysteme  bestehen dabei heute in der Regel aus PC-Komponenten mit entsprechenden Betriebssystemen, wie Microsoft Windows. Visualisierungssoftware dient dabei als Schnittstelle zwischen Mensch und Maschine. Diese Software wird meist gekapselt ausgeführt, so dass der Bediener keinen Zugriff auf das darunter liegende Betriebssystem erhält. Oft ist diese Kapselung jedoch nicht vollständig, so dass ungewollte Aktionen ausgeführt werden können. Die Erfahrung zeigt, dass nicht selten „Minesweeper“ gespielt oder im Internet gesurft wird. Besonders kritisch wird es, wenn die lokale Festplatte vollläuft, weil das Leitsystem als Ablageplatz für Musik- oder Videodateien jeglicher Genres missbraucht wird – auch dies ist keine Seltenheit.

Glücklicherweise muss das Rad für die Absicherung von Produktionsnetzen nicht komplett neu erfunden werden, denn Konzepte und Maßnahmen der PC-Welt lassen sich meist relativ leicht adaptieren. So sollten Produktionsnetze vom restlichen LAN über Firewalls getrennt, der Internetzugang reglementiert oder gänzlich unterbunden und der Zugriff auf das Betriebssystem wirksam blockiert werden. Software zum Erkennen von Schadprogrammen sollten ebenfalls installiert und gepflegt werden, damit ein rudimentärer Schutz vor Computerviren, Internet-Würmern und Trojanern gegeben ist. Der wichtigste Punkt ist, das Betriebssystem sowie die installierte Software möglichst immer auf aktuellem Stand zu halten. Darunter fallen insbesondere Tools, wie Internet-Browser, Acrobat Reader oder sonstige Bildbetrachter, da diese häufig Schwachstellen enthalten, die für Angriffe ausgenutzt werden können.

Ein wirksames Patchmanagement sollte also bereits in der Planungsphase bedacht und konsequent umgesetzt werden. Und genau hier offenbart sich das größte Problem, denn bei den langen Laufzeiten von Industrieanlagen stehen aktuelle Sicherheitspatches irgendwann nicht mehr zur Verfügung. Zudem benötigen Steuerungs- oder Visualisierungsprogramme oft bestimmte Softwarestände des Betriebssystems, um ordnungsgemäß zu funktionieren. Die Folge ist, dass diese Systeme meist gar nicht aktualisiert werden und dadurch einfach zu kompromittieren sind. Penetrationstests zeigen regelmäßig, dass ein Angreifer keine zehn Minuten benötigt, um in ein entsprechendes System einzubrechen. Hier gilt es, den Netzwerkzugriff so weit wie möglich einzuschränken (z.B. durch lokale Firewalls) und alle nicht zwingend benötigten Kommunikationsschnittstellen (z.B. USB) zu deaktivieren.

Produktionsnetze sollten grundsätzlich in die Sicherheitskonzepte der allgemeinen IT einbezogen werden, damit organisatorische und technische Sicherheitsmaßnahmen unternehmensweit greifen können. Dies beinhaltet insbesondere auch die Sensibilisierung der Anlagenbediener, denn auch hier ist wie so oft der Mensch das schwächste Glied der Kette.

Bedrohungen

Informationstechnik ist ständig einer Vielzahl von Bedrohungen und Gefahren ausgesetzt. IT-Systeme können auf Grund von technischen Defekten oder menschlichem Fehlverhalten ausfallen. Durch Umwelteinflüsse oder im schlimmsten Fall Naturkatastrophen können komplette Rechenzentren zerstört werden. Diese Szenarien, bei der es um die Verfügbarkeit von Informationen und Informationssystemen geht, lassen sich jedoch relativ gut durch geeignete Vorkehrungen und Gegenmaßnahmen verhindern (z.B. redundante Server- und Speichersysteme, gespiegelte Rechenzentren, …). Deutlich schwieriger wird es, wenn Personen oder Personengruppen ein Interesse daran haben, Daten auszuspähen oder zu manipulieren.

Motivation

Die Motivation der Angreifer kann dabei unterschiedlicher nicht sein. Sie reicht von bloßer Neugier, über Vandalismus bis hin zur organisierten Kriminalität und (staatlich geförderter) Wirtschaftsspionage. Lassen sich ungerichtete Attacken noch relativ einfach abwehren, ist man gezielten Angriffen oft schutzlos ausgeliefert. In den meisten Fällen geht es um Informationsdiebstahl zum Zweck der finanziellen Verwertung. Hier hat sich eine Schattenwirtschaft entwickelt, die vom Volumen dem Umsatz der Realwirtschaft in nichts nachsteht. Übertroffen wird dies noch von internationaler Wirtschaftsspionage, die gerne auch unter dem Deckmantel von Landesverteidigung und Terrorabwehr betrieben wird.

Methoden

Das prominenteste Beispiel für das Ausspähen von Daten im großen Stil ist das Spionagesystem „Echelon“, das unter der Federführung der USA betrieben wird. Hierbei werden weltweit mittels Antennen elektromagnetische Wellen „eingefangen“ und zur zentralen Auswertung an eine Reihe von Supercomputern weitergeleitet. Diese sind in der Lage, einzelne Wörter, Sätze oder individuelle Stimmmuster zu erkennen und zu klassifizieren. Neben Telefongesprächen wird so insbesondere der weltweit über Satelliten laufende Internetverkehr überwacht und ausgewertet. Durch die auffälligen Radarkuppeln sind die meisten Antennenstandorte allerdings bekannt, auch wenn durch die geschlossene Form nicht direkt festzustellen ist, wer oder was im jeweiligen Fall abgehört wird.

Es geht natürlich auch nicht ganz so offensichtlich. Mit „Keyloggern“ lässt sich jede Eingabe eines Benutzers an einem Computer mitprotokollieren. Kennwörter, PINs oder auch komplette Texte lassen sich so ohne großen Aufwand vom Angreifer rekonstruieren. Keylogger gibt es in Soft- oder Hardwareausführung, letztere nicht größer als ein USB-Stick. Und wer kontrolliert schon, ob sich zwischen Tastaturstecker und Computer noch etwas befindet? Leicht und unbemerkt können Besucher, Reinigungspersonal oder auch Kollegen entsprechende Geräte anbringen. Die Softwarevariante kommt in Form von Computerviren oder Trojanern und arbeitet grundsätzlich nach dem gleichen Prinzip, allerdings ohne dass der Angreifer physikalischen Zugriff auf den Computer benötigt.

Mit Computerviren und Trojanern wird man fast täglich konfrontiert. Meist durch einen Virenscanner, der den Fund eines Schädlings meldet. Diese Schutzprogramme setzen dabei auf unterschiedliche Techniken. Neben der klassischen Suche nach bekannten Mustern oder Merkmalen versuchen moderne Scanner, durch eine Verhaltensanalyse verdächtige Aktivitäten zu erkennen und zu blockieren. Mit solchen Methoden kann man sich von einem Großteil der bekannten Schadprogramme schützen, sie versagen jedoch meist kläglich bei noch unbekanntem Ungeziefer. Ein Angreifer kann also Antiviren-Software durch die gezielte Entwicklung von Viren oder Trojanern aushebeln, ein System ohne große Gegenwehr infiltrieren und beliebige Software installieren. Neben Keyloggern oder sonstigen Spionagetools kann dies z.B. auch Fernsteuerungssoftware sein, die den Computer in einen Zombie verwandelt, der jeden Befehl des Angreifers ausführt.
War bisher Email der Hauptübertragungsweg von Schadprogrammen, so nutzen Angreifer heute vermehrt dynamische Webseiten zur Kompromittierung von Systemen. Dabei werden scheinbar „normale“ Webseiten so modifiziert, dass sie beim Aufruf unbemerkt auf eine andere Webseite verweisen, um von dort Schadprogramme nachzuladen. Solche „Cross-Site-Scripting“-Angriffe nutzen Schwachstellen im Web-Browser aus und werden nur selten erkannt.

Am einfachsten ist es natürlich, wenn der Angreifer direkten Zugriff auf das lokale Netzwerk hat, da es eine Vielzahl von Möglichkeiten gibt, die übertragenen Daten mitzuschneiden oder zu manipulieren. Dazu werden meist Netzwerkdienste, wie ARP oder DNS missbraucht, um Datenverkehr zum Angreifer umzuleiten. Problematisch ist auch der Einsatz von Funknetzen, denn hier lassen sich selbst aktuelle Verschlüsselungstechniken (z.B. WPA) mit überschaubarem Zeitaufwand aushebeln. Davon betroffen sind nicht nur die verbreiteten WLAN-Netze, sondern auch der inzwischen etablierte Nahbereichsfunk „Bluetooth“.

Doch auch die am meisten verbreitete Funktechnik ist angreifbar. Weltweit basieren fast alle digitalen Mobilfunk-Netze auf dem GSM-Standard, der erhebliche Sicherheitslücken aufweist. Neben einer unzureichenden Verschlüsselung sorgt vor allem eine Designschwäche bei der Kommunikation zwischen Handy und Basisstation dafür, dass sich Gespräche mithören und die Besitzer der Telefone orten lassen. Dies wird primär von Strafverfolgungsbehörden und Nachrichtendiensten ausgenutzt, um Personen zu orten und Bewegungsprofile zu erstellen. Mit entsprechendem Equipment („IMSI-Catcher“) steht diese Möglichkeit jedoch theoretisch jedem offen, wenngleich Besitz und Betrieb illegal sind. Dies wird kriminelle Elemente allerdings kaum davon abhalten, entsprechende Geräte einzusetzen.

Einen gänzlich anderen Ansatz verfolgt das „Social Engineering“. Hierbei nutzt der Angreifer nicht Technologie sondern den Faktor Mensch, um seine Ziele zu erreichen. Das Grundmuster ist dabei fast immer gleich: Nachdem möglichst detaillierte Informationen über das Ziel gesammelt wurden, werden diese genutzt, um durch gezielte Manipulation von Menschen, Zugang zu Gebäuden, Dingen und letztendlich Daten zu erlangen. Die Methoden dieser Disziplin reichen vom Durchwühlen des Mülls („Dumpster Diving“) über fingierte Telefonanrufe, bei der sich der Angreifer z.B. als Mitarbeiter oder Servicetechniker ausgibt, bis hin zum Manipulieren von Personen durch das künstliche Aufbauen von Stresssituationen.

Diese Liste ist nur ein kleiner Auszug  aus dem vielseitigen Repertoire der Angreifer. Insbesondere, wenn es um Wirtschaftsspionage geht, bleibt oft nur zu vermuten, in welchem Umfang und mit welchen Mitteln hier tatsächlich vorgegangen wird. Aber alleine die Vielzahl der öffentlich bekannten Angriffswerkzeuge lässt erahnen, dass die Wahrung von IT-Sicherheit keine einfache Angelegenheit ist. Entsprechende Hard- und Software, wie Keylogger, WLAN- und Bluetooth-Cracker oder auch IMSI-Catcher kann theoretisch jedermann einfach und anonym aus dem Internet beziehen. Sofern nicht ohnehin kostenlos verfügbar, bewegen sich die Preise im Bereich von wenigen hundert bis wenigen tausend Euro.

Fazit

Dies alles ist allerdings kein Grund, die Hände in den Schoß zu legen. Es ist wichtig über IT-Sicherheit nachzudenken und geeignete Sicherheitsmaßnahmen zu etablieren. Oft wird jedoch der Fehler gemacht, sich nur auf technische Maßnahmen zu verlassen, die aber nie umfassend sondern nur punktuell wirken können. Eine gewisse Grundausstattung, wie Virenscanner, Content-Filter, Firewalls oder auch Intrusion Prevention Systeme sollte natürlich vorhanden sein, damit wenigstens die ungerichteten Angriffe abgewehrt werden können. Zudem sollte man es Angreifern durch den Einsatz von zusätzlichen Sicherheitsmechanismen, wie Verschlüsselung und starker Authentifizierung, zusätzlich erschweren. Effektiver sind hingegen organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit. Neben einem strukturierten Informationssicherheits- und Notfallmanagement sind dies insbesondere Sensibilisierungs- und Weiterbildungsmaßnahmen, da der Mensch in vielen Fällen das schwächste Glied der Kette ist. Die Wahrung der Verhältnismäßigkeit spielt in jedem Fall eine wichtige Rolle. Der Aufwand zur Implementierung von Sicherheitsvorkehrungen sollte immer in einer angemessenen Relation zu dem möglichen Schaden stehen.
Mit der richtigen Kombination von technischen und organisatorischen Maßnahmen lässt sich in vielen Fällen ein ausgewogenes Schutzniveau erreichen. Hundertprozentige Sicherheit gibt es allerdings nicht.

[Erschienen in Lahn Dill Wirtschaft 01/2010]

Was macht die Sache nun so problematisch? Eine ständig steigende Anzahl von Arbeitsplätzen wird nicht mehr mit PCs, sondern mit Notebooks ausgestattet. Der Hype um die ultra-portablen und günstigen NetBooks hat diesen Trend noch verstärkt. Mobiles Arbeiten verspricht größere Flexibilität und dadurch höhere Effektivität. Ob im Zug, aus dem Hotel-Zimmer oder über den Hotspot im Café um die Ecke; per UMTS oder WLAN gelangt man von praktisch überall aus in das Internet. Und genau hier beginnen die Probleme. Denn in diesem Moment können die unzähligen Sicherheitssysteme des Firmennetzwerks  nichts ausrichten und man ist auf die lokalen Schutzmechanismen des Notebooks angewiesen. Dies sind in der Regel die lokale Firewall und ein Virenschutzprogramm, beide im besten Fall auch aktuell und aktiviert. Letztendlich ist der Schutz im Regelfall jedoch bei weitem nicht so wirksam, wie im lokalen Netzwerk.

Da man aus sicherheitstechnischer Sicht von diesem Sachverhalt ausgehen muss, ist die organisatorische Regelung für das Arbeiten mit Notebooks außerhalb des Unternehmens und beim Wiedereintritt in das lokale Netzwerk ein wichtiger Punkt der IT-Sicherheitsrichtlinie. So sollte ein Notebook nach dem Außendiensteinsatz immer von der IT-Abteilung gründlich auf Viren und andere Schadprogramme (z.B. Spionage-Software) überprüft werden. Zudem gelten die allgemeinen Empfehlungen für Arbeitsplatz-PCs natürlich auch bei Notebooks. So sollte das Betriebssystem immer auf aktuellem Stand sein und insbesondere Sicherheitsupdates zeitnah eingespielt werden. Die Installation von Fremdprogrammen sollte grundsätzlich verboten und mit technischen Hilfsmitteln wenn möglich verhindert werden (keine lokalen Administrator-Rechte, etc.). Relevante Themen sind ebenso die private Nutzung des Internets sowie die Nutzung öffentlicher und/oder unverschlüsselter WLAN-Accesspoints.

Die Durchsetzung dieser Sicherheitsrichtlinie ist jedoch nicht immer einfach, da meist personelle Ressourcen fehlen, Softwarepakete nicht ohne besondere Rechte funktionieren und immer wieder Ausnahmen in Bezug auf die Nutzung von Fremdnetzen gemacht werden müssen. Insbesondere bei mittelständischen Unternehmen, die maßgeblich von ihrer großen Flexibilität profitieren, sind Ausnahmen von den strikten Richtlinien leider oft die Regel. Doch auch, wenn diese Empfehlungen umgesetzt und die Handlungsweisungen von allen Mitarbeitern eingehalten werden, stellen mobile Geräte immer ein Risiko für die IT-Sicherheit im Unternehmen dar. Denn letztendlich bedeutet das Verlassen des Unternehmens immer auch der Verlust von Schutzmechanismen (z.B. kein zweistufiger Virenschutz, kein Content-Filter, etc.).

Dort, wo Handlungsanweisungen die Sicherheit nicht gewährleisten können, müssen technische Vorkehrungen greifen. Konzepte, wie Network Admission Control (NAC), sorgen dafür, dass PCs und Notebooks nur nach vorheriger Prüfung auf Richtlinienkonformität (z.B. aktivierte Firewall, aktueller Virenscanner) an das Netzwerk angeschlossen werden können. Virenscanner, die den Datenstrom in Echtzeit überprüfen, können die Verbreitung von Computerviren, Trojanern und Spyware innerhalb des lokalen Netzwerks verhindern. Durch moderne Intrusion Detection/Protection Systeme (IDS/IPS) kann verdächtiger Datentransfer im Firmennetzwerk erkannt und unterbunden werden.

Viele dieser Lösungen lassen sich einfach und kostengünstig implementieren. Moderne Switche können PCs und Notebooks anhand ihrer MAC-Adresse identifizieren und in geschützten Netzwerkbereichen platzieren. Jeglicher Datenverkehr von und zu diesen Geräten kann anschließend per Firewall und Datenstrom-Virenscanner überwacht und reglementiert werden. Auch Gastnetzwerke für Besucher, die zwar auf das Internet, jedoch nicht auf Unternehmensressourcen zugreifen dürfen, lassen sich hiermit leicht und ohne großen administrativen Aufwand betreiben. An diesem Punkt sei erwähnt, dass Besucher (Dienstleister, Lieferanten, andere Fremdfirmen, …) mit ihren Notebooks natürlich in keinem Fall direkten Zugang zum Unternehmensnetzwerk erhalten sollten, da sich nicht einschätzen lässt, wie sicher diese Endgeräte sind. Hat sich ein Computervirus erst einmal im lokalen ausgebreitet, ist der ordnungsgemäße IT-Betrieb kaum noch aufrechtzuerhalten. Hohe Kosten durch Produktionsausfall und Aufwendungen zur Beseitigung des Störenfriedes sind dabei noch die geringsten Probleme. Besonders hartnäckige oder zerstörerische Zeitgenossen können durch den entstehenden Schaden durchaus den Fortbestand des Unternehmens gefährden.

Der Perimeter ist längst nicht mehr das einzige Einfalltor für Bedrohungen aus dem Internet. Denn durch Notebooks, PDAs und Smartphones gelangen Schadprogramme direkt und ohne Umwege in das Firmennetz. Und wenn der lokale Virenscanner Alarm schlägt, ist es oft schon zu spät und der Schaden meist erheblich. Mobilen Endgeräten sollte daher immer ein besonderer Augenmerk geschenkt werden.