Der bereits fünfte Security Day fand dieses Mal in der Handelskammer Bremen statt und wurde von Andreas Köhler eröffnet. Er sieht immer größere Herausforderungen in Vernetzung und Absicherung der Unternehmen. Positiv wurde die Organisation des Security Days durch den IFIT e.V. hervorgehoben. Dieses Kompliment gab der IFIT-Vorstandsvorsitzende Stefan Menge an die Handelskammer zurück und lobte die Möglichkeit einer Ausstellung neben den Vorträgen, die Netzwerken zwischen den Teilnehmern ermöglicht. Die DECOIT^® GmbH war ebenfalls als IFIT-Mitglied und Sicherheitskompetenzträger mit einem Stand vertreten und nahm aktiv an der Podiumsdiskussion teil.

Ziel des diesjährigen Security Day war es die Risiken für Produktionsanlagen einmal in den Vordergrund zu stellen. Auch das Thema Digitalisierung sollte kontrovers diskutiert werden, indem die Frage gestellt wurde, wie weit dieser Weg gegangen werden kann. Um zu verdeutlichen, wie die aktuelle Sicherheitslage ist, wurde ein Live-Hacking präsentiert. Vorher wurde aber von der Polizei Bremen auf die aktuelle Cybersicherheitslage hingewiesen. So ist das K15 die zentrale Anlaufstelle für Cybercrime in der Wirtschaft, was nur die Wenigsten wissen. Als Altersstruktur der Haupttäter wurden dabei 21-39 Jahre alte Personengruppen mit entsprechender Erfahrung ausgemacht. Ransomware beschäftigt die Kripo momentan am meisten, da 90 % der Firmen ihre IT-Sicherheit nach einem Vorfall nicht angepasst haben. Der Wirtschaftsstandort Deutschland liegt zudem ganz weit vorne bei den Bedrohungsvorfällen. Bei den Straftaten wird auch eine zunehmende Professionalisierung der Täter beobachtet. Hinzu kommen Anonymisierungsdienste, die viel genutzt werden und der Polizei das Leben schwer machen. Datenklau findet laut Polizeistatistik inzwischen in fast jedem Unternehmen statt. Das beinhaltet einen Schaden von 55 Mrd. Euro pro Jahr.

Dabei geraten kleine und mittelständische Unternehmen (KMU) immer mehr in den Fokus der Hacker. Da hier oftmals Innovationen (Patente, Neuentwicklungen etc.) sitzen, die nicht so gut wie in großen Industrieunternehmen abgesichert werden, ist das nicht ungewöhnlich. Vorrangig CEO-Betrug durch Social Engineering kommt vor, aber auch Erpressungstrojaner über eingehende Bewerbungen sind an der Tagesordnung. Von diesen Angriffen sind selbst Google und Facebook betroffen. Über Social-Media-Plattformen kann dabei von den Hackern sehr viel über die Unternehmen selbst herausgefunden werden. Auch die Automotive-IT wird immer kritischer, da aktuelle Wagen direkt mit dem Hersteller über eingebaute SIM-Karten vernetzt sind. Dadurch kann ein Automobil die Werkstatt selbst informieren und sogar einen Termin anfragen lassen, wenn eine Komponente gewartet oder repariert werden soll. Durch diese Vernetzung kann aber auch ein Hacker von außen versuchen Einfluss auf den Wagen zu nehmen. Hinzu kommt, dass sich durch die komplette Vernetzung Folgefehler rasant im Netz ausbreiten. Dies kann auch bei unseren Stromnetzen eines Tages auf uns zukommen. Ein Blackout des Stromnetzes in Europa ist nicht unwahrscheinlich und führt nach 24 Stunden zum ersten Tiersterben in den Mastbetrieben. Nach 48 Stunden entstehen bereits hygienische Probleme durch Seuchengefahr. Einen Ausfall des Stromnetzes kann sich unsere Zivilisation im Grunde genommen nicht mehr leisten.

Im Anschluss an den Stand der Sicherheitslage gab es eine praktische Hacking-Vorführung durch die Firmen HEC und Datenschutz Nord. In der Beispielanlage war ein Produktionsnetz und ein Büronetz aufgebaut. Der Leitrechner steuert dabei das Produktionsnetz. Beide Netze waren mittels Firewall voneinander getrennt. Dieser Aufbau ist durchaus Stand der Technik und nicht ungewöhnlich. Nun versucht ein Hacker in das Produktionsnetz zu kommen. Dazu besorgt sich der Angreifer erst einmal viele Informationen über sein Opfer (z. B. über soziale Medien). Außerdem wird der einfachste Weg zum Ziel gesucht. Meistens wird der Mensch hierbei als geringster Widerstand ausgemacht. Dementsprechend wird eine E-Mail mit fehlerhafter Abrechnung zugeschickt. Der PDF-Anhang mit der mutmaßlichen Abrechnung enthielt aber bereits einen Trojaner, der den jeweiligen Rechner infiziert. Der Trojaner meldet sich nun voll automatisch bei dem Angreifer, weil er ohne Probleme eine Verbindung von innen nach außen aufbauen darf. Der Bildschirm des infizierten Rechners kann nun gespiegelt und auf dem Hacker-Rechner dargestellt werden. Um mehr Informationen zu erhalten, leitet der Angreifer den gesamten Verkehr von innen an sich selbst weiter. Dadurch kann er die interne Netzstruktur erkennen und das Default-Gateway (Firewall im LAN) ausmachen. Er startet zusätzlich einen Port-Scan und erkennt über das SMB-Protokoll von Microsoft, dass es einen File-Server im Netz gibt. Diesen versucht er mit gezielten Brute-Force-Attacken zu attackieren, was aber erst einmal nicht gelingt. Der installierte Key-Logger auf dem infizierten Rechner ist hingegen erfolgreicher, da über die mitgeschriebene Tastatureingabe das Passwort des Benutzers herausgefunden wird. Da dieser Rechner mit dem Produktionsnetz sprechen darf, kann von dort nun auch in dieses Netz gescannt werden. Abschließend kann der Leitstellenrechner per VNC ebenfalls ferngesteuert werden.

Diese Bordmittel, deren Bedienungsanleitungen in hoher Zahl im Internet zu finden sind, reichen bei vielen Unternehmensnetzen bereits aus. Aber auch intelligente Suchen über Google zeigen, wie einfach bestimmte Indizes von Servern ausgelesen werden können, die normalerweise diskrete Informationen enthalten (Beispiel: vertrauliche Dokumente und Siemens-Steueranlagen). Die Suchmaschine Shodan geht noch einen Schritt weiter als Google: hier werden u.a. Screenshots von offenen Systemen (z. B. Windows CE) erstellt, auf die weltweit zugegriffen werden kann. Nach einer beispielhaften Suchabfrage ließen sich bereits einige Steueranlagen der Firma Siemens direkt ansprechen.

Im Anschlussvortrag von der Firma SEGNO wurde über Lösungen bei der Absicherung von vernetzten Produktionsanlagen referiert. Industrienetze waren früher in sich geschlossen, weshalb man dadurch nicht leicht in solche Systeme kam. Zusätzlich hatten die Systeme eine hohe Lebensdauer. Die Verfügbarkeit stand an erster Stelle und ein hohes Spezialwissen war notwendig. In einer ICS-Umgebung heute ist hingegen eine starke Vernetzung vorhanden, die auch eine Anbindung an das Internet beinhaltet. Durch die Nutzung allgemeiner Internet-Protokolle ist man angreifbarer. Zudem können Sicherheitslösungen im Büroumfeld nicht direkt in die Produktionsumgebungen übertragen werden und steigende gesetzliche Anforderungen sind zu beachten. Wenn man Beispiele aus der Praxis betrachtet, gibt es bei KMU insbesondere bei der Organisation einigen Nachholbedarf. So fehlt es an Risikoanalysen, Wartung, Sensibilisierung und Dokumentation. Auch werden Sicherheitsmaßnahmen selten überprüft. Es wird hingegen mehr in die Anlagensicherheit im Allgemeinen investiert. Einwahlverfahren sind allerdings oftmals willkürlich vorhanden und es gibt keine ausreichenden Maßnahmen, um Daten sicher zu verteilen. Veraltete Betriebssysteme, fehlendes Patch-Management und fehlende Möglichkeiten, um einen Angriff überhaupt zu erkennen, kommen noch hinzu. Die IT-Sicherheit von Produktionsanlagen hinkt daher der IT-Sicherheit von Büroumgebungen um einige Jahre hinterher.

Abschließend wurde ein Anwenderbeispiel der Firma Vitakraft gegeben. Diese ließ einen Penetrationstest von innen und außen durchführen, um die vorgenommenen Sicherheitseinstellungen zu überprüfen. Aus den Ergebnissen wurden konkrete Handlungsempfehlungen abgeleitet, die nach der Untersuchung wieder in die Verbesserungen münden sollen. Welche Lücken im Detail vorhanden sind oder welche Handlungsempfehlungen definiert wurden, ist dabei leider nicht bekannt gegeben worden. Daher war der letzte Vortrag insgesamt etwas enttäuschend.

Während der Ausstellung gab es am Stand der DECOIT® GmbH viele und interessante Gespräche. Auch die Podiumsdiskussion wurde rege mit den jeweiligen Referenten geführt, so dass alle Teilnehmer die Veranstaltung zufrieden mit vielen neuen Informationen verließen.