Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ vom 21.11.2022
Als weltweit führender Fahrradhersteller mit Direktvertrieb setzen wir den Maßstab innerhalb unserer Branche durch fortlaufende Innovationen und Partnerschaften immer wieder neu. Wir stellen hohe Ansprüche an die Sicherheit und Qualität unserer innovativen Fahrradprodukte. Diese Anforderungen setzen wir auch in der sicheren Verarbeitung von Informationen durch den Einsatz moderner Technologien, aktueller Standards und einer gelebten Sicherheitskultur konsequent um.
Moderne Factory benötigt moderne Security
Canyon fertigt seine Fahrräder am eigenen Produktionsstandort in Koblenz, der so genannten Canyon Factory. Hier werden mehrere hundert Fahrräder täglich versandfertig gemacht. Die Produktionsanlage besteht aus mehreren Internet-of-Things (IoT)- und Operational-Technology (OT)-Geräten, ist an das Netzwerk angebunden und kommuniziert mit verschiedenen IT-Systemen. Der Ausfall oder eine Störung nur an einem IoT-Gerät kann zum Stillstand der Linie führen und somit zu einem Produktionstop. Jede Minute, in der kein Fahrrad produziert wird, kostet Geld.
Hacker greifen auch IoT an
In den vergangenen Jahren ist es immer wieder zu größeren Hacker-Angriffen auf IoT-Systeme gekommen. Der größte dieser Art war im Jahr 2010 der Stuxnet Virus, der eine massive Störung im iranischen Atomprogramm verursachte. Neben dem Lahmlegen von IoTSystemen nutzen Hacker solche Systeme auch zu ihren Zwecken aus: Ein beliebtes Szenario ist das „Umfunktionieren“ eines IoT-Gerätes zu einem Bot und das Zusammenschalten mehrerer Bots zu einem Botnet. Hierfür muss ein Hacker Malware auf den Geräten installieren, bspw. durch Ausnutzung von Schwachstellen oder Standardpasswörtern. Das Botnet wiederum verwendet der Hacker für weitere Angriffe wie bspw. Distributed Denial-of-Service(DDoS)-Attacken, womit Webseiten und Systeme durch ein massives Volumen an Netzwerkanfragen überlastet werden können. Eines der bekanntesten IoT-Botnets, das eine DDoS Attacke durchgeführt hat, war Mirai und wurde erstmalig 2016 entdeckt.
Herausforderung: IoT Security in der Produktion
Produktionsanlagen bestehen häufig aus einem heterogenen Konstrukt verschiedener IoT- und OT-Geräte mit jeweils eigenen Standards und Betriebssystemen von unterschiedlichen Herstellern. Im Gegensatz zu Office IT-Endgeräten wie z. B. Notebooks haben nicht alle diese Geräte die Möglichkeit, Security Software zu installieren. Hierdurch wird es sehr aufwendig, ein vollständiges Inventar der Geräte inklusive ihrer aktuellen Patchstände zu erhalten. Trotz teilweise gleichen Angriffsvektoren wie bei Office IT-Geräten ist es ungleich schwerer, IoT-Geräte vor Angriffen zu schützen, weil von den Herstellern nicht die gleichen Security-Funktionen zur Verfügung gestellt werden.
Agentless Security als Lösung
Um mit der Erkennung und Inventarisierung von IoT-Geräten die erste Herausforderung zu bewältigen, setzen wir bei Canyon auf eine Agentless Security Lösung mit IoTFokus. Bei einer Agentless Lösung wird keine Security Software (Agent) auf dem zu überwachenden Endgerät installiert, sondern ein eigenständiges Gerät (Sensor) mit dem Netzwerk der zu überwachenden Geräte verbunden. Dieser Sensor schneidet den Netzwerkverkehr der Geräte mit, analysiert die Inhalte und wertet sie aus. Hieraus lassen sich unter anderem Informationen über die Geräte selbst erfassen wie z. B. Betriebssystem sowie Software-Versionen, welche Netzwerkprotokolle sie kommunizieren oder auch physische Probleme. Mithilfe dieser Informationen können weitere Sicherheitsmaßnahmen eingeleitet werden. Beispielsweise können unsichere Netzwerkprotokolle und deren Ports abgeschaltet werden, sofern diese nicht benötigt werden. Auch offene Schwachstellen können mithilfe der Versionsstände ermittelt und behoben werden. Auf Basis der Netzwerkkommunikation kann festgestellt werden, ob eine empfohlene Netzwerksegmentierung, also eine Trennung der IoT-Geräte von anderen Systemen, zufriedenstellend funktioniert und ob nur die Kommunikation stattfindet, die vorgesehen ist.
Überraschende Entdeckung
Bereits mit dem ersten von fünf Sensoren wurde eine Vielzahl von Geräten und deren Kommunikationswege erkannt und in die Überwachung aufgenommen. Mit den erfassten Informationen konnten wir unmittelbar erste Schlüsse über die eingesetzten IoT- und OT-Geräte ziehen. Die Anbindung an unser bestehendes Security Information and Event Management (SIEM) System war für uns selbstverständlich, um die Sicherheitsalarme dieser Sensoren in unserer zentralen Übersicht zu haben. Somit können wir bereits jetzt über 200 mögliche Alarmtypen detektieren, u. a. mögliche Stuxnet- und Wanna- Cry-Infektionen. Glücklicherweise konnten wir bisher keine Sicherheitsschwachstelle feststellen, aber potenzielle Optimierungen im Netzwerk. Überraschenderweise wurde auch entdeckt, dass eine Stromverteilereinheit (PDU) der Gebäudeautomatisierung defekt ist. Das ist zwar nur indirekt Security relevant, muss aber trotzdem behoben werden. Daher war es gut, dass der Sensor auch dies detektiert hat.
IoT im Büro
Mit den ersten fünf Sensoren kann Canyon seine gesamte Factory absichern. IoT-Geräte befinden sich jedoch nicht nur im Produktionsumfeld, sondern auch im Büro, wie beispielsweise Drucker, Smart TVs aber auch Klimasteuerungen und Überwachungskameras. Deshalb werden wir evaluieren, in welchen Lokationen und Gebäuden weltweit der Bedarf besteht, weitere Sensoren auszurollen, um dort die IoT-Geräte ebenfalls zu überwachen und zu schützen.
Fazit
Canyon ist nur ein Beispiel dafür, dass kleine und mittelständische Unternehmen auf IoT-Security setzen können und sollten. Angriffe wie Stuxnet und Mirai haben in der Vergangenheit gezeigt, welcher Schaden möglich ist. Immer mehr KMUs werden heutzutage durch Hacker gefährdet und dies betrifft im Zweifel auch deren Produktion. Deshalb sollten Unternehmen neben der IT-Security dringend auch einen Blick auf die IoT-Security werfen. ■
Hermann Maurer, Information Security Officer, Canyon Bicycles GmbH
Marc Laurin Schier, Projektverantwortlicher IoT Security, Canyon Bicycles GmbH
