Durch die Vernetzung der Produktionssysteme lassen sich hohe Effizienzsteigerungen erzielen. So ist es kein Wunder, dass immer mehr Unternehmen ihre Industriellen Steuerungssysteme (ICS) nach außen öffnen. Dies bietet jedoch Angreifern neuartige Möglichkeiten. Gelingt es ihnen, den Zugangspunkt zum Netzwerk zu kompromittieren, können sie schrittweise in die Produktionsumgebung eindringen. Da die dort installierte proprietäre Hard- und Software in der Regel nicht an die bestehenden Sicherheitssysteme angebunden sind, haben Hacker meist leichtes Spiel und können Prozesse manipulieren oder gar die gesamte Umgebung sabotieren.
Foto: gregflat - shutterstock.com
Schwachstellen und Vorgehensweisen kennen
Um sich davor zu schützen, muss die IT-Security die Schwachstellen der Produktionsnetze, die Angriffsvektoren und die verwendeten Tools kennen. Nur so kann sie die Abläufe der Angriffe verstehen, die Ausbreitung der Malware verhindern und mögliche Schäden schnellstmöglich beheben. Basis hierfür sind neben dem vorhandenen Know-how auch bestehende Wissensdatenbanken und etablierte Prozesse.
Allerdings sind Informationen für den Schutz der nachgelagerten Produktionssysteme bislang noch eher rar. Security-Initiativen wie die Suchmaschine Shodan und der ICS-/SCADA-Honeypot Conpot unterstützen Verantwortliche bei der Beschaffung und Auswertung handlungsrelevanter Threat- und Schwachstelleninformationen.
Sicherheitslücken und fehlerhafte Systeme lokalisieren
Die Suchmaschine Shodan durchsucht das Internet nach verschiedenen erreichbaren Systemen. Dabei lässt sie einfach einen Portscan über die IP-Adressen laufen und sammelt sowie indiziert die zurückgesendeten Banner. So kann das Web schnell nach Servern und Routern bestimmter Typen oder nach IP-basierten Endpoints durchsucht werden. Über Filter lassen sich dabei Suchabfragen genau spezifizieren.
Damit ist die Suchmaschine ein nützliches Tool, um Schwachstellen oder fehlerhaft konfigurierte Systeme im eigenen Netz zu lokalisieren. So können Unternehmen die Sichtbarkeit ihrer Produktionssysteme im Internet minimieren - ein erster wichtiger Schritt bei der Absicherung der ICS-Umgebung. Ein Beispiel eines Shodan ICS-Radar ist hier zu sehen.
- Autobauer, Einzelhandel und sogar Tagebau
Wir zeigen gelungene Beispiele für die digitale Transformation deutscher und internationaler Unternehmen. - Red Tomato Pizza Dubai
Wer in Dubai Hunger auf Pizza bekommt, dem gereicht ein Knopfdruck zum Italo-affinen Gourmet-Glück. Der Red Tomato-Lieferdienst bietet einen Kühlschrank-Magneten an, der über die Koppelung an ein Smartphone dafür sorgt, dass die Lieblingspizza ofenfrisch und frei Haus schnellstmöglich anrückt. - Hamburger Hafen
Der Hamburger Hafen ist Europas zweitgrößter Containerhafen. Um die Effizienz der begrenzten Verkehrswege zu verbessern und größere Gütermengen umschlagen zu können, hat die für das Hafenmanagement zuständige Hamburg Port Authority (HPA) zusammen mit der SAP und der Deutschen Telekom in einem Pilotprojekt die IT-Logistikplattform "Smart Port Logistics" aufgebaut. Die IT-Lösung soll die Unternehmen, Partner und Kunden des Hafens enger miteinander vernetzen.<br /><br />Durch ein IT-gestütztes Verkehrsmanagement will man LKW-Fahrern Echtzeit-Informationen zu Frachtaufträgen und zur Verkehrslage bereitstellen. Dadurch sollen Staus im Hafen und auf den Zufahrtswegen sowie Wartezeiten minimiert und der Warenfluss optimiert werden. Die IT-Logistikplattform ist mit mobilen Applikationen ausgestattet, über die Lkw-Fahrer Verkehrsinformationen und Dienstleistungen rund um den Hafen mithilfe mobiler Endgeräte wie Tablet-PCs oder Smartphones abrufen können. - Drive Now
In kaum einem Industriezweig vollzieht sich die Digitalisierung so vielschichtig wie im Automotive-Sektor. Einen besonderen Stellenwert nehmen dort seit einigen Jahren die "individuellen Mobilitätsleistungen" ein - besser bekannt unter dem Schlagwort Carsharing. Der Münchner Autobauer BMW hat gemeinsam mit seiner Tochter Mini und dem Autovermieter Sixt das DriveNow-Programm ins Leben gerufen. Gefunden und gebucht wird ein Fahrzeug in der Nähe per Smartphone-App, bezahlt wird per Kreditkarte. - SK Solutions
SK Solutions koordiniert mithilfe einer neuen Plattformlösung Kräne und andere Maschinen auf Baustellen. Eingebaute Sensoren sammeln Echtzeit-Daten für die Live-Analyse; Bewegung und Steuerung der Baustellenperipherie werden daraufhin automatisch angepasst, um Unfälle und Kollisionen zu verhindern, die sonst - möglicherweise auch erst in einer Woche - passieren würden. - Xbox Live
Disketten und Cartridges sind längst passé - nun wendet sich die Gaming-Industrie langsam aber sicher auch von der Disc ab. Wie Sonys PlayStation Network bietet auch der Xbox Live-Service inzwischen viel mehr als nur Multiplayer-Schlachten. Games- und Video-on-Demand-Dienste machen physische Datenträger nahezu überflüssig. Zahlreiche Apps wie Youtube, Netflix oder Skype verwandeln die aktuellen Spielkonsolen in Multimedia-Stationen. - Novartis & Google
Der Schweizer Novartis-Konzern gehört zu den wenigen großen Playern der Pharma-Industrie, die die Digitalisierung vorantreiben. Zu diesem Zweck haben sich die Eidgenossen die Lizenz gesichert, Googles Smart Lens-Technologie für medizinische Zwecke nutzen und vermarkten zu dürfen. Konkret arbeiten die Wissenschaftler derzeit an neuartigen Kontaktlinsen. Diese sollen sowohl Diabetikern als auch Menschen die auf eine Sehhilfe angewiesen sind, zu mehr Lebensqualität verhelfen. Das funktioniert mittels Sensoren und Mikrochip-Technologie sowie der Koppelung an ein smartes Endgerät. Zum einen soll die Kontaktlinse so in der Lage sein sollen, den Blutzuckerspiegel eines Menschen über die Augenflüssigkeit zu messen, zum anderen die natürliche Autofokus-Funktion des menschlichen Auges wiederherstellen. - Dundee Precious Metal
Die kanadische Minengesellschaft Dundee Precious Metal setzt unter Tage klassische Netztechnik wie WLAN oder 10-Gigabit-Glasfaser ein, um den Bergbau zu automatisieren und Edelmetalle effizienter zu fördern. Laut CIO Mark Gelsomini arbeitet das Unternehmen dank der neuen Technik nun 44 Prozent effizienter.<br /><br />Im ersten Schritt wurden klassische Kommunikations-Devices auf Voice over IP und Voice over WLAN umgestellt sowie neue Sensorsysteme verbaut. Fernziel ist, dass die Geräte unter Tage künftig ferngesteuert von der Oberfläche gesteuert werden, um so die Zahl der Bergleute, die einfahren müssen, zu reduzieren. - Axel Springer
Beim größten deutschen Medienhaus Axel Springer nimmt die Digitalisierung einen hohen Stellenwert ein. Im Jahr 2012 erwirtschaftete Springer mit den digitalen Medien erstmals mehr als mit seinen Print-Erzeugnissen. Doch nicht nur Paid-Content-Modelle wie "Bild Plus" sorgen für klingelnde Kassen - auch das Jobportal Stepstone.de, die Beteiligung an der Fitness-App Runtastic, die Etablierung des Reisemagazins travelbook.de, sowie zuletzt die Übernahme der Plattform Immowelt zeugen von dieser Entwicklung. - General Motors
General Motors hat eine eigene Software-Entwicklungsabteilung mit 8000 Developern aufgebaut und damit einen Outsourcing-Vertrag mit HP abgelöst, der den Konzern drei Milliarden Dollar im Jahr kostete. Der Autobauer entwickelt die Software-Lösungen für seine Autos und den internen Gebrauch nun komplett selbst, um besser auf Kundenwünsche eingehen zu können. - Deichmann
Wenn es um Schuhe geht, ist derzeit kein Unternehmen in Deutschland erfolgreicher als Deichmann. Das dürfte auch daran liegen, dass das Familien-Unternehmen als erster Schuhhändler Deutschlands einen Online-Shop installierte - im Jahr 2000. Inzwischen fährt Deichmann eine Omnichannel-Strategie und möchte den Online-Handel konsequent mit klassischen Einzelhandels-Geschäftsmodellen verknüpfen... - Deichmann
... Konkret sollen im Herbst die beiden Modelle "Ship2Home" und "Click&Collect" starten: Kunden sollen Schuhe, die im Laden nicht auf Lager sind, bequem nach Hause ordern können oder - andersherum - online in die Filiale. Social Networking, Blogging und Apps gehören ebenfalls zum Konzept von Deichmann. Dabei scheut man sich auch nicht davor, neuartige Konzepte zu testen. So bot das Unternehmen für einige Zeit auch virtuelle Schuhanproben an - die sich allerdings nicht durchsetzten. - Kreuzfahrtschiff "Quantum of the Seas"
Satelliten-Wifi auf Hochsee, Cocktails an der Bionic-Bar, digitaler Meerblick in der Innenkabine, bargeldloses Zahlen an Bord mit RFID-Armbändern und lückenloses Gepäck-Tracking: Die "Quantum of the Seas" von Royal Carribean kreuzt als schwimmendes High-Tech-Paradies in der Karibik und lässt keinen Geek-Wunsch offen. - Rewe
Die Frankfurter Allgemeine bescheinigt dem Lebensmittel-Konzern, es sei "wie kein anderes in seiner Branche dem Zeitgeist gnadenlos auf der Spur". Dabei ist die Rewe Group im Vergleich zum Konkurrenten Tengelmann erst recht spät auf den Digitalisierungszug aufgesprungen. Der erste Schritt war die Einführung von Online-Bestellungen, ... - Rewe
... inzwischen erlauben viele Rewe-Kassenterminals auch die Bezahlung per Smartphone. Überraschend hat sich das Unternehmen Anteile am Online-Möbelhändler Home24 gesichert. Warum? Rewes E-Commerc-Chef Lionel Sourque verrät: "Wir müssen von diesen Verrückten lernen, denn uns fehlt das Online-Gen in unserer Händler-DNA." - Commonwealth Bank of Australia
Die Commonwealth Bank of Australia ist das beste Beispiel dafür, dass es sich lohnt, beim Thema Digitalisierung Early Adopter zu sein. Im Jahr 2008 lief die digitale Umstrukturierung an - inzwischen hat das australische Finanzinstitut alle Privat- und Unternehmenskonten in ein einheitliches digitales System übertragen und ist dank neuer Strukturen laut den Management-Beratern von Bain&Company die Nummer 1 in Australien beim Online-Banking. In der Gunst der jungen Kunden liegt das nahezu vollständig digitalisierte Finanzinstitut ebenfalls an erster Stelle.
Bedrohungen analysieren
Die zunehmende Zahl maßgeschneiderter, mehrstufiger Advanced Persistent Threats (APT) macht es jedoch erforderlich, Bedrohungen sorgfältig zu analysieren. Dazu haben IT-Security-Experten die Conpot (Control System Honeypot)-Initiative gegründet. Dahinter verbirgt sich die Idee, im Internet aktive, virtuelle Systeme zu platzieren, die sich nach außen hin exakt wie ungeschützte ICS-Server oder Industrienetzwerke verhalten. Der Betreiber des Honeypots wartet dann ab, bis ein Angreifer das emulierte Kraftwerk, Verteilerhäuschen oder Industrieunternehmen attackiert - und kann schrittweise die Anatomie der Attacke beobachten. Somit erhält er wertvolle Analysen von Angriffsvektoren. Werden im Rahmen der Initiative Dutzende von Angriffen ausgelesen, analysiert und korreliert, lassen sich unter anderem Aussagen zu Trends und Entwicklungen oder regionalen sowie thematischen Schwerpunkten der Angriffe ableiten. So unterstützt der Honeypot maßgeblich bei der Suche nach Anomalien im Produktionsnetz.
Produktionsumgebung wirkungsvoll schützen
Um ihre Produktionsumgebungen wirkungsvoll abzusichern, sollten Unternehmen mit Shodan zunächst die Sichtbarkeit ihrer ICS-Systeme im Web prüfen. Sind diese in Shodan sichtbar, ist große Vorsicht geboten und Best Practices der (IT-)Security sollten umgehend implementiert werden, damit die gegebenenfalls versehentlich über das Internet erreichbaren Teile des Netzwerks sofort zuverlässig abgesichert werden. Oft reicht es zunächst, das im Internet sichtbare Gerät oder beispielsweise Teile einer Steuerung entsprechend zu konfigurieren oder sie vorerst komplett aus dem Netzwerk zu entfernen.
Zudem sollten Unternehmen via Conpot ein Profil der Angriffe erstellen, die gegen ähnliche ICS-Infrastrukturen wie die eigenen erkennbar sind. So ist es leichter möglich, Techniken und Angriffsvektoren der Hacker zu verstehen. Dadurch können Security-Teams ihre Sicherheitskonfiguration wie Regeln für Firewalls oder Zugangsberechtigungen anpassen und die eigene IOT Strategie überdenken. (bw)