Cyberangriff legt Produktion lahm

In vernetzten Fabriken kann Cyberkriminalität jeden Bereich treffen. Unternehmer Thomas Pilz berichtet, wie ein Angriff sein Unternehmen traf und welche Lehren er daraus gezogen hat.

Den 13. Oktober 2019 wird Thomas Pilz nicht so schnell vergessen. An diesem Sonntag bekam der Geschäftsführer des Automatisierungsspezialisten aus Ostfildern einen Anruf von seinem IT-Leiter. Die Überwachungssysteme hatten einen außergewöhnlichen Datenverkehr im Unternehmensnetz registriert. Ein Trojaner hatte sich in der Bürosoftware des global agierenden Unternehmens festgesetzt, und begonnen, die gespeicherten Daten zu verschlüsseln. Um die Attacke zu stoppen, schalteten die Verantwortlichen sämtliche IT-Systeme in Verwaltung und Produktion ab. Weil Bürosoftware und auch Maschinensteuerungen auf Microsoft-Betriebssystemen laufen, war der Schritt unvermeidbar. „Da fühlen Sie sich erst einmal hilflos“, schildert Pilz seine erste Reaktion.

Rückblickend scheint das Unternehmen mit einem blauen Auge davongekommen zu sein und um einige Erkenntnisse reicher. Wenige Wochen später war dem Messeauftritt auf der SPS in Nürnberg jedenfalls nichts von der schweren Attacke anzumerken. „Wir haben es geschafft, die Produktion in der dritten Woche wiederanlaufen zu lassen“, berichtet der Pilz-Geschäftsführer, der die Firma gemeinsam mit seiner Schwester Susanne Kunschert führt. In der sechsten Woche seien alle Werke wieder online gewesen. Lagerware wurde zwischenzeitlich von Hand verschickt und Aufträge handschriftlich dokumentiert. Mit den ersten „sauberen“ Rechnern konnte alles schließlich im SAP-System nachgepflegt werden sowie nach und nach auch von den Niederlassungen wieder direkt elektronisch eingegeben werden.

Großer Zusammenhalt in kritischer Phase

Pilz lobt den Zusammenhalt im Unternehmen in dieser kritischen Situation. Er macht das am Beispiel der Messevorbereitung deutlich: „Es war eine ganz tolle Leistung von den Mitarbeitern im Marketing, Produktmanagement und Customer Support den Stand so aufzubauen, dass man gar nicht merkt, dass wir angegriffen wurden.“ In Scrum-Manier hätten die Mitarbeiter mit Papierpostern, Fotos und den ersten verfügbaren Rechnern sowie ganz viel Engagement alles bis zum Termin bewältigt. Nur auf USB-Sticks mit Informationen für Pressevertreter wurde verzichtet.

Eine wesentliche Erkenntnis von Thomas Pilz ist: „Cybersecurity veraltet – und zwar ganz schnell.“ Um mit den Kriminellen mithalten zu können, müsse man sich permanent selbst infrage stellen. Das tat der Automatisierungsspezialist nach eigenen Angaben auch. So hatte man bereits vor dem Angriff den Dienstleister @-yet GmbH aus Leichlingen beauftragt, Schwachstellen in der Firmen-IT offenzulegen und Handlungsempfehlungen zu erarbeiten. Einen Tag nach dem Angriff hätten die Ergebnisse präsentiert werden sollen. „Also habe ich am Montag bei der Firma angerufen, dass statt des Präsentationsteams ein Cyberresponse-Team kommt“, erinnert sich Pilz. Das Team sei auch direkt am Morgen mit kompletter Ausrüstung angerückt. Sofort habe man sich an die forensische Aufklärung gemacht – also untersucht, wo der Angriff her kam, wann er anfing und was alles verseucht wurde. Im zweiten Schritt hätten die Experten die Gegenmaßnahmen eingeleitet.

Überrascht hat den Unternehmer zunächst die Tatsache, dass aufgrund der Datenschutzgrundverordnung eine Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar notwendig ist, dass das BSI trotzdem nicht die erste Anlaufstelle ist. „Für die Kriminalitätsbekämpfung und Cyberangriffe auf den Mittelstand ist die deutsche Polizei zuständig“, weiß Pilz inzwischen. Erste Anlaufstelle sei die nächstgelegene Polizeidienststelle, die dann die Verbindung mit den Fachleuten herstellt. Eine Alternative sei die direkte Kontaktaufnahme mit der Zentralen Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts.

Lokale Polizei ist erster Ansprechpartner

Aber können lokale Polizisten wirklich auf die oft international agierenden Cyberkriminellen reagieren? Pilz lobt jedenfalls die für Cyberkriminalität zuständigen Fachleute der Kriminalpolizeidirektion und des Landeskriminalamts Baden-Württemberg. „Das sind Top-Beamte – top ausgerüstet und top ausgebildet. Die haben gleich die Ermittlungen aufgenommen“, sagt er. Auf Anfrage der VDI nachrichten berichtet die Polizei in Reutlingen. „Die Zusammenarbeit war unkompliziert und vertrauensvoll. Wir haben jede für die Ermittlungen notwendige Unterstützung erhalten, was in solchen Fällen sehr wichtig ist.“ Vom Ausmaß vergleichbare Angriffe kommen dort jährlich in einstelliger Zahl vor. Es sei aber von einer gewissen Dunkelziffer auszugehen.

Lesen Sie auch:

KI-Tools: 22 Werkzeuge, die nicht nur Ingenieuren die Arbeit erleichtern

Durch die Zusammenarbeit mit der Kriminalpolizei sowie den Experten vom IT-Sicherheitsdienstleister @-yet wurde schnell deutlich, dass es sich bei den Angreifern um international agierende Straftäter handelte. Inzwischen weiß Thomas Pilz, dass Unternehmen häufig im Fokus solcher Cyberkriminellen sind. „Ziel sind Industrieunternehmen, aber auch Handwerk und Selbstständige“, berichtet er. Dabei werde darauf gesetzt, dass Mitarbeiter Mails mit Schadsoftware öffneten und jemand einen Datenzugang zur Fernwartung offen lasse.

Das Ziel, Geld vom Unternehmen zu erpressen, haben die Kriminellen in seinem Fall übrigens verfehlt. Pilz rechnet vor: „Ob ich zahle oder nicht, ich muss meine IT-Infrastruktur neu aufsetzen, um eventuelle Hintertüren ausschließen zu können.“ Wer zahle, um Daten entschlüsselt zu bekommen, habe keine Garantie, dass das auch geschieht. Das erhöhe also nur die Gesamtkosten. Pilz empfiehlt dagegen, lieber große Unternehmen wie TrendMicro dafür zu bezahlen, dass sie Netze permanent auf Gefahren scannen und die Kunden frühzeitig informieren. „So etwas aufzubauen kostet Geld und sollte zudem von lokalen Spezialisten begleitet werden, die darin eine Expertise haben“, stellt er fest.

Vorfall bestätigt Unternehmensstrategie

Gleichzeitig fühlt sich Pilz durch den Vorfall in seiner Unternehmensstrategie bestätigt. Seit kurzem verbinden die Ostfilderner ihr Kerngeschäft mit Komponenten für die funktionale Maschinensicherheit (safety) auch mit Elementen der Industriellen Sicherheit (security). „Davor hatten wir uns gefragt, ob der Aufwand wirklich notwendig ist“, gesteht er. „Jetzt können wir sagen: Ja, das ist notwendig.“

In der eigenen Fertigung hat die Fernwartung laut Pilz nun bereits eine neue Dimension erhalten. Auch auf der SPS-Messe konnten sich Besucher bereits über die neuen Schutzmechanismen für die Industrieautomation informieren. Beispiel ist die neue RFID-basierte Authentifizierungslösung namens PITreader, mit der insbesondere die Fernwartung sicherer gestaltet werden soll. Der Firmenchef spricht von einer Zweifaktor-Authentifizierung: „Das heißt, der Einkauf bestellt die Fernwartung. Der Servicetechniker kommt aber nicht direkt an die Maschine.“ Der Techniker müsse dafür in der Fabrik anrufen und die Wartung für ein bestimmtes Zeitfenster zum Support freischalten lassen. Nur über den Transponderschlüssel werde dann an der Maschine für den benötigten Zeitraum eine Erlaubnis erteilt. „Danach wird der Zugang für die Fernwartung automatisch wieder beendet und so verhindert, dass der Zugang unbeabsichtigt zu lange offen bleibt“, erklärt er.

Dass der Service vom Einkauf beauftragt wird, ist für ihn dabei neben der Technik ein wichtiges Kriterium, um auch gegen Social-Engineering gewappnet zu sein. „Hacker hören sich dazu bei Mitarbeitern um, welche Maschinen im Einsatz sind. Dann rufen sie in der Fertigung an, sagen, dass sie vom Hersteller sind und erbitten Zugriff.“

Zur technischen Spezifikation der neuen Lösung sagt er: „Ich kann die Hardware modular aufbauen und habe so Kostensynergien in der Hardware.“ Wird der PITreader mit einer Auswerteeinheit SEU – Safe Evaluation Unit – kombiniert, spricht Pilz vom Zugangsberechtigungs- und Betriebsartenwahlsystem PITmode fusion. Dieses bietet sowohl eine Schlüsselverwaltung für Zugangsrechte als auch die Verwaltung der Betriebsartenwahl für berechtigte Personen.

Um die Authentifizierungslösung PITreader mit dem System für die Maschinensicherheit zu koppeln, gebe es zwei Möglichkeiten: „Entweder kaufe ich mir die SEU und kann das System an die Sicherheitslösungen verschiedener Marktbegleiter anbinden, oder ich kaufe direkt eine konfigurierbare Kleinsteuerung PNOZmulti 2 oder ein Automatisierungssystem PSS, dann spare ich mir die zusätzliche Hardware.“ Damit entstehe eine ideale Symbiose zwischen Safety und Security. „Denn der Angriff fängt immer am Zugang an, also am Rechner – unabhängig davon, ob es ein Maschinennetz oder ein Büronetz ist.“

Wettlauf mit den Kriminellen

Das Fazit des Unternehmers lautet: „Man kann nicht sagen, ich habe jetzt ein Antivirenprogramm geladen und es ist alles gut. Sobald eine neue Software rauskommt, schauen Kriminelle, wie die Sicherheitsfunktionen umgangen werden können.“ Pilz empfiehlt die Einhaltung der vom BSI erstellten Regeln zum IT-Grundschutz. „Wenn ich nicht weiterhin wachsam bin, kann ich mich darauf einstellen, dass irgendwann jemand einbricht“, sagt er. Gleichzeitig wünscht er sich ein Umdenken bei den Kriminellen: „Wenn die bereit wären, von ihrem kriminellen Handeln abzulassen, würde sie jede Firma gerne einstellen, weil das Top-Computerspezialisten sind.“