Die Anlage ließ sich nicht mehr steuern. Die Ingenieure des Stahlwerkes hatten keine Kontrolle mehr. Die Temperatur war nicht zu senken, der Hochofen konnte nicht reguliert heruntergefahren werden. Am Ende wurde die Anlage massiv beschädigt. Was nach einem konstruierten Fall klingt, ist ein realer gezielter Cyber-Angriff auf ein Stahlwerk in Deutschland, den das BSI in seinem \’Bericht zur Lage der IT-Sicherheit 2014\‘ auflistet. Über die Methode der Hacker halten die Forscher Folgendes fest: \“Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten die Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor.\“ Das Know-how der Angreifer, so heißt es weiter, sei ausgeprägt gewesen – nicht nur über IT-Sicherheit, sondern auch über die eingesetzten Industriesteuerungen und Produktionsprozesse.
Stromversorgung gefährdet
Was Hacker mit bösen Absichten alles bewerkstelligen können, das hat vor Kurzem auch der Angriff auf den französischen Sender TV5Monde aufgezeigt. Nur eine Fernsehstation, könnte man meinen. Doch Attacken auf Unternehmen, Behörden, Institutionen, auf Industrieanlagen und ebenso auf Einrichtungen der kritischen Infrastruktur gibt es in unterschiedlicher Form und Ausprägung praktisch jeden Tag, wenn sie auch meist nicht öffentlich bekannt werden. Ziele sind ebenso Kraftwerke: Die besonders für Produktionsbetriebe so wichtige und vor allem stabile Stromversorgung ist damit gefährdet. Böse, aber realistische Zungen behaupten, dass Europas Stromnetze ein ordentliches Blackout in absehbarer Zeit auch ohne Hilfe von Cyber-Kriegern zuwege bringen – Stichwort Energiewandel. Ein Schutz der gesamten IT-Infrastruktur bis hinein in die sensiblen Produktionssteuerungen ist deshalb im Sinne der Risikominimierung ein notwendiger Aufwand.
Totale Vernetzung
Die Fabrik der Zukunft, auch Industrie 4.0 genannt, ist bereits im realen Aufbau. Die intelligente Produktion erfordert, dass über eine Vielzahl an Sensoren – angebracht bis zur hintersten, öligsten Maschine im Produktionsprozess – eine Unmenge an Daten erhoben wird. Die Kommunikation der Maschinen untereinander wie mit den menschlichen Verantwortlichen läuft meist über das Internet – Externer Zugriff zur Fernwartung inklusive. Die technologische Durchdringung und Vernetzung aller physischen Systeme und deren Anbindung an das Netz ist praktisch allgegenwärtig. Was so ein Mehr an Kontrolle, Weiterentwicklung und Wertschöpfung bringt, vervielfacht auf der anderen Seite die Angriffspunkte für ungebetene Gäste. Zugriffskontrollen, Security Monitoring, Firewalls: All das muss sich somit über den gesamten, bisher vielleicht autarken, Produktionsbereich erstrecken. Ein modernes Security-Information- and Event-Management (SIEM), wie es längst im Bürobereich eingesetzt wird, samt Disaster-Recovery, kombiniert mit entsprechenden Alarmierungssystemen und gepaart mit aktuell gehaltenen Notfallplänen inklusive regelmäßiger Disaster-Tests unter realen Bedingungen, ist dafür notwendig.
Strom weg, Daten futsch?
Fällt der Strom aus, egal ob durch Hacker, überlastete Stromnetze oder Naturkatastrophen ausgelöst, und fahren damit alle Server, Systeme, Applikationen völlig planlos irgendwie herunter, ist das Chaos perfekt. Ein geregeltes, geordnetes Herunterfahren der IT, gesteuert nach bestimmten Prioritäten, die Wichtiges von Unwichtigem trennt, ist entscheidend. Gleiches gilt umgekehrt: Ist der Strom wieder da, muss das System geordnet hochfahren. Mitunter muss es zunächst davon abgehalten werden, sich wieder zu aktivieren: Gibt es mehrere Stromausfälle kurz hintereinander, wäre ein zwischenzeitliches Hochfahren vermutlich fatal. Das alles lässt sich nicht einfach von Hand bewerkstelligen. Im Notfall, bei einem längerem Stromausfall und womöglich einer zu kurzen USV-Dauer, werden sich selbst die besten IT-Verantwortlichen schwer tun, einen Shutdown für hunderte Server manuell zu steuern. Das funktioniert nur mit einem zentralen Power-Management, einer Software-Applikation also, die physikalische Kontakte und Sensoren ebenso gut im Griff hat wie die USV-Geräte und virtuellen Anwendungen. Ein logikbasierter Failover-Ablauf ist dabei zentraler Bestandteil. Die Anwendung selbst muss natürlich entsprechend abgesichert sein: Sie ist die letzte, die herunter- und die erste, die wieder hochfährt. Um Abhängigkeiten unterschiedlicher Server-Systeme zueinander berücksichtigen zu können, braucht es ein ausgeklügeltes Shutdown-Procedere. Eine instabile Stromversorgung erfordert in einem Betrieb etwa den Einsatz der USV-Anlage. Nach einigen Stunden muss alles heruntergefahren werden. Ist die Stromversorgung wieder kontinuierlich verfügbar, sollen die IT-Systeme automatisch in der umgekehrten Reihenfolge des Shutdowns hochgefahren werden.
