Im vergangenen Jahr hat die Anzahl der Cyberstraftaten in der Bundesrepublik Deutschland einen neuen Höchststand erreicht. 146.363 Delikte zählte das Bundeskriminalamt (BKA) 2021. Diese Bedrohung macht auch vor der Chemie- und Pharma­industrie nicht Halt: Schon 2019 enthüllten Datenjournalisten von Norddeutschem Rundfunk (NDR) und Bayerischem Rundfunk (BR), dass eine professionelle Hackergruppe über Jahre hinweg große deutsche Chemie- und Pharmakonzerne ausspioniert hatte. Dazu gehörten Bayer, BASF, Covestro und Henkel. Systeme an der Schnittstelle vom Intranet zum Internet sowie Autorisierungssysteme waren mit Schadsoftware infiziert. Auch Unternehmen im Ausland waren betroffen, darunter der Schweizer Pharmakonzern Roche, der französische Klebstoffhersteller Bostik oder der japanische Chemieriese Shin-Etsu. Der verantwortlichen Gruppe „Winnti“ wird eine Nähe zum chinesischen Staat zugeschrieben.

Sicherheitslage bleibt angespannt

Eine vom Gesamtverband der Versicherer (GDV) in Auftrag gegebene repräsentative Forsa-Umfrage aus dem Jahr 2020 zeigt, wie brisant die Gefahrenlage zu diesem Zeitpunkt bereits war. Dafür wurden die jeweiligen Verantwortlichen für IT-Security in 100 kleinen und mittleren deutschen Chemieunternehmen befragt. 30 % der Befragten gaben an, dass ihr Unternehmen schon einmal Opfer eines Cyberangriffs geworden ist. Während einer Cybersicherheitsanalyse unter 510 mittelständischen Chemieunternehmen wurden zudem bei 41 % der Unternehmen Daten im Darknet gefunden. Darunter waren über 10.000 E-Mail-/Passwort-Kombinationen von Mitarbeitern. Die Situation hat sich mit Beginn des russischen Angriffskrieges in der Ukraine weiter verschärft.

Bewusstsein für OT-Security wächst

Zusätzlich zu den reinen IT-Infrastrukturen sind von der Cybergefahr zunehmend auch industrielle Anlagen betroffen, also Operational Technology (OT). Das verantwortliche OT-Personal war jahrelang allein dafür zuständig, dass Maschinen und Produktionsanlagen zuverlässig laufen. Weil die Systeme komplett abgekoppelt von der IT funktionierten, reichte dies auch aus. OT-Security war deshalb schlichtweg kein Thema. Einhergehend mit Entwicklungen wie der Digitalisierung und der Industrie 4.0 werden Herstellungsanlagen aber seit den Neunzigerjahren zunehmend mit IT-Infrastrukturen und Office-Netzwerken gekoppelt.

Immer mehr Schnittstellen zwischen OT und IT sorgen auch im Chemie- und Pharmabereich für eine steigende Anzahl an sensiblen Punkten, an denen auch die Operational Technology von außen angreifbar und verwundbar ist. Zukünftig ist daher zu erwarten, dass Sicherheitslücken hier noch gnadenloser ausgenutzt werden. Besonders Angriffe mit Ransomware (Erpressungssoftware) dürften immer spezieller auf OT-Systeme ausgerichtet werden. Die Angreifer können deutlich mehr finanziellen Druck auf Unternehmen mit systemrelevanten Produktionsanlagen ausüben, auch, weil die Systeme beim Patchen erfahrungsgemäß immer hinterherhängen.

Wertvolle Daten im Visier

OT-Sicherheit umfasst zum einen die Produktionssicherheit und zum anderen die Datensicherheit. Beides hängt miteinander zusammen. Denn die intelligente Vernetzung von Chemieanlagen führt dazu, dass die Produktion ohne digitale Datenströme lahmliegt. Kriminelle Hacker können sich Zugriff auf diese Daten verschaffen und folgendes bewirken: unwiederbringlichen Datenverlust, Datendiebstahl (Spionage) oder Datenverfälschung (Manipulation).

Bis vor einigen Jahren existierten noch keine spezifischen Programme für OT-Systeme, die kontrollieren, ob Daten manipuliert wurden. IT-Programme mussten entsprechend umständlich und aufwendig konfiguriert werden. Daher waren Angriffe mittels Datenmanipulation, die bis hin zum Herunterfahren der OT-Umgebung führen können, das größte Problem. Dies hat sich jedoch geändert: Hacker nehmen gegenwärtig neben Lösegelderpressung die Industriespionage stärker in den Fokus. Dabei lassen sie über Wochen oder Monate unbemerkt Daten abfließen, um diese im Dark­net zum Verkauf anzubieten. Von Interesse kann z.B. ein patentgeschütztes Verfahren zur Impfstoffherstellung sein oder Informationen zum Aufbau chemischer Anlagen. Der Datenabfluss kann durch einen berechtigten Zugang eines Mitarbeiters erfolgen – Remote-­Zugriffe über VPN-Verbindungen stellen hier eine Herausforderung dar – oder durch unberechtigte Infiltrierung von außen.

Normen schaffen Sicherheit

Nicht alle Chemie- und Pharmaunternehmen gehören zur Kritischen Infrastruktur (KRITIS) nach dem IT-Sicherheitsgesetz 2.0 bzw. der Kritisverordnung des Bundesamtes für Informationstechnik (BSI). Dennoch können viele als systemrelevant bezeichnet werden: Wenn z.B . bei einem Hersteller von Plastikgranulat die Produktion ausfällt, führt dies dazu, dass Lieferketten negativ beeinflusst werden. Bestimmtes medizinisches Werkzeug, wie Spritzen, kann dann nicht mehr hergestellt werden. Der IT-Grundschutz BSI bietet auch für Chemie- und Pharmaunternehmen außerhalb der KRITIS einen wertvollen Leitfaden, um die IT- und OT-Sicherheit zu verbessern.

Normen wie die ISO 27001 für Informationssicherheit oder die IEC 62443 für industrielle Sicherheit fordern schon lange einen besonderen Schutz für produzierende Unternehmen. Speziell ausgebildete und zertifizierte Experten können bei der Umsetzung dieser Vorgaben

unterstützen. Auch eine Selbstanzeige beim BSI im Falle eines erfolgten Cyberangriffs auf das eigene Unternehmen darf kein Tabu mehr sein. KRITIS-Betreiber sind dazu sogar verpflichtet. Doch nicht nur für sie empfiehlt sich die Meldung von Hackerangriffen beim BSI. Aus Sicherheitsvorfällen können andere lernen und sich besser schützen. In Zeiten der gestiegenen Bedrohung durch feindlich gesinnte Akteure, die nicht nur einzelne Unternehmen, sondern auch ganze Industrien und Volkswirtschaften schwächen wollen, profitiert davon die Industrie des ganzen Landes.

Maßnahmen

Bei Chemieanlagen geht es oftmals um für Umwelt oder den Menschen gefährliche chemische Stoffe. Unabhängige Safety-Systeme überwachen diesbezüglich bestimmte Grenzwerte und schlagen an, wenn diese überschritten werden. Sie können z.B. das Austreten giftiger oder umweltschädlicher Chemikalien verhindern. Auch Löschsysteme oder ein roter Notfallschalter, der manuell betätigt werden muss, gehören in diese Kategorie.

Solche Systeme dürfen nicht mit der Operational Technology oder der IT gekoppelt sein, denn sie müssen komplett unabhängig von anderen Systemen funktionieren. Sie sollten regelmäßig auf das ordnungsgemäße Funktionieren geprüft werden.

Unternehmen, die bei der Security noch Nachholbedarf haben, sollten damit nicht länger warten. Ein erster Schritt ist bei vielen die Dokumentierung der Assets. Nur wenige OT-Betreiber haben einen genauen Überblick über alle Systeme. Unverzichtbar ist auch das systematische und kontinuierliche Scannen auf Schwachstellen mittels professioneller Software. Firewalls, Antivirus-Komponenten, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) müssen eingerichtet werden und danach jederzeit auf neuestem Stand gepatcht sowie korrekt konfiguriert werden. Da neue Patches häufig auch Systemkomponenten lahmlegen oder gar zum Ausfall von Systemen führen können, ist hier detaillierte OT-Fachexpertise gefragt.

Hilfreich ist häufig der Austausch unter Kollegen und die Recherche nach existierenden Workarounds, die schon funktionieren.

Mit solchen Behelfslösungen können gerade im Bereich Operational Technology kritische Sicherheitslücken geschlossen werden. OT-Security ist aufgrund der Komplexität und Einzigartigkeit der Systeme ein noch langwierigerer und kleinteiligerer Prozess als IT-Security. Er muss in kleinen Schritten gegangen werden.

Autor: Patrick Latus, OT-Sicherheits­experte, Mod IT Services, Einbeck

„Hacker nehmen gegenwärtig neben Lösegelderpressung die Industriespionage stärker in den Fokus.“