Erpressung, Spionage, Sabotage: Betriebe kämpfen gegen zunehmende Angriffe von Hackern. Jürgen Greger, Produktmanager Industrial Communication bei Lapp, gibt Tipps, wie man Angreifern das Leben schwer macht. Managed Switches spielen dabei eine Schlüsselrolle.

Laut Cybersecurity-Experten gibt es zwei Arten von Unternehmen: Die einen wurden schon Opfer einer Cyberattacke, die anderen haben es nur noch nicht bemerkt. Zahlen untermauern das. Laut der europäischen Agentur für Netzwerksicherheit ENISA waren von den kleinen und mittelständischen Unternehmen in Deutschland schon 61 Prozent von Cybercrime betroffen. Die übrigen wird es früher oder später ebenfalls treffen, denn die Vorfälle nehmen jährlich um über 30 Prozent zu. Auch haben sich die Angriffsstrategien verfeinert. Während Hacker früher Malware nutzten, landläufig als Viren bekannt, sind es heute Phishing und vor allem Ransomware. Dort verschlüsseln die Kriminellen die Daten ihrer Opfer und erpressen dann Lösegeld fürs Entschlüsseln. Häufig wohl mit Erfolg, die Dunkelziffer ist hoch.

Während früher die Büro-IT im Fadenkreuz der Cybergangster stand, ist es heute zunehmend die Operational Technology. Dort versuchen die Angreifer, in die Steuerungen einzudringen und die Produktion lahmzulegen. Netzwerkkomponenten sollten deshalb bereits ab Werk gut gesichert sein. Eine Schlüsselrolle spielen Switches für industrielles Ethernet und Profinet. Für maximalen Schutz empfehlen sich vor allem die Managed Switches und NAT-Router mit Firewall. Sie lassen sich einfach konfigurieren und sind sofort einsatzbereit.

Hohe Hürden für Hacker

Technik allein reicht aber nicht, denn das schwächste Glied ist meist der Mensch. Betriebe brauchen daher ein ganzheitliches Cybersecurity-Konzept. Das haben laut ENISA nur 30 Prozent der kleinen und mittelständischen Unternehmen. Den anderen Unternehmen droht der Verlust von geistigem Eigentum sowie Geschäftsgeheimnissen oder die Sabotage der Produktion. Ein hundertprozentiger Schutz ist zwar unmöglich, aber der Aufwand für die Hacker sollte so groß wie möglich sein, damit es sich für sie nicht lohnt. Unterstützung bietet auf europäischer Ebene die ENISA oder in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Große Unternehmen unterhalten eigene Computer Emergency Response Teams, kurz CERT.

Kleinere Industriebetriebe können sich das nicht leisten, sie sind auf externe Hilfe angewiesen. IT-Experten wittern hier einen lukrativen Markt. Fragt man diese, was sie unter Security verstehen, wird ihr Hauptaugenmerk vor allem auf der Vertraulichkeit liegen. Doch das ist den Betrieben gar nicht so wichtig. Bei der Industrial Security liegt der Fokus mehr auf der Verfügbarkeit. Bei Maschinen und Produktionsanlagen können 300 Millisekunden Ausfall schon zu viel sein, eine nahezu hundertprozentige Verfügbarkeit von 24/7 ist dort Pflicht.

Wichtige Normen

Ein umfassender und international anerkannter Standard für Industrial Security ist die IEC 62443. Sie beschreibt im Detail die Verfügbarkeit von Anlagen und befasst sich neben einem allgemeinen Teil mit Prozessen, dem System und auch einzelnen Komponenten. Angelehnt an die Norm ist das Konzept Defence-In-Depth. Das ist ein mehrschichtiges Sicherheitskonzept aus drei Teilen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität. Die drei Bausteine des Defence-In-Depth-Konzepts lauten:

• Anlagensicherheit

Damit ist die physische Sicherheit gemeint, etwa indem man Anlagen abschließt, zum Beispiel mit speziellen Schaltschränken. Nicht jede Person soll Zugang zur Netzwerktechnologie haben. Dazu gehört, Arbeitsanweisungen und Richtlinien den Mitarbeitern in entsprechenden Schulungen bekanntzumachen.

• Netzwerksicherheit

Eine empfehlenswerte Strategie ist die Netzwerksegmentierung, etwa mit NAT. Hier empfiehlt sich der Einsatz von IP- und MAC-Filtern, das Deaktivieren ungenutzter Ports, außerdem sollte verhindert werden, dass offene Ports frei verfügbar im Internet stehen. Obligatorisch ist der Einsatz einer Firewall für die sichere Kommunikation mit der Außenwelt. Es gibt smarte Lösungen, die auch einzelne Maschinen oder kleine Fertigungszellen vom restlichen Unternehmensnetzwerk abschotten. Dann sollte man sichere Protokolle verwenden, etwa beim Aufruf einer Webseite.

Managed Switches sind den Unmanaged Switches vorzuziehen, denn sie bieten eine Vielzahl von Features wie Filter oder Sperren, Authentifizierungs- und Klassifizierungsverfahren für Nutzer und vieles mehr. Mit Managed Switches können Benutzer jeden Port des Switches auf jede beliebige Einstellung setzen und so das Netzwerk auf viele Arten verwalten, konfigurieren und überwachen, etwa für Statistiken wie Datendurchsatz, Netzwerkfehler und Portstatus. Netzwerkadministratoren können diese Daten verfolgen und sie sowohl für die Fehlersuche als auch für Zwecke der Netzwerkkapazität nutzen. Sie bieten auch eine größere Kontrolle darüber, wie Daten über das Netzwerk übertragen werden und wer auf diese Daten zugreifen kann. Managed Switches haben meist einen Fernzugriff, mit dem Administratoren Konfigurationsänderungen oder Anpassungen vornehmen können.

• Systemintegrität

Default-Passwörter wie 0000, die im Auslieferungszustand vom Gerätehersteller hinterlegt sind, sollten sofort durch ein sicheres Passwort ersetzt werden. Das macht es Hackern schwer, ein Netzwerk zu attackieren. Weitere Maßnahmen zur Härtung sind Whitelisting und Virenschutz. Whitelisting deshalb, weil Betriebe wissen, welche Komponenten miteinander kommunizieren dürfen, zumindest in der Fertigungsebene.

Fazit

Nimmt man diese Empfehlungen ernst, dann führt in der Fabrikvernetzung kein Weg an gemanagten Switches vorbei. Lapp hat ein umfangreiches Portfolio an Switches für die Vernetzung in Fabriken, die mit den höchsten Sicherheitsstandards ausgerüstet sind – und es Hackern damit sehr schwer machen.