Industrie 4.0: 2019 muss das Jahr der IIoT-Sicherheit werden

Das Jahr 2018 neigt sich seinem Ende zu, und die Industrie wäre gut beraten, die drängende Notwendigkeit zu erkennen, dem Thema Sicherheit im industriellen Internet der Dinge (Industrial Internet of Things, IIoT) Priorität einzuräumen.

Seit die Industrie-4.0-Bewegung ihren weltweiten Siegeszug angetreten hat, steht zweifelsfrei fest, dass IIoT-Initiativen überall zu enormen Effizienzgewinnen und Kosteneinsparungen führen, angefangen von staatlicher Infrastruktur, über die verarbeitende Industrie bis zur Energieerzeugung. Aber einige Faktoren deuten darauf hin, dass Defizite bei der IIoT-Sicherheit den Aufwärtstrend in der vernetzten Automatisierung bedrohen und das positive Potenzial steigender Deployments beeinträchtigen. 2019 ist es an der Zeit, mit der IIoT-Sicherheit Ernst zu machen.

Die Cybersicherheitsfirma CyberX hat vor kurzem ihren zweiten Jahresbericht zu Risiken des Industrial Internet of Things (Global ICS & IIoT Risk Analysis Report) veröffentlicht, der detailliert auf den Zustand von industriellen Steuerungssystemen und IIoT-Installationen eingeht. Die Studie umfasst alle Sektoren und analysiert Daten von mehr als 850 Produktionsnetzwerken aus Nord- und Südamerika, dem asiatisch-pazifischen Raum und der EMEA-Region, die von September 2017 bis September 2018 untersucht wurden. Die Resultate zeichnen ein düsteres Bild von IIoT-Netzwerken, die leichte Beute für Cyberkriminelle und andere böswillige Eindringlinge sind. Unter anderem stellt die Studie fest:

• 84 Prozent der Industriestandorte besitzen mindestens ein per Remote-Zugriff erreichbares Gerät.
• 69 Prozent der Standorte erlauben Klartextpasswörter in ihren Netzwerken.
• 57 Prozent der Standorte setzen keinen tauglichen Virenschutz ein.
• 40 Prozent der Industriestandorte besitzen mindestens eine direkte Verbindung mit dem öffentlichen Internet.
• 16 Prozent der Industriestandorte verfügen über mindestens einen Wireless Access Point.

Getrennt davon koordinierte Vectra, ein Unternehmen für Cybersicherheit, Beobachtungen und Daten für die 2018 Black Hat Edition des Attacker Behavior Industry Report, der das Angriffsverhalten in Netzwerken von über 250 Opt-in-Kunden in der verarbeitenden Industrie und acht anderen Branchen aufdeckt. Der Bericht untersucht Trends bei Cyberattacken und verwendet dazu Stichproben von mehr als 250 Vectra-Kunden mit über vier Millionen Geräten und Workloads aus neun unterschiedlichen Branchen. Er verzeichnet einen spürbaren Anstieg der Bedrohungen von 2017 auf 2018, wobei pro 10.000 Geräte durchschnittlich 2.354 Fälle als Angriffsverhalten erkannt wurden. Noch genauere Details verrät die Untersuchung von IIoT-Netzwerken, veröffentlicht im 2018 Spotlight Report on Manufacturing:

„Das monatliche Volumen erkannter Angriffe pro 10.000 Host-Geräte in der verarbeitenden Industrie zeigt eine sehr viel größeres Ausmaß an böswilligem internem Verhalten [als in anderen Branchen]. In vielen Fällen gibt es unter böswilligen Verhaltensweisen ein 2:1-Verhältnis von Lateral Movement gegenüber Command and Control. Dieser Umstand spiegelt wider, wie einfach und schnell Angriffe sich innerhalb von Fertigungsnetzwerken aufgrund der großen Anzahl ungesicherter IIoT-Geräte und unzureichender interner Zugriffskontrollen ausbreiten können.“

Der Bericht kam darüber hinaus zu dem Schluss, dass „IIoT-Geräte zusammen eine riesige, leicht zu penetrierende Angriffsfläche darstellen, die Cyberkriminellen ein internes Auskundschaften ermöglicht, mit dem Ziel, wichtige Assets zu stehlen und die Infrastruktur zu zerstören.“

Und wenn einfacher IP-Diebstahl und Beeinträchtigung und/oder Zerstörung der Infrastruktur nicht für sich schon Warnung genug sind, tritt in den USA jetzt auch noch die Regierung auf den Plan. Auch die EU will ein Sicherheitszertifikat für vernetzte Geräte einführen.

Das unlängst in den USA erlassene Gesetz schreibt künftig für jedes vernetzte Gerät eine „angemessene Sicherheitsfunktion“ vor, die eine Möglichkeit zur Authentifizierung außerhalb eines lokalen Netzwerks bietet. Dies erfordert entweder, dass jedes hergestellte Gerät ein individuelles Passwort besitzt oder dass das Gerät über eine Sicherheitsfunktion verfügt, die den Nutzer zwingt, eine neue Authentifizierungsmöglichkeit zu generieren, bevor erstmalig darauf zugegriffen werden darf. Obwohl der Gesetzgeber sonst kritisiert wird, weil er oberflächlich vorgeht, Verschlüsselung vernachlässigt und sich nicht der vielen, in den oben angeführten Cybersecurity-Berichten identifizierten Bad Practices annimmt, trägt dies einer neuen Realität Rechnung.

Es gibt also noch Hoffnung. Die Blockchain-Technologie etwa fungiert als verteilte Datenbank, die jeden Datenblock, der sich durch ein System bewegt, kryptografisch und unveränderlich aufzeichnet – was für unsere vernetzten Geräte eine sicherere Zukunft verspricht. Wie der Sicherheitsspezialist Trend Micro anmerkt: „Aufgrund ihrer dezentralen Natur kann die Blockchain in der Theorie verhindern, dass ein gefährdetes Gerät falsche Informationen sendet und Probleme in der Netzwerkumgebung verursacht, ganz gleich, ob es sich um Smart Home oder Smart Factory handelt.“ Es existieren bereits Versuchsreihen, die in Europa per Blockchain Smart-City-Funktionen validieren und absichern. In einem anderen Sektor, dem Halbleiterbereich, werden derzeit neue Chip-Designs erforscht, die Geräte und Anwendungen um eine KI-Funktionalität erweitern sollen, so dass die Sicherheit an jedem Punkt des Computings verbessert wird, vom Edge bis zur Cloud.

Das sind alles vielversprechende Entwicklungen, aber sie verleugnen nicht die aktuelle Gefahr. Das gesamte IIoT benötigt jetzt eine ernsthafte Überprüfung, Investitionen und ein erneutes Engagement für Security Best Practices. Diesen Vorsatz sollte man für 2019 fassen – und halten.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!