Hacker dringen über vernetzte Geräte in Werkhallen vor. Wer seine Systeme trennt, verringert das Risiko.

Die Suche dauert 92 Millisekunden und fördert 3,8 Millionen Ergebnisse zu Tage: Wer auf einer der Suchmaschinen für vernetzte Geräte mit den Stichworten „Deutschland“ und „Internet der Dinge“ sucht, wird mit ansteuerbaren Adressen geradezu überflutet. Viele Links führen zwar ins Leere oder lediglich auf die Startseiten von Firmen, aber auch als Amateur stößt man durch Ausprobieren auf Fernwartungszugänge für Drucker, DSL-Router und Adressen aus der „Internet of Things“-Cloud von größeren Anbietern.

Alleine damit ist noch kein Schaden entstanden – der Versuch zeigt aber, wie kurz der Weg von der Oberfläche des Internets zu den direkten Eingängen vieler Geräte geworden ist. In der Industrie, die immer stärker auf vernetzte Produktionsmaschinen setzt, eröffnet sich mit jedem angeschlossenen Gerät potenziell ein neues Einfallstor für Cyberangreifer. Der Vision von neuen Geschäftsmodellen durch automatisierte Lieferketten, ferngewartete Maschinen und umsatzsteigernde Datenanalysen stehen im Hinblick auf die IT-Sicherheit neue Schreckensszenarien gegenüber. „Es geht darum, den Spagat zu schaffen zwischen Abschotten und der Möglichkeit, die Vorteile der Vernetzung zu nutzen“, sagt David Fuhr, Forschungschef beim unabhängigen Beratungshaus HiSolutions, das auf IT-Sicherheit spezialisiert ist.

Nach Ansicht von Experten stehen die Unternehmen mit ihren immer digitaleren Maschinenparks dabei gleich vor mehreren Herausforderungen. Nötig ist nicht nur die technische Absicherung gegen Angreifer aus dem Netz. Sie müssen sich auch organisatorisch auf neue virtuelle Bedrohungsszenarien vorbereiten. Ein wichtiger Aspekt dabei ist die Aufgabenverteilung zwischen Unternehmen, Maschinenlieferanten und Beratern. „Anwender, Anbieter und Dienstleister müssen sich neu austauschen, welche Standards man braucht“, sagt Fuhr, „da ruckelt sich in der IT-Security gerade viel zurecht.“

Technisch in den Fokus rückt die sogenannte Segmentierung der Unternehmensnetzwerke – also die Unterteilung in mehrere Unternetze. Geschieht das nicht, droht bei der ersten Infektion mit Schadsoftware ein breiter Schaden.  Denn sobald eine Tür geöffnet ist, sind über offene Flure alle anderen Zimmer zu erreichen. Sicherungssysteme, die als Software oder kombiniert mit der Hardware ausgeliefert werden, dämmen die Infektion auf einen bestimmten Bereich ein. „Firewalls sind wichtig, um die Netzwerke sauber zu trennen“, sagt Raphael Vallazza, Geschäftsführer des Südtiroler IT-Sicherheitsanbieters Endian.

Als absolutes Minimum in der Industrie gilt dabei eine Trennung von Verwaltung und Produktion – so kann zumindest keine Schadsoftware vom Rechner einer Personalabteilung bis in den Maschinenpark wandern. „Je mehr Segmente es gibt, desto besser“, sagt Vallazza. „Unsere Vision ist es eigentlich, jede Maschine einzeln abzusichern.“ Eine Ebene darüber helfen zentrale Managementsysteme, einen Überblick zum Datenverkehr zu gewinnen.

Das Ziel ist es, zwischen der regulären Kommunikation von Maschine zu Maschine und feindlichen Signalen zu unterscheiden. „Wenn ein Steuerungsrechner auf einmal frei mit dem Internet kommuniziert, ist ein Hinweis wichtig“, sagt Jürgen Hahnrath, der den Bereich IoT Solutions beim IT-Unternehmen Cisco in Deutschland leitet. Schwieriger wird es mit sogenannten „Zero-Day-Attacken“, also Angriffen, die bislang unbekannte Schwachstellen ausnutzen.

Denn wo keine Regel bekannt ist, können die Systeme auch keine Abweichung melden. Immer mehr IT-Sicherheitsanbieter setzen daher darauf, auf Netzwerkebene den Datenverkehr ihrer Kunden auf mögliche Bedrohungen abzusuchen – und bei einer neuen Schadsoftware möglichst schnell Aktualisierungen bereitzustellen.

Spätestens hier setzen auch organisatorische Probleme ein: In einer idealen Welt bedenken produzierende Betriebe das Thema Sicherheit schon bei der Planung neuer Anlagen. In der Praxis geht es dagegen häufig darum, bestehende Produktionsstraßen zu digitalisieren. Die IT-Verantwortlichen in Unternehmen sollten die Aufgabe nicht alleine Dienstleistern überlassen. „Beim Anwender liegt eine ganz wichtige Rolle: Er weiß genau Bescheid, welche Vernetzungen nötig sind und wie die Prozesse im Unternehmen funktionieren“, sagt Hahnrath. Die Hersteller von Maschinen und industrieller Steuerungssoftware wiederum sieht Hahnrath in der Pflicht, aktuelle Software bereitzustellen.

Täglich entdecken Sicherheitsforscher neue Schwachstellen, die Angreifer ausnutzen könnten. Alleine in der letzten Septemberwoche veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr als 60 Warnmeldungen, darunter etwa 20 mit der Risikostufe „hoch“ oder „sehr hoch“. Cisco etwa musste Ende September sein Betriebssystem für Router und Switches dringend aktualisieren. Über die vorherige Version wäre es laut BSI einem „entfernten, nicht authentifizierten Angreifer“ möglich gewesen, die vollständige Kontrolle zu übernehmen.

Bei industriellen Anlagen kommt erschwerend hinzu: Sie sind mitunter zehn Jahre und mehr in Betrieb – das ist oft länger, als Softwareanbieter Aktualisierungen bereitstellen. Vallazza etwa stößt bei seiner Arbeit auch noch auf Industrie-PCs, die mit dem von Microsoft nicht mehr unterstützten Betriebssystem Windows XP laufen. In solchen Fällen kann es ratsam sein, die betreffenden Geräte von der Vernetzung ganz auszuklammern.

Doch auch wenn es regelmäßig Updates gibt, können sich die Anwender nicht einfach zurücklehnen. Denn anders als bei einem privaten PC kann die Aktualisierung nicht immer automatisiert erfolgen, weil manche Maschine dabei aus dem Produktionstakt geraten kann. Die vielfältigen Aufgaben lassen sich für kleinere Unternehmen kaum stemmen – sie sind deswegen auf die Expertise von Dienstleistern angewiesen. Bei der Auswahl können Zertifikate und Empfehlungen eine Orientierung geben. Als Laie die Qualität eines Beraters verlässlich zu bewerten, ist nahezu unmöglich. „Man verlässt sich als Betreiber oft darauf, dass die anderen alles richtig machen“, beschreibt Fuhr das Dilemma.

Zu bedenken ist außerdem: Mit jedem zusätzlichen Benutzer, der auf die Systeme zugreifen kann, steigt auch das Risiko. Der Sicherheitssoftware-Hersteller Balabit weist darauf hin, dass hier Programme helfen können, die jeden Zugriff exakt registrieren. Das macht es zumindest einfacher, im Ernstfall die Spur eines Angreifers zu verfolgen. Umfangreiche Sicherheitsvorkehrungen sollten auch schon für erste Testprojekte getroffen werden.

Die Experten stoßen bei Kunden immer wieder auf offene Schnittstellen, die schlicht in Vergessenheit geraten sind. „Das Netz wird laufend von automatisierten Programmen nach neuen Adressen durchleuchtet“, sagt Vallazza. „Nur weil andere Menschen die Adresse nicht kennen, ist sie nicht sicher.“ Einmal aufgespürt, taucht das vernetzte Gerät in Suchmaschinen dann nach Millisekunden auf – und die nächsten Angreifer könnten schnell vor der Tür stehen.

Erschienen im Handelsblatt am 9. Oktober 2017.