Angriffe aus dem Internet

Cyber-Bedrohungen in der Öl- und Gasbranche

Raffinerie in Hamburg
Bild: Thorsten Schier / fotolia.com
Anzeige

Eitan Goldstein, Senior Director of Business Development bei Tenable, hat täglich mit den Herausforderungen der Öl- und Gasbranche bei Operational Technology (OT) zu tun. Die Öl- und Gasbranche ist mit vermehrten Cyber-Angriffen konfrontiert. Auch wenn man über die genauen Beweggründe diskutieren kann, ist eines sicher: Die Bedrohung ist echt und es besteht die Gefahr, dass Angreifer die Verteidigungsmaßnahmen umgehen.

Ein Beispiel: Im Dezember 2018 bestätigte das italienische Unternehmen Saipem, ein Dienstleister für Erdöl- und Erdgasförderung, dass ein Computervirus namens Shamoon seine IT-Systeme lahmgelegt hatte. Die Schadsoftware war in der gleichen Woche für weitere Angriffe verantwortlich. Zu Beginn des Jahres 2018 hatten Hacker mindestens vier Pipelinebetreiber in den USA erfolgreich angegriffen. Die Gefahr ist also konkret.

Außerdem sollte der Branche Sorgen bereiten, dass Angreifer womöglich nicht nur an Störungen interessiert sind – sondern an Zerstörung: 2017 wurde eine neue Malware entdeckt, die nicht nur Systeme schädigen, sondern Menschen verletzen könnte. Die Software namens Triton wurde zuerst in einer saudischen petrochemischen Anlage entdeckt. Sie zielt aktiv auf Sicherheitssysteme ab und deaktiviert diese. Diese Aufzählung kann beliebig fortgesetzt werden und Regierungen weltweit gehen davon aus, dass die Gefahr solcher Angriffe eher zu- als abnimmt.

Digitale Transformation – ja, bitte! Aber zu welchen Kosten?

Die Industrie 4.0 hat die Onshore Öl- und Gasproduktion, ihre Speicher und Transportwege revolutioniert. Führungskräfte implementieren neue technologische Tools, mit denen mehr Gewinn erzielt werden kann, weil Effizienz und Output steigen. Ein Nebeneffekt ist jedoch, dass Daten – eigentlich Sache der IT – und die Operational Technology (OT), zur Verwaltung der industriellen Systeme (Industrial Systems, ICS), verknüpft werden. Damit sind zuvor isolierte Abteilungen plötzlich angreifbar. IT und Sicherheitsexperten sitzen zwischen den Stühlen und müssen die geschäftlichen Ambitionen des Managements – sicher – umsetzen.

Die Situation lässt sich so zusammenfassen: Die Geschäftsführung entscheidet neue OT einzusetzen und hat überzeugende geschäftliche Argumente dafür. Allerdings liegt es dann an den Security Teams diesen Wunsch umzusetzen – was Schwierigkeiten mit sich bringen kann.

Es ist nicht leicht, Sicherheitsbedrohungen zu beseitigen und zugleich Auswirkungen auf das Unternehmen zu vermeiden:

  • OT Umgebungen sind oft um Legacy-Technologie herum aufgebaut, die ohne Blick auf die Sicherheit entworfen wurde. Häufig sind diese Technologien durch Isolation abgesichert, etwa durch netzwerktechnische Isolation. Moderne Unternehmen verbinden jedoch Maschinen, Geräte, Sensoren, Thermostate usw. mit dem Internet. Damit ist die Sicherheit, die die Isolation gegeben war, dahin.
  • Viele Unternehmen, die OT einsetzen, versuchen Ausfallzeiten um jeden Preis zu vermeiden, weil die Systeme geschäftskritisch sind. Ein Energieversorger kann zum Beispiel 15 oder 20 verschiedene Standorte betreiben. Für ihn ist es weder einfach noch schnell möglich, ein Aufbereitungssystem herunterzufahren, um eine Schwachstelle in einer SPS (speicherprogrammierbare Steuerung, englisch: Programmable Logic Controller, PLC) zu beheben – auch dann nicht, wenn wir die möglicherweise später folgenden Auswirkungen des Herunterfahrens ausklammern. Doch zugleich stellt sich die Frage: Kann es sich das Unternehmen leisten, dass die Schwachstelle ausgenutzt und ein Werk oder gar ein Mensch geschädigt wird?
  •  Sicherheitslösungen für IT-Netzwerke lassen sich nicht einfach auf OT-Umgebungen übertragen. Beispiel: Ein schlecht getimter Sicherheitsscan wird in einem IT-Netzwerk möglicherweise gar nicht bemerkt, kann in einer OT-Umgebungen aber schwere Folgen haben: Das Messgerät einer Pipeline ausschalten, eine Bohrung unterbrechen oder eine ganze Anlage stören. Unternehmen können das Problem lösen, indem sie auf passives Monitoring setzen, das es ermöglicht, Netzwerk und angeschlossene Geräte zu beobachten, „abzuhorchen“ und Profile zu erstellen. Auf dieser Basis verstehen die Verantwortlichen, was vor sich geht und wo Schwachstellen vorliegen, ohne die Funktionalität des Systems zu beeinträchtigen.
  • Zwar tauchen immer wieder Schwachstellen in OT Technologie auf, allerdings gibt es Fälle, in denen kein Patch für die Schwachstelle verfügbar ist. Wenn es keinen Patch gibt: Was können die Verantwortlichen unternehmen, um die Umgebung zu sichern?

Die Mitarbeiter für OT-Sicherheit dürfen sich nicht nur auf OT-Schwachstellen konzentrieren. IT- und OT-Konvergenz heißt, dass ICS- und IT-Schwachstellen gleichermaßen ausgenutzt werden, um kritische Infrastrukturen anzugreifen. Einen ganzheitlichen Blick auf die Risiken bekommt nur, wer IT- und OT-Systeme einsehen kann – vollständig und eindeutig.

Zahlen des „Industrial Control Systemen Computer Emergency Response Teams“ (ICS CERT) unterstreichen, wie wichtig dieser ganzheitliche Blick ist: In den ersten vier Monaten des Jahres 2019 sprachen die Experten 74 Warnungen für Schwachstellen in industriellen Steuerungssystemen aus. Diese Schwachstellen betrafen die Produkte führender Hersteller von Kontrollsystemen, etwa ABB, AVEVA, Mitsubishi, Omron, Rockwell, Schneider Electric, Siemens und Yokogawa. Hinzu kamen 2.817 entdeckte IT-Schwachstellen im selben Zeitraum. Auch wenn die Zahl der OT-Schwachstellen klein scheint und selbst wenn sie im Laufe des Jahres um die Hälfte sinken sollte, ist sie zu hoch, um sie ohne automatisierte Prozesse zu bewältigen.

Was jetzt zu tun ist

Wie bei allen Dingen ist der erste Schritt, die Realität anzuerkennen: IT- und OT-Experten müssen sich der wachsenden Bedrohungslandschaft bewusst sein, wenn sie die Cyber Risiken ihrer Unternehmen senken wollen. Natürlich ist es herausfordernd, den Risiken zu begegnen, doch können Unternehmen einiges tun. Zunächst ist vollständige und eindeutige Visibilität der eigenen Angriffsoberfläche entscheidend, um Cyber-Risiken zu identifizieren, sie einzusehen und zu beseitigen – und zwar sowohl in IT-, als auch in OT-Systemen.

Ist dieser Schritt bewältigt, sollten die Verantwortlichen in einem nächsten Schritt festlegen, was für den Betrieb des Unternehmens wichtig ist – und ob diese Faktoren angreifbar sind. Beides ist nicht möglich, ohne dass IT- und OT-Sicherheitsmaßnahmen verknüpft werden. Setzt ein Unternehmen auf separate, isolierte OT-Sicherheitsprogramme oder andere Tools, KPIs und Policies als im IT-Sicherheitsprogramm, haben Angreifer wesentlich bessere Chancen.

Nebenbei: Die traditionellen Arten Systeme zu schützen, beispielsweise mit Excel Sheets oder der mündlichen Weitergabe von Infos, sind heute absolut ungenügend. Es liegt nicht nur an den Mitarbeitern im „Maschinenraum“, die Risiken für OT-Umgebungen zu verstehen – die Führungsebene oder der Vorstand sind genauso aufgefordert, sich mit den Cyber Bedrohungen ihres Unternehmens auseinanderzusetzen.

Fazit

OT- und IT-Umgebungen effektiv zu schützen, ist eine kontinuierliche Aufgabe – mit Betonung auf dem Wort „kontinuierlich“ – und nichts, was über Nacht erledigt werden kann. Die Digitale Transformation wird auch in Zukunft OT-/IT-Umgebungen verschmelzen. Branchen, die auf OT angewiesen sind, müssen deshalb die Herausforderungen akzeptieren und konsequent daran arbeiten, die Cyber Sicherheit zu verbessern.

Der Autor Andrej Kornienko ist Senior Account Manager bei HBI Helga Bailey GmbH

Ebenfalls interessant:

Daten als Treibstoff der Öl- und Gasindustrie

Anzeige

Smarte Maschinen im Einsatz

Konferenz „Smarte Maschinen im Einsatz – Künstliche Intelligenz in Unternehmen“ am 15. Oktober 2019

Konradin Industrie

Titelbild Industrieanzeiger 21
Ausgabe
21.2019
LESEN
ARCHIV
ABO

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de