Klimageräte: Einfallstor für Cyberangriffe?

Es gibt kaum Geräte, die in vielen Branchen zu unterschiedlichen Zwecken ähnlich häufig eingesetzt werden wie Lüftungs- und Klimaanlagen. Wegen ihrer hohen Verbreitung stehen sie im Fokus von Kriminellen. Sie wissen, dass derartige Geräte häufig nachlässig behandelt werden, wenn es um Cybersicherheit geht. Dabei ist Cyberkriminalität in diesem Bereich nicht neu, die Bedrohung steigt mit der Zahl vernetzter Geräte, was vielfach unterschätzt wird. Eine Vernetzung erhöht die Effizienz und optimiert Prozesse, unter Umständen zulasten der Sicherheit. Meist liegt das an mangelnder Cybersicherheits-Sensibilisierung der Menschen, die mit den Geräten arbeiten. Sie sind sich häufig der Gefahr von Hackerangriffen nicht bewusst. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnte vor Kurzem vor einer nach wie vor bedrohlichen Cyber-Sicherheitslage, täglich würden rund 119 neue Schwachstellen erkannt. Aber auch bei Geräten der Kälte- und Klimatechnik?

Diese Frage beantwortet man als Spezialist mit einem einfachen Ja: Diese Anlagen sind in der Regel nur schwach geschützt. Der Cyber Resilience Act der Europäischen Union, der ab Dezember 2027 verpflichtend für Hersteller umgesetzt werden soll, soll Unternehmen resilienter gegen Cyberangriffe machen. Allerdings fallen derzeit nur Unternehmen der kritischen Infrastruktur unter die NIS2-Richtlinie, die verpflichtende Prüfungen für Betreiber schon jetzt fordert. Krankenhäuser, Wasserversorger oder Kraftwerke müssen ihre Cybersicherheitsmaßnahmen durch eine unabhängige Stelle wie TÜV Nord zertifizieren lassen. Für alle anderen Betreiber-Unternehmen und Hersteller gilt das aber nicht, hier reicht eine Selbsterklärung. Eine unabhängige Prüfung würde bspw. die Gefahr von Produktionsausfällen, Datenklau und Erpressung im Angriffsfall erheblich senken.

Geräte kommen ohne Cybersicherheitsnachweis in Verkehr

Doch wo liegt der Schwachpunkt genau? Es gibt gleich mehrere. Momentan können alle Geräte, also auch die der Kälte- und Klimatechnik, ohne einen Cybersicherheitsnachweis in Verkehr gebracht werden, eine CE-Kennzeichnung vorausgesetzt. Mit der Einführung des Cyber Resilience Act wird im Rahmen dieser CE-Kennzeichnung auch der Cybersicherheitsnachweis verpflichtend, allerdings nur für neu in Verkehr gebrachte Geräte und solche, die zwar schon betrieben, aber wesentlich verändert werden, also z. B. bezüglich ihrer Funktionalität oder Sicherheitseigenschaften. Für alle anderen Geräte gilt ein Bestandsschutz, jedoch auf unsicherem Niveau: Durch schwach gesicherte Lüftungsanlagen können Kriminelle mit wenig Aufwand digital in das vernetzte Gesamtsystem einbrechen und sich so Zugang zu sensiblen Bereichen verschaffen, um Daten zu stehlen oder Systeme zu manipulieren. Für Geräte in Krankenhäusern, Rechenzentren, Kraftwerken oder der Prozessindustrie wäre das fatal. Kommt es zum Datenabfluss oder werden Systeme verschlüsselt, sind Erpressungen die Folge. Oder Geräte fallen einfach aus, was in Betrieben zu Produktionsausfällen und hohen finanziellen Verlusten führen kann.

Der beste Schutz, alle Geräte vom Netz zu nehmen und nur noch lokal zu steuern, ist realitätsfern. Also doch die Cloud. Idealerweise setzt man auf einen Dienstleister, der nach der internationalen Informationssicherheitsnorm ISO 27001 zertifiziert ist und dessen Server in Deutschland stehen, sodass sie unter die Datenschutz-Grundverordnung (DSGVO) fallen. Alle Daten, so die Empfehlung, sollten zusätzlich auch lokal gesichert sein. Doch was ist zu tun, um die Sicherheit vernetzter Geräte zu erhöhen? Relevant sind der Cyber Resilience Act und die Norm IEC 62443. Diese Normenreihe regelt die Cybersicherheit in der Industrieautomatisierung. Sie richtet sich an Hersteller und Betreiber gleichermaßen und verfolgt einen ganzheitlichen, risikobasierten Ansatz. Sie beschreibt Prozesse, um die Sicherheit zu erhöhen – sowohl hinsichtlich der Technik als auch der Menschen, die mit diesen Geräten arbeiten.

Software immer auf neuestem Stand halten

Eine einfache wirkungsvolle Maßnahme ist es, die eingesetzte Software immer auf aktuellem Stand zu halten. Hersteller stellen Updates zur Verfügung, sobald Sicherheitslücken erkannt und mit diesen Updates geschlossen werden. Viele Unternehmen aktualisieren die eingesetzte Software für ihre Geräte nicht oder nicht sofort. Hier lauert die größte Gefahr: Bis zu 90 % aller erfolgreichen Angriffe nutzen veraltete Softwareversionen aus. Ein anderer gravierender Punkt: Handwerker sind häufig schlecht geschult und sich der Gefahr nicht bewusst. So werden bei vier von fünf Geräten bei ihrer Erstinstallation die vorgegebenen Passwörter nicht geändert, weil die Software des Geräts dies nicht fordert. Jeder weiß, dass „0000“, „Admin“ oder „Passwort“ keine besonders sicheren Passwörter sind. Bei Geräten der Kälte- und Klimatechnik ist das nicht anders. Wird das Passwort geändert, muss es aber allen, die mit dem betreffenden Gerät arbeiten, auch zur Verfügung gestellt werden: also Haustechnikern, Wartungsfirmen, unter Umständen Prüfern. Wer soll da beim Betrieb von mehreren oder gar vielen Geräten den Überblick behalten? Dann doch lieber mit den vorgegebenen Passwörtern arbeiten?

Eine möglichst einfache Steuerung, Wartung und Prüfung sollten nicht mit Unsicherheit erkauft werden. Aber bevor es an ein Passwortmanagement geht, gibt es einen vorgelagerten Schritt zum cybersicheren Betrieb, nämlich das Aufsetzen eines ganzheitlichen Sicherheitskonzepts. Das fängt beim Zugangsmanagement an: Also wer hat Zutritt zur Anlage, wer darf was machen? Wie wird sichergestellt, dass nur autorisiertes Personal Diagnosegeräte, Laptops oder USB-Datenträger anschließen kann – die natürlich selbst auch „sauber“ sein müssen, also nicht infiziert sind? Ist das Personal, das Zutritt hat, geschult?  Derartige Schulungen kosten nicht viel, dauern nicht lange, und wenn man alle Beteiligten an einen Tisch holt, sind sie auch schnell und effektiv gemacht. Wer noch mehr Kosten sparen und darüber hinaus Gutes tun will, redet mit benachbarten, nicht gerade in Wettbewerb stehenden Betrieben und organisiert über aktives Community Management eine gemeinsame Schulung.

Einsatz eines Passwortmanagers sinnvoll

Ist das alles umgesetzt, kann es um Passwörter gehen. Sinnvoll ist der Einsatz eines Passwortmanagers. Zwar sind die Vorbehalte gegen das Unbekannte groß und für viele Unternehmen ein untergeordnetes Thema, aber hier liegt der Schlüssel für einen erfolgreichen Schutz. Der große Vorteil eines Passwortmanagers: Er generiert und verwaltet komplexe Passwörter und gewährt mithilfe eines Masterpassworts Zugriff auf das, wofür Rechte eingerichtet sind. Ein durchdachtes Rollenmanagement gewährt Einzelpersonen Rechte für die Tätigkeiten, die sie ausüben dürfen. Aber nicht mehr. Dieses Rechtemanagement sollte regelmäßig überprüft werden. Wer keinen Passwortmanager einsetzen will: Sichere Passwörter bestehen aus mindestens zwölf zufälligen Zeichen: Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen – und auf keinen Fall aus einem Wort aus dem Duden. Je komplexer ein Passwort ist, desto besser. Wer keinen Passwortmanager einsetzen will, kann zur Sicherheit alle Passwortänderungen wegen der Rückverfolgbarkeit protokollieren. Übrigens empfiehlt das BSI nicht, komplexe Passwörter regelmäßig zu ändern. Ein Schutz wird nicht größer, wenn in einem bestehenden Passwort nur zwei Zeichen modifiziert werden.

Was ist, wenn es zu einem erfolgreichen Angriff gekommen ist, wer kann zur Verantwortung gezogen werden für Datenklau, Verschlüsselung von Computersystemen oder Produktionsausfälle? Generell ist der Geschäftsführer des angegriffenen Unternehmens verantwortlich. Er muss dafür sorgen, dass cybersichere und -konforme Komponenten eingekauft und verbaut und dass alle Geräte sowie Systeme im Unternehmen geschützt werden. Gleiches gilt für den Betrieb des Netzwerks in seinem Unternehmen. Und er muss dafür sorgen, dass seine Belegschaft geschult und sensibilisiert ist. In aller Regel gibt es in kleineren Betrieben keine Stelle wie einen Qualitäts- oder Umweltmanager, der diese Aufgabe wahrnimmt. Es kann aber in bestimmten Fällen auch der Hersteller zur Verantwortung gezogen werden, dann nämlich, wenn er ab Dezember 2027 Geräte in Verkehr bringt, die den Anforderungen des Cyber Resilience Act nicht genügen oder er bei erkannten Mängeln keine Updates der Software zur Verfügung stellt.

Fazit

Wer von einer erfolgreichen Cyberattacke betroffen ist, braucht unter Umständen eine lange Zeit, um verschlüsselte oder manipulierte Systeme wieder arbeitsfähig zu machen. Um Datenabfluss, Systemmanipulationen, Verschlüsselung von Systemen oder Produktionsausfälle zu vermeiden, empfiehlt sich dringend, ein ganzheitliches Sicherheitskonzept zu erarbeiten und umzusetzen. Hersteller müssen cybersichere Geräte ausliefern und kurzfristig Softwareupdates zur Verfügung stellen, um Sicherheitslücken zu schließen. Zudem müssen die Geräte bei der Erstinstallation zwingend die Änderung des Default-Passworts fordern.

Mitarbeiterinnen und Mitarbeiter von Installationsbetrieben müssen für Cybersicherheit sensibilisiert werden und sichere Passwörter bei der Installation von Anlagen vergeben. Und sie müssen sicherstellen, dass ihre Geräte wie Laptops, Wartungsgeräte und Datenträger keine Schadsoftware in das System einbringen. Um das zu erreichen, sind regelmäßige Schulungen erforderlich.

Betreiber von Anlagen müssen dafür sorgen, dass nur berechtigte Personen Zugang zur Haustechnik haben, und dass diese Personen auch tatsächlich nur die autorisierten Tätigkeiten ausführen dürfen. Gleiches gilt beim Einsatz von Passwortmanagern. In jedem Fall braucht man komplexe Passwörter, die aus mindestens zwölf Zeichen bestehen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – und eben aus keinen Wörtern. In der Cloud gesicherte Daten sollten auf Servern in Deutschland liegen, die nach ISO 27001 zertifiziert sind.