Smart Factory: Das Risiko identitätsbasierter Angriffe

Wie „smart“ sind Smart Factories?

Smart Factories sind hochgradig digitalisierte und vernetzte Umgebungen, in denen Maschinen und Geräte Produktionsprozesse durch Automatisierung und Selbstoptimierung verbessern. Das Schlüsselwort lautet hier „vernetzt“. Denn was die Technologien „smart“ macht, sind digitale Prozesse, die mit einem Netzwerk und teilweise mit einer Cloud verbunden sind. Die digitalen Umgebungen in Smart Factories bestehen in der Regel aus einer Reihe von IoT-Geräten (Internet of Things), die – häufig kabellos – mit einem Netzwerk verbunden sind und über eine eigene Rechenleistung und Logik verfügen, sodass sie ferngesteuert werden können und auf bestimmte Befehle reagieren.

Die Vor- und Nachteile von Smart Factories

Diese Konnektivität bringt viele Vorteile mit sich. Im Hinblick auf die IT-Sicherheit birgt sie allerdings auch besondere Risiken. Denn durch die Vernetzung sind smarte Fabriken deutlich anfälliger für Cyberangriffe als herkömmliche Fabriken. Je stärker die Abläufe automatisiert und digitalisiert und die Systeme vernetzt sind, desto einfacher wird es für Bedrohungsakteure, sich durch das Netzwerk zu bewegen und Schaden anzurichten. Die Cyberkriminellen, die es auf Smart Factories abgesehen haben, zielen meist nicht darauf ab, Daten zu stehlen. Ihnen geht es vielmehr darum, Produktion und Betrieb zu stören. Die Auswirkungen eines Ausfalls können verheerend sein. In weltweit führenden Automobilwerken sorgen die Produktivitäts- und Effizienzvorteile der Smart Factories beispielsweise dafür, dass pro Tag tausende Fahrzeuge hergestellt werden. Stehen die Anlagen still, würde das immense finanzielle Verluste bedeuten.

Herausforderungen der IT-Sicherheit in Smart Factories

Der Schutz der Systeme ist eine Herausforderung für sich. Anders als bei klassischen Computern, lassen sich IoT-Geräte nicht einfach durch Software schützen, die nach Viren, Ransomware oder anderen Indicator of Compromise (IOCs) sucht und diese beseitigt. Stattdessen greift der Schutzmechanismus für diese Geräte ausschließlich auf Netzwerkebene und besteht aus der Überwachung des Datenverkehrs und dem Erkennen von Mustern, um darauf zu reagieren. Ein optimaler Schutz ließe sich gewährleisten, indem die Netze der Smart Factory und die der Büroumgebung des Unternehmens vollständig voneinander getrennt werden. In der Praxis ist das kaum möglich. Schließlich müssen Personen, die nicht vor Ort in der Fabrik sind, regelmäßig in die Produktionsprozesse einbezogen werden – etwa, um die Anzahl der zu produzierenden Teile oder Produkte zu verwalten. So kann sich Malware aus einer infizierten Büroumgebung – die aufgrund menschlicher Fehler anfälliger für Phishing-Angriffe ist – auch auf eine Smart-Factory-Umgebung ausbreiten und diese infizieren.

Die Bedeutung des Identitätsschutzes in Smart Factories

Um Smart Factories zu schützen, sollten Unternehmen vor allem den Identitätsschutz in den Fokus rücken. Denn jeder digital gesteuerte Workflow wird durch eine digitale Identität angestoßen. Das kann ein Mitarbeiter sein, der sich mit seinem Benutzerkonto gegenüber einem Computersystem authentifiziert, um einen Fertigungsprozess zu starten, oder der Kommunikationsprozess zwischen den verschiedenen Teilen der Smart Factory, um Daten zu lesen und den nächsten Schritt im Arbeitsablauf auszuführen. Das macht die Identitätssysteme zu einem Einfalltor für Cyberkriminelle. Sobald sie Zugriff auf eine solche Identität erhalten, können sie diese dazu verwenden, bestimmte Workflows zu stören und Produktionslinien zum Stillstand zu bringen. Was viele nicht bedenken, ist, dass sich Identitäten nicht nur auf die klassische Kombination aus Kontoname und Passwort beziehen. Eine digitale Identität kann auch eine Kombination aus einem Zertifikat und einem privaten Schlüssel sein, was ein häufiger Anwendungsfall für das Herstellen einer Vertrauenskette zwischen den an einem Smart-Factory-Workflow beteiligten Komponenten ist.

Risiko von Active-Directory-Angriffen

Smart Factories sind häufig Angriffen ausgesetzt, die einem ähnlichen Muster folgen wie dem Angriff auf das US-amerikanisches Unternehmen SolarWinds. Dabei gelang es den Angreifern, in das Microsoft Active Directory (AD) einzudringen, einer der wichtigsten Identitätsspeicher, der von den meisten Unternehmen weltweit verwendet wird. Von dort aus aktualisierten die Angreifer den Quellcode der SolarWinds Orion-Software im Azure-Cloud-Tenant mit schädlichem Code. Dieser Code infizierte daraufhin tausende Unternehmen, die die Orion-Software mit automatischer Aktualisierung verwendeten.

„Ein intelligentes System ist ein angeschlossenes System, und angeschlossene Systeme müssen in der Regel durch eine Identität kontrolliert werden. Letztlich sind es also diese Identitäten im Zentrum des Betriebs, die Unternehmen am meisten schützen müssen.“

Guido Grillenmeier, Semperis

Heute arbeiten viele Smart Factories in hybriden Umgebungen, in denen sie eine Kombination aus lokalen und Cloud-basierten Anwendungen nutzen. Die meisten Fabriken verwenden AD-Identitäten zum Steuern ihrer digitalen Workflows, die mit dem entsprechenden Azure AD-Tenant auch mit der Cloud synchronisiert werden. Gleichzeitig bergen bestehende Fabrikkomponenten oft inhärente IT-Risiken, da die Modernisierung der Fabriken schrittweise erfolgt und diese teilweise noch auf veralteten Betriebssystemen ausgeführt werden, für die keine Sicherheits-Patches mehr bereitgestellt werden. In einigen Fällen sind selbst diese Systeme nicht richtig von den modernen IT-Systemen in der Fabrik isoliert. Das bedeutet, dass es viele Angriffsmöglichkeiten gibt, über die es einem Eindringling gelingen könnte, das AD des Unternehmens zu kompromittieren und erheblichen Schaden zu verursachen.

Unternehmen benötigen Verständnis für Abhängigkeiten von Netzidentitäten

Wie können sich also Smart Factories vor identitätsgesteuerten Angriffen schützen und ungeplante Ausfallzeiten vermeiden? Die spezifischen Angriffspfade in Bezug auf eine Smart Factory unterscheiden sich je nachdem, wie diese Smart Factory vernetzt ist. Entscheidend ist demnach, dass die Betreiber die individuellen Abhängigkeiten ihrer Systeme von Netzidentitäten verstehen. Nur so können sie feststellen, was geschützt werden muss und wissen, welche Prozesse welche Identitäten verwenden. Dazu ist eine umfassende Analyse nötig. Denn manche Prozesse können auf den ersten Blick völlig unabhängig voneinander erscheinen – bis man berücksichtigt, wie sie aufgerufen werden. Bevor der Prozess gestartet werden kann, muss möglicherweise ein Programm ausgeführt werden, das ein Anwender an einer Konsole anmelden und starten muss. Wenn der Anwender das nicht tun kann, weil die Identität kompromittiert wurde, könnte die gesamte Produktionslinie zum Stillstand kommen.

Oft reicht es aus, eine Schlüsselkomponente im Produktionsablauf anzugreifen. Viele Produktionsabläufe enden zum Beispiel mit dem Ausdrucken der richtigen Versandetiketten. Bei einer Just-in-Time-Fertigung, muss auch der Versand der Waren just in time erfolgen, da die Lagerkapazitäten gering sind. Wenn die Identität, die zum Senden der richtigen Druckbefehle verwendet wird, kompromittiert wurde, kann die Ware nicht versandt werden, wodurch der gesamte Produktionsprozess gestoppt wird. Diese Logik lässt sich auf alle wichtigen Aspekte einer Smart Factory übertragen.

Fazit: Identitäten erfordern besonderen Schutz

Eine Fabrik wird „smart“, wenn sie aus intelligenten Systemen besteht. Ein intelligentes System ist ein angeschlossenes System, und angeschlossene Systeme müssen in der Regel durch eine Identität kontrolliert werden. Letztlich sind es also diese Identitäten im Zentrum des Betriebs, die Unternehmen am meisten schützen müssen. Speziell für den Schutz von Active Directory entwickelte Tools und Software unterstützen sie dabei und stellen eine optimale Ergänzung in der gesamten IT-Security-Maßnahmen dar.

Über den Autor:
Guido Grillenmeier ist Principal Technologist bei Semperis.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder