Spezialtextilhersteller Sattler, Messtechniker Anton Paar, Medizintechnikexperte Fresenius Kabi – und zuletzt Logistiker SSI Schäfer: Die Liste an steirischen Industriebetrieben, die ins Visier von Hackern geraten sind, ist bereits lang – und dürfte nach Expertenmeinung weiter anwachsen. Laut aktueller Studie der Berater von KPMG ortet man einen Anstieg um über 200 Prozent – im Vergleich zum Vorjahr. Im Automatisierungscluster AT Styria, der unter seinem Dach rund 130 Mitglieder bündelt, ist man sich des schwellenden Risikos mehr als bewusst: „Diese Angriffe zielen darauf ab, kritische Infrastrukturen zu stören, geistige Eigentumsrechte zu stehlen oder Betriebsabläufe zu sabotieren, was zu erheblichen finanziellen und reputativen Schäden führt. Die zunehmende Digitalisierung und Vernetzung in der Fertigungsindustrie, verbunden mit dem Trend zu Fernwartung und Cloud-Technologien, öffnet neue Angriffsvektoren, die wir ernst nehmen müssen“, betont AT Styria-Vorsitzender Herbert Ritter.

Der unlängst stattgefundene Experten-Talk der Clusterorganisation – mit über 70 Anmeldungen von Entscheidungsträgern steirischer Industriebetriebe – ist dabei auf reges Interesse gestoßen, erklärt AT Styria-Geschäftsführer Helmut Röck: „Unsere Mitglieder sind zunehmend hoch entwickelten und gezielten Cyberangriffen ausgesetzt. Es ist daher unerlässlich, dass wir als Cluster eine führende Rolle in der Stärkung der Cyberresilienz übernehmen, um die steirische Automatisierungstechnik-Branche und ihre wertvollen Innovationen zu schützen.“

Sicherheitslücken

Das soll auch mit Hilfe aus Premstätten bei Graz geschehen: Dort betreibt das internationale Unternehmen BearingPoint (6000 Mitarbeiter in Europa) eine konzerneigene Technologiezentrale sowie ein eigenes Pentesting-Team. Die steirische Cyber-Eliteeinheit ist darauf trainiert, in industrielle Infrastruktur einzudringen, um so Schwachpunkte offenzulegen. Neben dem Faktor Mensch, von dem laut BearingPoint Geschäftsführer Markus Seme nach wie vor das „größte Gefahrenpotenzial“ ausgehe, würde aktuell insbesondere der Fernzugriff auf Anlagen und Maschinen zur sicherheitskritischen Lücke der Unternehmen avancieren: „Remote-Mechanismen haben sich insbesondere im Verlauf der Pandemie stark etabliert. Sie bieten den Vorteil, dass auf Maschinen und Anlagen transparent, zentral und in Echtzeit von überall aus zugegriffen werden kann – etwa zur Fernwartung. Durch die Digitalisierung sind zudem lange Zeit isolierte Maschinen mit Fernwartungszugriffen ausgestattet worden.“

Unüberblickbare Zugriffe

Problematisch seien nicht nur die dafür häufig genutzten VPN-Verbindungen, die oft nur vermeintlich sicherere Kommunikationstunnel zwischen Anlage und Endbenutzer darstellen, sondern vor allem das in Folge entstehende unüberblickbare Netz aus unterschiedlichsten Fernwartungszugriffen: „Nicht selten greifen auf eine Anlage unterschiedlichste Akteure von außerhalb des Produktionsnetzes zu. Das können sowohl Mitarbeiter des eigenen Unternehmens sein, als auch Partner und Lieferanten – sowie wiederum deren Zulieferer“, sagt Seme. Wer wann auf welche Komponente Zugriff hat bzw. welche Veränderung vornimmt, bleibt meist ungeklärt. Das Problem: „Wird das IT-System eines Partners, Lieferanten oder eines Fernwartungstechnikers von einer Malware oder einem Hacker infiltriert, besteht die akute Gefahr, dass solche unkontrollierten Fernwartungszugänge zu einer Hintertür für Angreifer werden, die unentdeckt Zugriff auf Produktionsanlagen erhalten“, erklärt der Geschäftsführer.

Das bedeutet: Hacker nutzen die Remote-Fernwartungsleitungen als Hintertür, um unerkannt die Infrastruktur zu infiltrieren, die Produktionsanlagen zu stoppen – und Lösegelder zu fordern. Künstliche Intelligenz hat dies sogar noch vereinfacht, sagt Seme: „Ein erfolgreicher Angriff dauerte im Jahr 2021 durchschnittlich 44 Tage. Heute sehen wir Angriffe, die nur mehr ein paar Stunden benötigen. Grund dafür sind zahlreiche neue Technologien und Frameworks, auf die Angreifer zugreifen können.“

Steirisch-israelische Kooperation

Abhilfe für das Problem soll eine steirisch-israelische Kooperation schaffen: BearingPoint implementiert – als erster Betrieb in der DACH-Region – eine speziell entwickelte Zugriffssoftware des in Tel Aviv beheimateten Hightech-Unternehmens Cyolo. Stark vereinfacht liegt die technologische Raffinesse des Programms – neben strengen Identitätsprüfungen und Mikrosegmentierung – im „Zero-Trust“-Ansatz: In diesem Sicherheitsmodell wird davon ausgegangen, dass niemand innerhalb oder außerhalb des Netzwerks automatisch vertrauenswürdig ist. Stattdessen muss jedes Gerät, jeder Benutzer und jede Anwendung, die auf Ressourcen im Netzwerk zugreifen möchte, seine Vertrauenswürdigkeit unter Beweis stellen. „Im Zeitalter von Cloud- und Remote-Umgebungen für Mitarbeiter und externe Nutzer bleibt der Zero-Trust-Zugriff ein entscheidendes Element der Cybersecurity-Strategien für Geschäftskontinuität und Agilität“, betont Almog Apirion, CEO und Mitgründer von Cyolo. BearingPoint wird nun innerhalb des AT Styria-Netzwerks erste Pilotprojekte auf Basis der Software in der Steiermark umsetzen: „Die steirischen Industrieunternehmen sind sich bewusst, dass die Bedrohung durch Cyberkriminalität kontinuierlich wächst und immer ausgefeiltere Methoden eingesetzt werden. Die Technologie ist dahingehend ein echter Lichtblick.“