Verein Industrie 40 Oumlsterreich
Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
SChutz vor CyberattaCken ndash Mehr WertSChoumlPfung Mit SeCurity
3
InhaltsverzeIchnIs
InhaltsverzeIchnIs
vorWort 5
1 einLeitung 6
2 infektion Mit SChadSoftWare uumlber internet und intranet iM ProduktionSbereiCh 8 21 Industrie 40 ndash IT und OT 9 22 Schutz- und Gegenmaszlignahmen 10 23BeispieleinerSchadsoftware 11
3 Mitarbeiterinnen aLS riSikofaktor 12 31Angriffsbeispiele 14 32 Schutz- und Gegenmaszlignahmen 16
4 doS- und ddoS-angriffe 18 41MotivationfuumlrDDoS-Angriffe 19 42 Moumlgliche Schaumlden 19 43 Schutz- und Gegenmaszlignahmen 20 44BeispielevonDDoS-Angriffen 20
5 gefaumlhrdung durCh fernWartung 22 51 Schutz- und Gegenmaszlignahmen 23
6 CLoud SeCurity ndash koMProMittierung von extranet und CLoud-koMPonenten 26 61AbhaumlngigkeitderProduktionvoneinemExtranet-undCloud-Dienst 27 62UnzureichendeMandantentrennunginCloud-Plattformen 29
7 verLetzung deS datenSChutzeS durCh it-SiCherheitSLuumlCken 30 71MeldepflichtbeiDatenschutzverletzungen 31 72Schutz-undGegenmaszlignahmen 31
8 Cyber-SeCurity hotLine 0800 888 133 32 81 Security Hotline 33 82 Ansprechpersonen in den Bundeslaumlndern 34 83KooperationmitstaatlichenStellenundOrganisationenVereinen 34 84Statistik 34
9 anhang 36 91Schadsoftware 37 92Abkuumlrzungen 38 93 Glossar 38
10 Literatur 40
11 Weiterfuumlhrende LinkS 42
12 organiSationen amp anSPreChPartnerinnen 44
13 dank 48
iMPreSSuM 50
4 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
5
vorwort
Geschaumltzte Leserinnen und LeserLiebeMitgliederderPlattformIndustrie40
DieumfassendeDigitalisierungvonmittlerweilefastallenBereicheninunsererGesellschafthatineinematemberaubendenTempodieSpielregelnderWirtschaftaberauchinvielenFacettenMechanismenunseresZusammenlebensveraumlndertDigita-leKommunikationssystemebestimmenunserenAlltagundderDigitalisierungs-undTransformationsprozessbekommtdurchdiegeradebegonneneVernetzungunserervielenphysischenObjektezueinemInternetderDinge(IoTndashInternetofThings)eineneueDynamik
DieseDynamikerfasstnunauchunsereProduktionsbetriebebzwalleUnternehmerInnenDerEinsatzvonComputernundSoftwareinallunserenMaschinendieglobaleVernetzungunsererSystemeunddieWichtigkeitvonDatenfuumlrunsereGe-schaumlftsmodelleundGeschaumlftsprozessewerdenzubestimmendenElementeneinerwettbewerbsfaumlhigenGeschaumlftsstrategieDieserdurchdieDigitalisierunggetriebeneWandelzursogenanntenIndustrie40stelltjedeneinzelnenvonunsvorneueHerausforderungen
DieDigitalisierungunsererMaschinenbringtnebenProduktivitaumltssteigerungQualitaumltsverbesserungVereinfachungenvonAblaumlufenundBequemlichkeitfuumlrdenKundenaucheinegroszligeProblematikmitsichsteigendeSicherheitsrisikenfuumlrunsereSystemeaberauchfuumlrdiegeneriertenDatenKundendatenPatenteVerfahrensregelnwerdenfuumlrdenKonkurrenteninter-essanteAngriffszieleverletzlicheSystemeundkritischeInfrastrukturenwerdenpotentielleZielevonTerroristenoderganzeUnternehmenwerdenzurZielscheibederorganisiertenKriminalitaumltDurchdieDigitalisierungunddurchdieglobaleVernet-zungsteigeneinerseitsdieChancenwirtschaftlicherfolgreichzuseinandererseitswerdendieBedrohungsszenarienimmergroumlszligerundkoumlnnenfuumlrjedeseinzelneUnternehmenauchzurpotentiellenUumlberlebensfragewerden
NebenderFeststellungderneuenBedrohungslagedurchdieDigitalisierungsolltenwirallerdingsauchdieneuenMoumlglich-keitenerkennenumdurchKompetenzundgeschickteingesetzteTechnikeinenWettbewerbsvorteilunsererUnternehmenzuerzielenSchutzvonprivatenDatensichereundhoumlchstzuverlaumlssigeProdukteundsichereProduktionenwerdenschlus-sendlichimglobalenWettbewerbeinenwesentlichenBeitragfuumlrentsprechendeUSPsausmachenundsolltendahervonjedemoumlsterreichischenUnternehmenalsfixerBestandteilinderProdukt-undStandortstrategieverankertseinFuumlhrendeCyber-Security-TechnologienbdquoMadeinAustrialdquosindvielfachdurchinnovativeoumlsterreichischeUnternehmenvorhandenundbildendieGrundlageumoumlsterreichischeInnovationenauchimdigitalenZeitalterglobalerfolgreichzuvermarkten
DieseBroschuumlresollIhneneinenUumlberblickuumlberaktuelleBedrohungsszenariengebenundeineersteAnleitungvermittelnwiemanamEndeeinfachzueinemsicherendigitalenSystemgelangenkannumamglobalenMarktderZukunftauchnachhaltigbestehenzukoumlnnenMitdieserZielsetzungwerdendemLeserinleichtverstaumlndlicherWeiseweitverbreiteteAngriffsmethodenwieDDoS-AttackenRansomwareundMethodenzumEinschleusenvonSchadsoftwareBedrohungenbeiWartungszugriffenuumlberdasInternetaberauchdiemoumlglicheGefahrdurchdieeigenenMitarbeiterInnenimUnternehmenerklaumlrtEineUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterreichischenBetriebeimJahr2018undeineersteChecklistefuumlrCyber-SicherheitrundendieInformationenabundsolleneineersteHilfestellungfuumlrjedesUnternehmendarstellen
ZusammenfassendisteswichtigfestzuhaltendasssichkeinUnternehmenalszukleinundausglobalerSichtzuunbe-deutendeinschaumltzendarfumfuumlrdieCyber-Crime-IndustrienichtdochinteressantzuseinCyber-KriminalitaumltsowieWirtschafts-undIndustriespionagemithochentwickeltenAngriffskenntnissenkannnurmiteffektivenSchutzmaszlignahmenentgegengewirktwerden
DIDrWilfriedEnzenhoferMBA
1EINLEITUNG
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
3
InhaltsverzeIchnIs
InhaltsverzeIchnIs
vorWort 5
1 einLeitung 6
2 infektion Mit SChadSoftWare uumlber internet und intranet iM ProduktionSbereiCh 8 21 Industrie 40 ndash IT und OT 9 22 Schutz- und Gegenmaszlignahmen 10 23BeispieleinerSchadsoftware 11
3 Mitarbeiterinnen aLS riSikofaktor 12 31Angriffsbeispiele 14 32 Schutz- und Gegenmaszlignahmen 16
4 doS- und ddoS-angriffe 18 41MotivationfuumlrDDoS-Angriffe 19 42 Moumlgliche Schaumlden 19 43 Schutz- und Gegenmaszlignahmen 20 44BeispielevonDDoS-Angriffen 20
5 gefaumlhrdung durCh fernWartung 22 51 Schutz- und Gegenmaszlignahmen 23
6 CLoud SeCurity ndash koMProMittierung von extranet und CLoud-koMPonenten 26 61AbhaumlngigkeitderProduktionvoneinemExtranet-undCloud-Dienst 27 62UnzureichendeMandantentrennunginCloud-Plattformen 29
7 verLetzung deS datenSChutzeS durCh it-SiCherheitSLuumlCken 30 71MeldepflichtbeiDatenschutzverletzungen 31 72Schutz-undGegenmaszlignahmen 31
8 Cyber-SeCurity hotLine 0800 888 133 32 81 Security Hotline 33 82 Ansprechpersonen in den Bundeslaumlndern 34 83KooperationmitstaatlichenStellenundOrganisationenVereinen 34 84Statistik 34
9 anhang 36 91Schadsoftware 37 92Abkuumlrzungen 38 93 Glossar 38
10 Literatur 40
11 Weiterfuumlhrende LinkS 42
12 organiSationen amp anSPreChPartnerinnen 44
13 dank 48
iMPreSSuM 50
4 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
5
vorwort
Geschaumltzte Leserinnen und LeserLiebeMitgliederderPlattformIndustrie40
DieumfassendeDigitalisierungvonmittlerweilefastallenBereicheninunsererGesellschafthatineinematemberaubendenTempodieSpielregelnderWirtschaftaberauchinvielenFacettenMechanismenunseresZusammenlebensveraumlndertDigita-leKommunikationssystemebestimmenunserenAlltagundderDigitalisierungs-undTransformationsprozessbekommtdurchdiegeradebegonneneVernetzungunserervielenphysischenObjektezueinemInternetderDinge(IoTndashInternetofThings)eineneueDynamik
DieseDynamikerfasstnunauchunsereProduktionsbetriebebzwalleUnternehmerInnenDerEinsatzvonComputernundSoftwareinallunserenMaschinendieglobaleVernetzungunsererSystemeunddieWichtigkeitvonDatenfuumlrunsereGe-schaumlftsmodelleundGeschaumlftsprozessewerdenzubestimmendenElementeneinerwettbewerbsfaumlhigenGeschaumlftsstrategieDieserdurchdieDigitalisierunggetriebeneWandelzursogenanntenIndustrie40stelltjedeneinzelnenvonunsvorneueHerausforderungen
DieDigitalisierungunsererMaschinenbringtnebenProduktivitaumltssteigerungQualitaumltsverbesserungVereinfachungenvonAblaumlufenundBequemlichkeitfuumlrdenKundenaucheinegroszligeProblematikmitsichsteigendeSicherheitsrisikenfuumlrunsereSystemeaberauchfuumlrdiegeneriertenDatenKundendatenPatenteVerfahrensregelnwerdenfuumlrdenKonkurrenteninter-essanteAngriffszieleverletzlicheSystemeundkritischeInfrastrukturenwerdenpotentielleZielevonTerroristenoderganzeUnternehmenwerdenzurZielscheibederorganisiertenKriminalitaumltDurchdieDigitalisierungunddurchdieglobaleVernet-zungsteigeneinerseitsdieChancenwirtschaftlicherfolgreichzuseinandererseitswerdendieBedrohungsszenarienimmergroumlszligerundkoumlnnenfuumlrjedeseinzelneUnternehmenauchzurpotentiellenUumlberlebensfragewerden
NebenderFeststellungderneuenBedrohungslagedurchdieDigitalisierungsolltenwirallerdingsauchdieneuenMoumlglich-keitenerkennenumdurchKompetenzundgeschickteingesetzteTechnikeinenWettbewerbsvorteilunsererUnternehmenzuerzielenSchutzvonprivatenDatensichereundhoumlchstzuverlaumlssigeProdukteundsichereProduktionenwerdenschlus-sendlichimglobalenWettbewerbeinenwesentlichenBeitragfuumlrentsprechendeUSPsausmachenundsolltendahervonjedemoumlsterreichischenUnternehmenalsfixerBestandteilinderProdukt-undStandortstrategieverankertseinFuumlhrendeCyber-Security-TechnologienbdquoMadeinAustrialdquosindvielfachdurchinnovativeoumlsterreichischeUnternehmenvorhandenundbildendieGrundlageumoumlsterreichischeInnovationenauchimdigitalenZeitalterglobalerfolgreichzuvermarkten
DieseBroschuumlresollIhneneinenUumlberblickuumlberaktuelleBedrohungsszenariengebenundeineersteAnleitungvermittelnwiemanamEndeeinfachzueinemsicherendigitalenSystemgelangenkannumamglobalenMarktderZukunftauchnachhaltigbestehenzukoumlnnenMitdieserZielsetzungwerdendemLeserinleichtverstaumlndlicherWeiseweitverbreiteteAngriffsmethodenwieDDoS-AttackenRansomwareundMethodenzumEinschleusenvonSchadsoftwareBedrohungenbeiWartungszugriffenuumlberdasInternetaberauchdiemoumlglicheGefahrdurchdieeigenenMitarbeiterInnenimUnternehmenerklaumlrtEineUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterreichischenBetriebeimJahr2018undeineersteChecklistefuumlrCyber-SicherheitrundendieInformationenabundsolleneineersteHilfestellungfuumlrjedesUnternehmendarstellen
ZusammenfassendisteswichtigfestzuhaltendasssichkeinUnternehmenalszukleinundausglobalerSichtzuunbe-deutendeinschaumltzendarfumfuumlrdieCyber-Crime-IndustrienichtdochinteressantzuseinCyber-KriminalitaumltsowieWirtschafts-undIndustriespionagemithochentwickeltenAngriffskenntnissenkannnurmiteffektivenSchutzmaszlignahmenentgegengewirktwerden
DIDrWilfriedEnzenhoferMBA
1EINLEITUNG
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
4 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
5
vorwort
Geschaumltzte Leserinnen und LeserLiebeMitgliederderPlattformIndustrie40
DieumfassendeDigitalisierungvonmittlerweilefastallenBereicheninunsererGesellschafthatineinematemberaubendenTempodieSpielregelnderWirtschaftaberauchinvielenFacettenMechanismenunseresZusammenlebensveraumlndertDigita-leKommunikationssystemebestimmenunserenAlltagundderDigitalisierungs-undTransformationsprozessbekommtdurchdiegeradebegonneneVernetzungunserervielenphysischenObjektezueinemInternetderDinge(IoTndashInternetofThings)eineneueDynamik
DieseDynamikerfasstnunauchunsereProduktionsbetriebebzwalleUnternehmerInnenDerEinsatzvonComputernundSoftwareinallunserenMaschinendieglobaleVernetzungunsererSystemeunddieWichtigkeitvonDatenfuumlrunsereGe-schaumlftsmodelleundGeschaumlftsprozessewerdenzubestimmendenElementeneinerwettbewerbsfaumlhigenGeschaumlftsstrategieDieserdurchdieDigitalisierunggetriebeneWandelzursogenanntenIndustrie40stelltjedeneinzelnenvonunsvorneueHerausforderungen
DieDigitalisierungunsererMaschinenbringtnebenProduktivitaumltssteigerungQualitaumltsverbesserungVereinfachungenvonAblaumlufenundBequemlichkeitfuumlrdenKundenaucheinegroszligeProblematikmitsichsteigendeSicherheitsrisikenfuumlrunsereSystemeaberauchfuumlrdiegeneriertenDatenKundendatenPatenteVerfahrensregelnwerdenfuumlrdenKonkurrenteninter-essanteAngriffszieleverletzlicheSystemeundkritischeInfrastrukturenwerdenpotentielleZielevonTerroristenoderganzeUnternehmenwerdenzurZielscheibederorganisiertenKriminalitaumltDurchdieDigitalisierungunddurchdieglobaleVernet-zungsteigeneinerseitsdieChancenwirtschaftlicherfolgreichzuseinandererseitswerdendieBedrohungsszenarienimmergroumlszligerundkoumlnnenfuumlrjedeseinzelneUnternehmenauchzurpotentiellenUumlberlebensfragewerden
NebenderFeststellungderneuenBedrohungslagedurchdieDigitalisierungsolltenwirallerdingsauchdieneuenMoumlglich-keitenerkennenumdurchKompetenzundgeschickteingesetzteTechnikeinenWettbewerbsvorteilunsererUnternehmenzuerzielenSchutzvonprivatenDatensichereundhoumlchstzuverlaumlssigeProdukteundsichereProduktionenwerdenschlus-sendlichimglobalenWettbewerbeinenwesentlichenBeitragfuumlrentsprechendeUSPsausmachenundsolltendahervonjedemoumlsterreichischenUnternehmenalsfixerBestandteilinderProdukt-undStandortstrategieverankertseinFuumlhrendeCyber-Security-TechnologienbdquoMadeinAustrialdquosindvielfachdurchinnovativeoumlsterreichischeUnternehmenvorhandenundbildendieGrundlageumoumlsterreichischeInnovationenauchimdigitalenZeitalterglobalerfolgreichzuvermarkten
DieseBroschuumlresollIhneneinenUumlberblickuumlberaktuelleBedrohungsszenariengebenundeineersteAnleitungvermittelnwiemanamEndeeinfachzueinemsicherendigitalenSystemgelangenkannumamglobalenMarktderZukunftauchnachhaltigbestehenzukoumlnnenMitdieserZielsetzungwerdendemLeserinleichtverstaumlndlicherWeiseweitverbreiteteAngriffsmethodenwieDDoS-AttackenRansomwareundMethodenzumEinschleusenvonSchadsoftwareBedrohungenbeiWartungszugriffenuumlberdasInternetaberauchdiemoumlglicheGefahrdurchdieeigenenMitarbeiterInnenimUnternehmenerklaumlrtEineUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterreichischenBetriebeimJahr2018undeineersteChecklistefuumlrCyber-SicherheitrundendieInformationenabundsolleneineersteHilfestellungfuumlrjedesUnternehmendarstellen
ZusammenfassendisteswichtigfestzuhaltendasssichkeinUnternehmenalszukleinundausglobalerSichtzuunbe-deutendeinschaumltzendarfumfuumlrdieCyber-Crime-IndustrienichtdochinteressantzuseinCyber-KriminalitaumltsowieWirtschafts-undIndustriespionagemithochentwickeltenAngriffskenntnissenkannnurmiteffektivenSchutzmaszlignahmenentgegengewirktwerden
DIDrWilfriedEnzenhoferMBA
1EINLEITUNG
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
5
vorwort
Geschaumltzte Leserinnen und LeserLiebeMitgliederderPlattformIndustrie40
DieumfassendeDigitalisierungvonmittlerweilefastallenBereicheninunsererGesellschafthatineinematemberaubendenTempodieSpielregelnderWirtschaftaberauchinvielenFacettenMechanismenunseresZusammenlebensveraumlndertDigita-leKommunikationssystemebestimmenunserenAlltagundderDigitalisierungs-undTransformationsprozessbekommtdurchdiegeradebegonneneVernetzungunserervielenphysischenObjektezueinemInternetderDinge(IoTndashInternetofThings)eineneueDynamik
DieseDynamikerfasstnunauchunsereProduktionsbetriebebzwalleUnternehmerInnenDerEinsatzvonComputernundSoftwareinallunserenMaschinendieglobaleVernetzungunsererSystemeunddieWichtigkeitvonDatenfuumlrunsereGe-schaumlftsmodelleundGeschaumlftsprozessewerdenzubestimmendenElementeneinerwettbewerbsfaumlhigenGeschaumlftsstrategieDieserdurchdieDigitalisierunggetriebeneWandelzursogenanntenIndustrie40stelltjedeneinzelnenvonunsvorneueHerausforderungen
DieDigitalisierungunsererMaschinenbringtnebenProduktivitaumltssteigerungQualitaumltsverbesserungVereinfachungenvonAblaumlufenundBequemlichkeitfuumlrdenKundenaucheinegroszligeProblematikmitsichsteigendeSicherheitsrisikenfuumlrunsereSystemeaberauchfuumlrdiegeneriertenDatenKundendatenPatenteVerfahrensregelnwerdenfuumlrdenKonkurrenteninter-essanteAngriffszieleverletzlicheSystemeundkritischeInfrastrukturenwerdenpotentielleZielevonTerroristenoderganzeUnternehmenwerdenzurZielscheibederorganisiertenKriminalitaumltDurchdieDigitalisierungunddurchdieglobaleVernet-zungsteigeneinerseitsdieChancenwirtschaftlicherfolgreichzuseinandererseitswerdendieBedrohungsszenarienimmergroumlszligerundkoumlnnenfuumlrjedeseinzelneUnternehmenauchzurpotentiellenUumlberlebensfragewerden
NebenderFeststellungderneuenBedrohungslagedurchdieDigitalisierungsolltenwirallerdingsauchdieneuenMoumlglich-keitenerkennenumdurchKompetenzundgeschickteingesetzteTechnikeinenWettbewerbsvorteilunsererUnternehmenzuerzielenSchutzvonprivatenDatensichereundhoumlchstzuverlaumlssigeProdukteundsichereProduktionenwerdenschlus-sendlichimglobalenWettbewerbeinenwesentlichenBeitragfuumlrentsprechendeUSPsausmachenundsolltendahervonjedemoumlsterreichischenUnternehmenalsfixerBestandteilinderProdukt-undStandortstrategieverankertseinFuumlhrendeCyber-Security-TechnologienbdquoMadeinAustrialdquosindvielfachdurchinnovativeoumlsterreichischeUnternehmenvorhandenundbildendieGrundlageumoumlsterreichischeInnovationenauchimdigitalenZeitalterglobalerfolgreichzuvermarkten
DieseBroschuumlresollIhneneinenUumlberblickuumlberaktuelleBedrohungsszenariengebenundeineersteAnleitungvermittelnwiemanamEndeeinfachzueinemsicherendigitalenSystemgelangenkannumamglobalenMarktderZukunftauchnachhaltigbestehenzukoumlnnenMitdieserZielsetzungwerdendemLeserinleichtverstaumlndlicherWeiseweitverbreiteteAngriffsmethodenwieDDoS-AttackenRansomwareundMethodenzumEinschleusenvonSchadsoftwareBedrohungenbeiWartungszugriffenuumlberdasInternetaberauchdiemoumlglicheGefahrdurchdieeigenenMitarbeiterInnenimUnternehmenerklaumlrtEineUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterreichischenBetriebeimJahr2018undeineersteChecklistefuumlrCyber-SicherheitrundendieInformationenabundsolleneineersteHilfestellungfuumlrjedesUnternehmendarstellen
ZusammenfassendisteswichtigfestzuhaltendasssichkeinUnternehmenalszukleinundausglobalerSichtzuunbe-deutendeinschaumltzendarfumfuumlrdieCyber-Crime-IndustrienichtdochinteressantzuseinCyber-KriminalitaumltsowieWirtschafts-undIndustriespionagemithochentwickeltenAngriffskenntnissenkannnurmiteffektivenSchutzmaszlignahmenentgegengewirktwerden
DIDrWilfriedEnzenhoferMBA
1EINLEITUNG
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
1EINLEITUNG
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
7
EinlEitung 1
IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich
zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen
Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen
verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion
DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund
InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein
exPertinnengruPPe SeCurity und Safety
FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
9
2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch
21 IndustrIe40ndashItundOt
FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse
Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen
Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]
ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden
rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind
ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist
rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
10 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen
Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)
rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit
22 schutz-und GeGenmassnahmen
IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden
1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen
2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken
3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden
1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
11
InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2
4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen
23 beIsPIel eIner schadsoftware
Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind
DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden
BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann
ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-
Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt
DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar
2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
3MITARBEITERshyINNENALS RISIKOFAKTOR
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
13
mItarbeIterInnen als rIsIkofaktor 3
MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren
UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen
SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht
Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018
auszligentaumlter0thinsp
20thinsp
40thinsp
60thinsp
80thinsp
100thinsp
innentaumlter technischegebrechen
kein Problem
kleines Problem
mittleres Problem
groszliges Problem
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
14 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
31 anGrIffsbeIsPIele
ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen
Ceo-fraud
bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]
Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein
SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS
CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen
wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich
Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten
Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo
einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen
Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust
DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel
Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
15
3mItarbeIterInnen als rIsIkofaktor
den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums
Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann
Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]
angriffe durCh SoCiaL engineering
FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen
Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit
dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet
Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage
Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro
Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
16 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
32 schutz-und GeGenmassnahmen
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst
2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche
3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern
4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten
verWendung SiCherer PaSSWoumlrter
Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
17
3mItarbeIterInnen als rIsIkofaktor
notizen
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
4DOSshyUNDDDOSshyANGRIFFE
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
19
dOs-undddOs-AngrIffe 4
EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen
Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern
WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt
Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar
JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei
41 motIvatIon fuumlr ddOs-AngrIffe
DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit
42 moumlGlIche schaumlden
Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
20 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
43 schutz-und GeGenmassnahmen
DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein
rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden
rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)
rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen
44 beIsPIele von ddOs-AngrIffen
Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo
Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert
3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
21
4dOs-undddOs-AngrIffe
Abbildung41MIRAIIOTBOTNET
SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo
Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html
Journalistkrebs
google Project Shield
900 Gbits
Passwoumlrter 12345 password
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
GEFaumlHRDUNGDURCH FERNWARTUNG
5
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
23
GefaumlhrdunG durch fernwartunG 5
GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-
nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-
anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen
DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung
Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden
Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich
Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind
51 schutz-und GeGenmassnahmen
UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden
1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert
2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus
3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen
AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren
organiSatoriSChe MaSSnahMen
rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
24 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
teChniSChe MaSSnahMen
rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen
rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten
Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007
DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen
4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen
6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)
Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG
IT-Netz
Perimeter fW
Internet
OT-Netz
Jump hostzB Citrix
remoteManagement
konsole
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
25
GefaumlhrdunG durch fernwartunG 5
notizen
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
27
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und
Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss
DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen
61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst
GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben
Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt
InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu
einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten
IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig
DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen
BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion
ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken
Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion
UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig
rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
28 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann
rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt
Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN
Produktionsstraszlige
iot item
Ca
iot item iot item
Certificate
iot item iot item iot item
Pub key
Internetdienst 1Certificate authority
Internetdienst 2Portal des herstellers
Priv key
Schluumlsselpaarerzeugt
zertifikat auf geraumlt
zertifikatausgestellt
1 3
2
zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert
4
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
29
6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten
62 unzureIchende mandantentrennunG InclOud-plAttfOrmen
IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform
Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters
Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift
UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-
cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld
UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
31
7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen
71 meldePflIcht beI daten-schutzverletzunGen
DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen
WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe
WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde
NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen
WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]
72 schutz-und GeGenmassnahmen
Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit
riSikoManageMent
ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert
DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden
beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz
VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
CyBERshySECURITyHOTLINE 0800 888 133
8
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
33
cyber-securItyhOtlIne0800888133 8
UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen
hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung
81 securIty hotlIne
Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat
DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch
Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet
abWiCkLung und WorkfLoW
ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet
1 PruumlfungobessichumeinWKO-Mitgliedhandelt
2 FaumlllediekeinNotfallsindwerdenausgeschieden
3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)
4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert
5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet
6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter
7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert
8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen
9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch
DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
34 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen
82 ansPrechPersonen In den bundeslaumlndern
FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein
83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen
Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)
Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird
DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text
rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)
84 statIstIk
Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1
ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
35
cyber-securItyhOtlIne0800888133 8
notizen
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr
AnHAnG
9
37
anhanG 9
91 schadsoftware
ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)
Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben
rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)
rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))
rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)
rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)
rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyber- angriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html
rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)
rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung
38 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
92 abkuumlrzunGen
AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork
93 Glossar
rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)
rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden
rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt
rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung
rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam
rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben
rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten
rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet
rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung
rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden
rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich
rsaquo dsGDatenschutzgesetz
rsaquo dsGvoDatenschutz-Grundverordnung
39
9anhanG
rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten
rsaquo firewall(fW) Technische Sicherheitsmaszlignahme
rsaquo firmware SoftwaredieimGeraumlteingebettetist
rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)
rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)
rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen
rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen
rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten
rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen
rsaquo PatchSoftwareUpdates
rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden
rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse
rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen
rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen
rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden
rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren
rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden
rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen
rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware
rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten
rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen
rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt
rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk
rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten
10LITERATUR
41
lIteratur 10
Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)
Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017
Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019
Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)
Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019
Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO
Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert
Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html
11WEITERFUumlHRENDELInKS
43
11weIterfuumlhrende lInks
links und literatur zum thema der eG mitglieder hellip
rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)
rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security
rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf
rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety
rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security
rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security
rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom
AItAustrianInstituteoftechnology
rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat
rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering
rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom
rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat
rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf
rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat
rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies
rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security
rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense
12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN
45
A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter
MarkusBachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat
Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom
AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat
AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies
Helmut Leopold helmutleopoldaitacat
AUVAndashAllgemeine Unfallversicherungsanstalt
InformationSecurityMarkusPreszlignig markuspressnigauvaat
AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat
Ey CyberSecurityDrazenLukac drazenlukacateycom
FachhochschuleTechnikumWienCompetenceCenterInformationSecurity
Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat
FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat
FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen
FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat
FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme
FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat
FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat
JKUndashJohannesKeplerUniversitaumltLinz
InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat
12orGanIsatIonen amp ansPrechPartnerInnen
12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
46 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
JoanneumResearch ForschungsgesellschaftmbH
DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien
DIDrHeinzMayer heinzmayerjoanneumat
KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet
Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat
PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at
SalzburgResearch ForschungsgesellschaftmbH
IntelligentCommunication Technologies
DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat
SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg
SCCHndashSoftwareCompetence CenterHagenberg
SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat
SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom
SenseforceGmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom
T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom
TechnischeUniversitaumltGraz CyberSecurityCampusGraz
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat
TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie
Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat
TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab
AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat
unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person
47
12orGanIsatIonen amp ansPrechPartnerInnen
notizen
13DANK
49
13dank
13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet
besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)
GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich
folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)
FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien
50 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe
iMPreSSuM
medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at
ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich
designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock
StandJuli2019
haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr
Verein Industrie 40 Oumlsterreich
ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH
A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at
A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center
Markus Bachlechner markusbachlechnera1at cybersecurityA1at
A1Digital SecurityThomas Snor thomassnora1digital
ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat
Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom
Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat
Austrian Institute of Technology (AIT)Security and Communication Technologies
Helmut Leopold helmutleopoldaitacat
AUVA ndash Allgemeine Unfall versicherungsanstalt
Information SecurityMarkus Preszlignig markuspressnigauvaat
Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat
EY Cyber SecurityDrazen Lukac drazenlukacateycom
Fachhochschule Technikum WienCompetence Center Information Security
Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat
FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat
FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen
FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat
FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme
FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat
FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat
JKU ndash Johannes Kepler Universitaumlt Linz
Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben
Joanneum Research Forschungs gesellschaft mbH
DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien
DI Dr Heinz Mayer heinzmayerjoanneumat
Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet
Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat
Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at
Salzburg Research Forschungs gesellschaft mbH
Intelligent Communication Technologies
DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat
SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg
SCCH ndash Software Competence Center Hagenberg
Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat
Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom
Senseforce GmbH iiot security infosenseforceio
Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom
T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom
Technische Universitaumlt Graz Cyber Security Campus Graz
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat
Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie
Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat
Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry
Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat
TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat
UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person
IMPRESSUM
Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at
Design Conficireg bull Kreativbuumlro
Stand Juli 2020
Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr