Das folgende Szenario ist keine Fiktion, sondern liegt mittlerweile im Bereich des Möglichen: Ein Patient, der seit einigen Tagen auf einer Intensivstation beatmet wurde, schwebt innerhalb weniger Sekunden scheinbar grundlos in Lebensgefahr. Grund? Das Beatmungsgerät wurde gehackt. Denn es war mit dem Internet verbunden.
Diese Situation hatten die Advanced Hacker des Cyber Defence Teams von Accenture im Auftrag eines Kunden simuliert. Sie sollten die Intensivstationen einzelner Spitäler simuliert angreifen, um die Cyberverletzlichkeit der dort installierten Systeme zu überprüfen – und es gelang ihnen binnen Minuten, die Funktionalität einzelner Geräte nachhaltig zu stören. Ausserdem wurden die Alarmierungssysteme teilweise gezielt ausgeschaltet, sodass etwelche Veränderungen am Gesundheitszustand der Patienten – hier im Test keine Menschen, sondern Dummys – erst mit einiger Verzögerung bemerkt worden wären. Der Hack wurde übrigens von einem weit entfernten Labor und nicht etwa vor Ort ausgeführt.
Wo liegen die Ursachen der Sicherheitsrisiken?
Genährt durch immer mehr Sicherheitsvorfälle steigt die Aufmerksamkeit und damit auch die Sensibilisierung für das Thema Cybersecurity: Mittlerweile wird das Thema mehrheitlich proaktiv und flächendeckend bei klassischen IT-Systemen angegangen. Dies bedeutet jedoch nicht, dass hier keine Lücken mehr bestehen. Dennoch steigt das Bewusstsein für dieses Problem und Unternehmen investieren daher auch aktiv in den Ausbau ihrer Cyberverteidigung. Was dabei aber lange Jahre ausser Acht blieb und sich auch nach wie vor mehrheitlich ausserhalb des regulären Fokus befindet, ist das Thema Sicherheit im Internet of Things (IoT) oder in Industrial-Internet-of-Things-Umgebungen, kurz IIoT-Umgebungen.
Gerade bei industriellen Leitsystemen und Systemen mit Netzwerkfunktionen galt lange Zeit die Annahme, dass die verwendeten Technologien derart proprietär wären, dass alleine diese Tatsache sie gegen einen Hackingangriff sehr gut schützen würde. Ausgelöst durch den grossflächigen Stuxnetangriff im Jahre 2010 wurde diese Annahme aber definitiv in das Reich der Märchen, Mythen und Legenden verwiesen.
In Anbetracht der immensen Wachstumsraten des IoT entstehen unglaublich schnell wachsende, neue Angriffsvektoren. Ein wesentliches Problem bei Konsumgütern mit IoT-Anschluss besteht hierbei darin, dass die Preissituation in diesen Märkten oftmals nur sehr kleine Investitionen für «embedded» und proaktiv implementierte Securitymassnahmen zulässt. Darüber hinaus stehen die zuständigen Entwicklungsabteilungen oftmals gerade erst am absoluten Anfang, was den Aufbau von Fachwissen in Sachen «Security by Design» bei solchen Produkten betrifft.
Beim IIoT, welches unter anderem die industriellen Leit- und Steuerungssysteme sowie auch Medizinal- und andere Industrietechnologie umfasst, sieht die Situation etwas besser aus.
Dort erkennt man seit ein paar Jahren zumindest, dass hier ein Sicherheitsproblem existieren kann. Man denkt auch aktiv über entsprechende Schutzkonzepte und -technologien nach. Dennoch muss auch hier noch massive Aufklärungsarbeit geleistet werden. Immer wieder findet man Steuerungssysteme von kritischen Infrastrukturelementen, die schlecht oder gar nicht geschützt vom Internet aus zugänglich sind – vom Schutz gegen profesionell ausgeführte Angriffe gar nicht erst zu sprechen. Trotz entsprechender Initiativen befinden sich darunter auch immer wieder Systeme, welche Bestandteile von teilweise sehr kritischen Infrastrukturen sind.
Wie soll man das Thema nun angeghen?
Bei IIoT-Systemen gilt es, sich frühzeitig Securityspezialisten anzuvertrauen. Denn neben den relativ naheliegenden Dingen wie der Abgrenzung von kritischen Netzwerkelementen, dem Patching und dem Zugriffsschutz, ist hier schnell auch sehr spezifisches Fachwissen zu industriellen Leitsystemen notwendig. Dieses Wissen über die detaillierten Schutzkonzepte für solche Systeme ist derzeit noch dünn verteilt. Es genügt definitiv nicht, mit klassischen Securitytechnologien wie Firewalls umgehen zu können. Vielmehr benötigt man Securityspezialwissen, das unter anderem sehr gezielt auf die verwendeten Architekturmerkmale solcher Systeme eingehen kann und wirkungsvolle Schutzkonzepte entwickelt, die tatsächlich und nicht nur zum Schein schützen.
Ein weiteres, in der Praxis häufig beobachtetes Phänomen besteht auch darin, dass die Betreiber solcher Leitsysteme von den Securitymassnahmen der klassischen IT-Security-Teams oft nicht erfasst werden oder auch nicht erfasst werden wollen. Um diesem Problem Herr zu werden, sind von oberster Führungsstufe her Schritte notwendig, die einen integralen Ansatz bei der Thematik fordern. Reiner Technologiefokus ist dabei genauso falsch wie blindes Vertrauen in die Versprechungen einzelner Produktanbieter oder in Papierprozesse, welche nur die Technologie und nicht etwa das zugrundeliegende Geschäftsmodell mit seinen Wertschöpfungsketten schützen.
Es gilt, sich der potentiell hohen, finanziellen Konsequenzen eines gezielten Angriffes auf Steuerungssysteme bewusst zu werden. Sind Firmen einmal durch die Phase der Bewusstseinsbildung gegangen, sollten im nächsten Schritt mit hochspezialisierten Profis die wesentlichsten Lücken angegangen werden. Dazu zählt – nebst dem proaktiven Schutz – auch eine präventive und permanente Analyse möglicher Angreifer sowie die Vorbereitung entsprechender Massnahmen, um einen Verteidigungsfall zu koordinieren.