Nach dem Hackerangriff auf einen Wasserversorger in Florida scheint für viele schnell klar, wer oder was daran schuld ist. Aber es ist zu kurz gegriffen, einfach mit dem Finger auf die Mitarbeiter oder das veraltete IT-Equipment zu zeigen. Denn das eigentliche Problem liegt ganz woanders – und sitzt viel tiefer: Der Angriff im letzten Jahr auf die Uniklinik Düsseldorf sowie dieser Fall zeigen deutlich, welche Gefahr mittlerweile von Cyber-Bedrohungen für die Menschen ausgeht und wie wichtig es ist, dafür Bewusstsein zu schaffen. Vielen Unternehmen ist noch nicht bewusst, welche Gefahren drohen. Insbesondere in Produktionsumgebungen und OT-Strukturen wird sich darüber generell noch zu wenig Gedanken gemacht und das IT-Know-how ist in den seltensten Fällen vorhanden. Überspitzt gesagt ist in diesen Branchen „Cloud“ immer noch etwas, aus dem der Regen fällt. Das hat Auswirkungen auf die IT-Ausstattung, das Budget und insbesondere das Verhalten der Mitarbeiter. Genau dort muss man ansetzen.

 

Die lange Liste der Fehler

Natürlich ist die Liste der Fehler lang, die in dem Wasserwerk in der Kleinstadt Oldsmar gemacht wurden. Der unbekannte Hacker konnte auf den Rechner zugreifen, mit dem die Anlage gesteuert wird. Er schaffte es innerhalb weniger Minuten, den Anteil von Natriumhydroxid im Wasser auf einen gefährlichen Wert zu erhöhen. Entdeckt wurde das durch einen Mitarbeiter, der gerade vor dem Rechner saß.

Die Sicherheitsvorkehrungen auf dem Rechner waren mangelhaft, die Tür für den Angreifer stand weit offen. Auf dem übernommenen Rechner lief das veraltete Windows 7, das keine Sicherheits-Updates mehr bekommt. Er war direkt mit dem Internet verbunden, eine Firewall gab es nicht. Installiert war zudem die Fernwartungs-Software TeamViewer. Über das Programm konnten Mitarbeiter von außen auf die Anlage zugreifen. Gesichert war der Zugang zu TeamViewer vermutlich mit einem leicht zu erratenden Standardpasswort. Schon für sich genommen sind alle diese Faktoren toxisch – der Angriff war also ziemlich leicht zu bewerkstelligen.

Auch deutsche Anlagen sind verwundbar

Ähnliche Strukturen finden wir auch bei Versorgern hierzulande. Leider sind veraltete, nicht aktualisierbare Betriebssysteme in Industrieunternehmen eher die Regel als die Ausnahme. Den Mitarbeitern, die an den Anlagen arbeiten, fehlt oft das das Fachwissen dies zu erkennen, noch gehört es zu ihren täglichen Aufgaben. Der Fall in Florida zeigt, wie verwundbar solche Anlagen dadurch werden können. Er sollte ein (erneuter) Weckruf für die Betreiber und deren Entscheider sein – auch in Deutschland. Es ist nicht die erste und nicht die größte Attacke dieser Art: In den vergangenen Jahren gab es immer wieder Angriffe auf kritische Infrastrukturen.

Wie können die Risiken minimiert werden?

Aber was müssen Unternehmen und Versorger tun, um die Risiken zu minimieren? Natürlich gibt es Handlungsempfehlungen.

Betriebe sollten unbedingt folgendes sicherstellen:

  • Cybersicherheit hängt von jedem einzelnen Mitarbeiter ab. Deshalb müssen Unternehmen Awareness dafür schaffen.
  • Nicht mehr gewartete und gepatchte Betriebssysteme dürfen nicht frei ans Internet angebunden werden.
  • Software wie TeamViewer sollte, wenn zwingend benötigt, mit den höchstmöglichen Sicherheitseinstellungen (wie einer 2-Faktor-Authentifizierung) betrieben werden.
  • Auf Anlagenrechnern sollte kein freier Internetzugang möglich sein.
  • Programme für den einfachen Remotezugriff haben auf Anlagenrechnern nichts verloren, denn für den Remotezugriff auf Industrie- und Versorgungsanlagen gibt es sichere Verfahren.
  • Software und Betriebssysteme müssen ins Asset Management aufgenommen werden, um sicherzustellen, dass sie up to date gehalten werden.
  • Durch die Überwachung mit einem IT/OT SOC (Security Operations Center) lassen sich Risiken professionell managen und deutlich reduzieren.

Alle diese Punkte wären bei einem regelmäßigen Cyber-Security-Audit durch einen Experten wahrscheinlich sofort aufgefallen und abgestellt worden.

Im Zentrum steht das Bewusstsein für Cyber Security

Doch Handlungsempfehlungen reichen nicht aus. Zusätzlich zu den genannten Basisempfehlungen spielt aber ein ganz anderer Faktor eine zentrale Rolle: Es muss überhaupt ein Bewusstsein für die Wichtigkeit von Cyber Security geschaffen werden.

Das betrifft die Verantwortlichen, die über Budgets entscheiden. Gerade auf kommunaler Ebene fehlen häufig die finanziellen Mittel, um aktuelle IT-Infrastruktur oder Software zu kaufen. Unternehmen und Versorger benötigen eine Ausstattung, die up to date und sicher gehalten werden kann. Das gilt auch für OT-Anlagen zur Steuerung und Überwachung, nicht nur für die typische Office-IT. Besonders im OT-Bereich mangelt es hier oft noch am Bewusstsein.

Mehr Bewusstsein entwickeln müssen aber auch die Mitarbeiter, die dafür explizit zu schulen sind, damit sie drohende Gefahren frühzeitig erkennen. Nur dann wissen sie, warum Standardpasswörter geändert und Programme gepatcht werden müssen. Im Zuge der Digitalisierung muss Security im Sinne von „Security by Design“ stets von Anfang an integriert werden.

Assessments, Audits und neue Betriebsprozesse

All das führt idealerweise zu einer grundsätzlichen Veränderung der Betriebsprozesse. So sollte es selbstverständlich sein, dass beim Offboarding-Prozess eines Mitarbeiters wichtige Passwörter geändert werden, auf die er Zugriff hatte.

Bei regelmäßigen Assessments sollten außerdem alle Komponenten wie Betriebssysteme und Software auch im OT-Bereich überprüft werden, um Sicherheitsprobleme frühzeitig zu erkennen und abstellen zu können. Experten wie Axians können Industrieunternehmen und Versorger dabei unterstützen – mit Audits, Workshops und den entsprechenden Sicherheitslösungen sowie Schulungen.

Cyber Security kostet Geld, aber es ist gut investiert. Das Bewusstsein für die möglichen Risiken dagegen kann sogar ohne großes Budget entwickelt werden – es ist der erste und entscheidende Schritt für mehr Sicherheit.