Operational Technology: Wenn Cyberkriminelle die Maschinen stoppen
Was passiert, wenn plötzlich alles stillsteht? Wenn Cyberkriminelle die Kontrolle übernehmen und den Produktionsfluss oder die medizinischen Geräte stoppen? Die Sicherheit von OT respektive Cyber-Physical Systems (CPS) gewinnt massiv an Bedeutung. Die Gründe sind vielfältig.
Februar 2025, Text: Andreas Heer Bild: Swisscom 6 Min.
Es ist ein Bild, wie wir es häufig sehen in der Schweiz: Eine Produktionshalle, in der Maschinen surren, hämmern, stanzen, lärmen. Ein ähnliches Bild präsentiert sich in der Energieversorgung, beispielsweise in der Zentrale eines Wasserkraftwerks. Oder aber in einem Spital. Der Betrieb läuft oft rund um die Uhr. Ausfälle – vor allem ungeplante – werden teuer, weil sie die gesamte Produktions- und Logistikkette unterbrechen und beispielsweise im Lebensmittel- und Chemieumfeld eine ganze Produktionscharge ruinieren können.
Unbedingte Verfügbarkeit ist das zentrale Stichwort, das über all diesen Maschinen schwebt. Viele dieser Maschinen kommunizieren untereinander. Sie steuern den Produktionsfluss digital und erhalten Betriebsanweisungen aus dem ERP. Visuelle Systeme wie beispielsweise Computertomographen (CT) in Spitälern speichern die Bilder im Netz oder in der Cloud. Zudem sind viele dieser Geräte mit Sensoren ausgestattet, die den Betrieb und die Produktion überwachen und diese Informationen an die Steuersysteme zurückmelden.
Operational Technology (OT) und IoT verschmelzen dadurch zu Cyber Physical Systems (CPS) – und erben die Sicherheitsprobleme der IT. «Diese Risiken werden viel zu wenig beachtet», lautet die Einschätzung von Thomas Dummermuth, Leiter physische Sicherheit bei Swisscom.
Wenn Ransomware den Produktionsfluss stoppt
Und die Bedrohung durch Cyberangriffe ist real und hat Konsequenzen in der realen Welt, nicht nur der digitalen. Der Waterfall Threat Report 2024 zählt für 2023 insgesamt 68 Attacken auf rund 500 Produktionsstätten und Infrastrukturen, die zu Produktionsausfällen führten und teilweise einen Schaden von mehreren Hundert Millionen US-Dollar verursachten. Oder anders gesagt: Wenn etwas passiert, ist der physische Schaden meistens gross. Und kann Menschenleben gefährden, etwa, weil wegen des IT-Ausfalls in einem Spital lebensnotwendige Systeme nicht funktionieren oder Krankenwagen an weiter entfernte Behandlungsorte umgeleitet werden müssen. Von diesen Angriffen zielten nur ein Viertel direkt auf die CPS. Häufigster Fall: Ein Ransomware-Angriff verschlüsselt Produktionssysteme in der IT, wodurch Systeme und Netzwerke abgeschaltet werden mussten und dadurch die Produktion stoppten.
Allenfalls war auch ein schlecht geschütztes und zu wenig abgeschottetes ICS (Industrial Control System) betroffen. «Aktuell ist die Zahl der Angriffe auf CPS tiefer als diejenige der Cybervorfälle in der IT», sagt Dummermuth. «Doch das ist nur eine Frage der Zeit.» Denn die volatile Weltlage und die einfache Verfügbarkeit von Angriffswerkzeugen, beispielsweise Ransomware-as-a-Service, tragen zu einer Zunahme solcher Angriffe bei. Davon betroffen sind mittlerweile auch Gesundheitseinrichtungen wie Spitäler, die früher aufgrund eines Art Verhaltenskodex von Ransomware-Banden verschont wurden. Komplexe Lieferketten, in denen sich Supply-Chain-Attacken «verstecken» lassen und heterogene, teils veraltete Systeme erleichtern dabei den Cyberkriminellen die Arbeit.
Wo die Herausforderungen bei CPS-Security liegen
Industriemaschinen, von Produktionsanlagen bis zu Hafenkränen, haben eine deutlich längere Lebensdauer als IT-Systeme. Das führt dazu, dass in der Produktion Steuerungssysteme anzutreffen sind, für die es keine Patches mehr gibt. Und selbst wenn es Patches gibt, werden diese nicht eingespielt. Denn der dafür notwendige Betriebsunterbruch ist nicht tragbar, oder die geänderte SW-Version ist für den Betrieb nicht zertifiziert. Wenn im Laufe der Zeit neue Maschinen, Sensoren und Steuerungen hinzukommen, präsentiert sich die CPS-Welt heterogen – und unübersichtlich. Es fehlt an Transparenz und einer Gesamtsicht über all die verschiedenen Zuständigkeitsbereiche hinweg.
Hinzu kommt, dass bei der Installation der Systeme die Funktionalität und nicht die Sicherheit im Vordergrund stand. «Security by Obscurity» ist ein Modell, dass in der Industrie anzutreffen ist: Abgeschottete («Air-Gap») Systeme, die vom restlichen Netz isoliert und damit vorgeblich unangreifbar sind. Vorgeblich, weil Malware auch via das Notebook des Servicetechnikers auf die Maschinen gelangen kann.
Generell ist die Systemarchitektur bei CPS auf Verfügbarkeit und kurze Reaktionszeiten ausgelegt, was teils auf Kosten der Sicherheit geht, etwa bei unverschlüsselter Kommunikation. Der Unterhalt dieser CPS erfolgt oft über einen Remote-Zugriff, damit der Servicetechniker ortsunabhängig zugreifen kann. Zugriffe, die je nach Alter der verwendeten Technologie schlecht bis gar nicht geschützt – oder längst «vergessen» gegangen sind.
Die regulatorischen Anforderungen werden schärfer
Organisationen wie Gesundheits- und Energieversorger, Finanzinstitute oder produzierende Unternehmen müssen ihre Cybersecurity auch aus regulatorischen Gründen verbessern. Denn mit der fortschreitenden Digitalisierung und Vernetzung steigen auch die Anforderungen an die Sicherheit.
Die EU verschärft die gesetzlichen Rahmenbedingungen mit der Einführung der NIS-2-Richtlinie und dem Cyber Resilience Act (CRA). Ziel ist es, die Cyberresilienz von Organisationen zu stärken. Diese Regulierungen haben direkte Auswirkungen auf Schweizer Firmen, etwa, wenn sie als Zulieferer für EU-Unternehmen arbeiten, Kunden im EU-Raum bedienen oder Niederlassungen in der EU unterhalten. Deshalb müssen sich auch viele hiesige Unternehmen mit diesen Regularien auseinandersetzen und allenfalls ihre Sicherheitsstrategien, -prozesse und -massnahmen anpassen.
In der Schweiz selbst spielt die Strategie zum Schutz kritischer Infrastrukturen (SKI) eine wichtige Rolle. Sie verfolgt vergleichbare Ziele wie die EU-Regulatorien. Für Schweizer Stromversorger gilt zudem eine Erweiterung der Stromversorgungsverordnung (StromVV). Der Artikel 5a von 2024 gibt Vorgaben für den Schutz von Cyberbedrohungen. In der Finanzbranche sind es die FINMA-Anforderungen, die auf einen hohen Schutz abzielen, der auch OT- und IoT-Systeme umfasst wie beispielsweise Bankomaten und Zutrittssysteme.
Erste Schritte zu einer besseren Cyberresilienz bei CPS
Eine robuste Cyberresilienz für CPS beginnt damit, Transparenz zu schaffen über die eingesetzten Systeme, Sensoren, ICS, PLCs (Programmable Logic Controller) und Zugänge. «Die fehlende Transparenz ist mit ein Grund, dass viele Unternehmen das Cyberrisiko gar nicht richtig einschätzen können», betont Dummermuth.
Als Basis für diese Transparenz dient ein detailliertes Inventar der vorhandenen Systeme und Komponenten. Auf dieser Grundlage können Unternehmen Schwachstellen identifizieren und Sicherheitsmassnahmen gezielt planen. Diese Massnahmen leiten sich aus einer Strategie für die Cyberresilienz ab. Die Strategie sollte alle Aspekte der CIS-Sicherheit abdecken, von der Prävention über die Erkennung bis hin zur Reaktion auf Cybervorfälle.
Ein wesentlicher Bestandteil dieser Strategie sind regelmässige Notfallübungen. Diese Übungen helfen dabei, die Wirksamkeit der Massnahmen zu testen und alle Beteiligten auf den Ernstfall vorzubereiten. Ein weiterer zentraler Baustein ist ein ganzheitliches Risikomanagement. «Das ist nötig, um alle potenziellen Risiken zu identifizieren und zu bewerten, was eine Priorisierung der Sicherheitsmassnahmen erlaubt», sagt Dummermuth.
Risikomanagement ist ein kontinuierlicher Prozess, der laufend die Bedrohungslage prüft und einschätzt. Daraus lassen sich gewissermassen «on demand» neue Massnahmen ergreifen oder bestehende anpassen. Für die Erkennung von Vorfällen und eine angemessene Reaktion ist es zentral, dass das Security Operations Center (SOC) um CPS-Unterstützung erweitert wird. Ein solches SOC kann Bedrohungen mittels Monitoring überwachen und auf Vorfälle schnell und effektiv reagieren.
Die Verbesserung der Cyberresilienz für CPS beginnt mit einem strukturierten und systematischen Ansatz. Ein umfassendes Inventar, eine ganzheitliche Strategie mit regelmässigen Notfallübungen, ein effektives Risikomanagement und ein erweitertes SOC sind die Schlüsselkomponenten, um CPS gegen die zunehmenden Cyberbedrohungen zu schützen. Damit die Maschinen weiter surren, hämmern, stanzen und lärmen können.