Cyber-SeCurity Leitfaden für ProduktionSbetriebe · 2020. 8. 20. · Cyber-Security-Technologien...

Verein Industrie 40 Oumlsterreich

Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe

SChutz vor CyberattaCken ndash Mehr WertSChoumlPfung Mit SeCurity

3

InhaltsverzeIchnIs

InhaltsverzeIchnIs

vorWort 5

1 einLeitung 6

2 infektion Mit SChadSoftWare uumlber internet und intranet iM ProduktionSbereiCh 8 21 Industrie 40 ndash IT und OT 9 22 Schutz- und Gegenmaszlignahmen 10 23BeispieleinerSchadsoftware 11

3 Mitarbeiterinnen aLS riSikofaktor 12 31Angriffsbeispiele 14 32 Schutz- und Gegenmaszlignahmen 16

4 doS- und ddoS-angriffe 18 41MotivationfuumlrDDoS-Angriffe 19 42 Moumlgliche Schaumlden 19 43 Schutz- und Gegenmaszlignahmen 20 44BeispielevonDDoS-Angriffen 20

5 gefaumlhrdung durCh fernWartung 22 51 Schutz- und Gegenmaszlignahmen 23

6 CLoud SeCurity ndash koMProMittierung von extranet und CLoud-koMPonenten 26 61AbhaumlngigkeitderProduktionvoneinemExtranet-undCloud-Dienst 27 62UnzureichendeMandantentrennunginCloud-Plattformen 29

7 verLetzung deS datenSChutzeS durCh it-SiCherheitSLuumlCken 30 71MeldepflichtbeiDatenschutzverletzungen 31 72Schutz-undGegenmaszlignahmen 31

8 Cyber-SeCurity hotLine 0800 888 133 32 81 Security Hotline 33 82 Ansprechpersonen in den Bundeslaumlndern 34 83KooperationmitstaatlichenStellenundOrganisationenVereinen 34 84Statistik 34

9 anhang 36 91Schadsoftware 37 92Abkuumlrzungen 38 93 Glossar 38

10 Literatur 40

11 Weiterfuumlhrende LinkS 42

12 organiSationen amp anSPreChPartnerinnen 44

13 dank 48

iMPreSSuM 50

4 Cyber-SeCurity Leitfaden fuumlr ProduktionSbetriebe

5

vorwort

Geschaumltzte Leserinnen und LeserLiebeMitgliederderPlattformIndustrie40

DieumfassendeDigitalisierungvonmittlerweilefastallenBereicheninunsererGesellschafthatineinematemberaubendenTempodieSpielregelnderWirtschaftaberauchinvielenFacettenMechanismenunseresZusammenlebensveraumlndertDigita-leKommunikationssystemebestimmenunserenAlltagundderDigitalisierungs-undTransformationsprozessbekommtdurchdiegeradebegonneneVernetzungunserervielenphysischenObjektezueinemInternetderDinge(IoTndashInternetofThings)eineneueDynamik

DieseDynamikerfasstnunauchunsereProduktionsbetriebebzwalleUnternehmerInnenDerEinsatzvonComputernundSoftwareinallunserenMaschinendieglobaleVernetzungunsererSystemeunddieWichtigkeitvonDatenfuumlrunsereGe-schaumlftsmodelleundGeschaumlftsprozessewerdenzubestimmendenElementeneinerwettbewerbsfaumlhigenGeschaumlftsstrategieDieserdurchdieDigitalisierunggetriebeneWandelzursogenanntenIndustrie40stelltjedeneinzelnenvonunsvorneueHerausforderungen

DieDigitalisierungunsererMaschinenbringtnebenProduktivitaumltssteigerungQualitaumltsverbesserungVereinfachungenvonAblaumlufenundBequemlichkeitfuumlrdenKundenaucheinegroszligeProblematikmitsichsteigendeSicherheitsrisikenfuumlrunsereSystemeaberauchfuumlrdiegeneriertenDatenKundendatenPatenteVerfahrensregelnwerdenfuumlrdenKonkurrenteninter-essanteAngriffszieleverletzlicheSystemeundkritischeInfrastrukturenwerdenpotentielleZielevonTerroristenoderganzeUnternehmenwerdenzurZielscheibederorganisiertenKriminalitaumltDurchdieDigitalisierungunddurchdieglobaleVernet-zungsteigeneinerseitsdieChancenwirtschaftlicherfolgreichzuseinandererseitswerdendieBedrohungsszenarienimmergroumlszligerundkoumlnnenfuumlrjedeseinzelneUnternehmenauchzurpotentiellenUumlberlebensfragewerden

NebenderFeststellungderneuenBedrohungslagedurchdieDigitalisierungsolltenwirallerdingsauchdieneuenMoumlglich-keitenerkennenumdurchKompetenzundgeschickteingesetzteTechnikeinenWettbewerbsvorteilunsererUnternehmenzuerzielenSchutzvonprivatenDatensichereundhoumlchstzuverlaumlssigeProdukteundsichereProduktionenwerdenschlus-sendlichimglobalenWettbewerbeinenwesentlichenBeitragfuumlrentsprechendeUSPsausmachenundsolltendahervonjedemoumlsterreichischenUnternehmenalsfixerBestandteilinderProdukt-undStandortstrategieverankertseinFuumlhrendeCyber-Security-TechnologienbdquoMadeinAustrialdquosindvielfachdurchinnovativeoumlsterreichischeUnternehmenvorhandenundbildendieGrundlageumoumlsterreichischeInnovationenauchimdigitalenZeitalterglobalerfolgreichzuvermarkten

DieseBroschuumlresollIhneneinenUumlberblickuumlberaktuelleBedrohungsszenariengebenundeineersteAnleitungvermittelnwiemanamEndeeinfachzueinemsicherendigitalenSystemgelangenkannumamglobalenMarktderZukunftauchnachhaltigbestehenzukoumlnnenMitdieserZielsetzungwerdendemLeserinleichtverstaumlndlicherWeiseweitverbreiteteAngriffsmethodenwieDDoS-AttackenRansomwareundMethodenzumEinschleusenvonSchadsoftwareBedrohungenbeiWartungszugriffenuumlberdasInternetaberauchdiemoumlglicheGefahrdurchdieeigenenMitarbeiterInnenimUnternehmenerklaumlrtEineUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterreichischenBetriebeimJahr2018undeineersteChecklistefuumlrCyber-SicherheitrundendieInformationenabundsolleneineersteHilfestellungfuumlrjedesUnternehmendarstellen

ZusammenfassendisteswichtigfestzuhaltendasssichkeinUnternehmenalszukleinundausglobalerSichtzuunbe-deutendeinschaumltzendarfumfuumlrdieCyber-Crime-IndustrienichtdochinteressantzuseinCyber-KriminalitaumltsowieWirtschafts-undIndustriespionagemithochentwickeltenAngriffskenntnissenkannnurmiteffektivenSchutzmaszlignahmenentgegengewirktwerden

DIDrWilfriedEnzenhoferMBA

1EINLEITUNG

7

EinlEitung 1

IndervorliegendenBroschuumlrewirdanhandvoneinfachenBeispielenundZusammenfassungeneinersterUumlberblickuumlberdieThematikCyber-Security imProduktionsbereich

zurVerfuumlgunggestelltDasZiel dervorgestelltenBeispie-leundSzenarienwelchealleaktuellenBeispielenausderPraxisentsprechenisteszuzeigenwelcheBedeutungeinunzureichendesBewusstseindieserThematikfuumlreinenPro-duktionsbetrieb haben kann Neueste Statistiken zeigendassOumlsterreichzudenTopfuumlnfAngriffszielenweltweitge-houmlrt [11]BeschreibungenvonBedrohungsszenarienaberauchersteAnsaumltzevonLoumlsungsvorschlaumlgensollendemLe-sereineHilfestellungbietenumweiterekonkreteSchritteplanenundimplementierenzukoumlnnen

Im Abschnitt 2 werden die grundsaumltzliche Thematik vonSchadsoftware und die Problematik in IT-Systemen undProduktionssystemendiskutiertInAbschnitt3wirddaraufeingegangenwelcheRollederMenschalsBenutzerbzwalsMitarbeiter im IT-Sicherheitsbereich imUnternehmenein-nimmtinAbschnitt4wirddieBedrohungvonDDoS-Angrif-fenerklaumlrtund inAbschnitt5wirddiebesondereGefaumlhr-dungdurchschlechtgeschuumltzteFernwartungszugaumlngeaufProduktionsmaschinenthematisiertAbschnitt6behandeltdieneueHerausforderungvonDatenundIT-SicherheitbeiCloud-LoumlsungenundinAbschnitt7wirddieProblematikderVerletzungdesDatenschutzesdurchSicherheitsluumlckendis-kutiertAbschlieszligendwirdinAbschnitt8einneuesServicefuumlroumlsterreichischeKlein-undMittelbetriebevorgestelltdieCyber-SecurityHotline derWirtschaftskammerOumlsterreichmiteinerUumlbersichtuumlbererfolgteAngriffeaufdieoumlsterrei-chischen Betriebe im Jahr 2018 Eine Zusammenstellungwichtigster Begrifflichkeiten und Erlaumluterungen in diesemKontextundeineersteChecklistefuumlrCyber-Sicherheitrun-det die Informationen abund soll eine ersteHilfestellungfuumlrjedeninteressiertenLeserjedeinteressierteLeserindar-stellen

verein induStrie 40 ndash die PLattforM fuumlr inteLLigente Produktion

DerVereinbdquoIndustrie40Oumlsterreichldquowurde2015alsIniti-ativedesoumlsterreichischenBundesministeriumsfuumlrVerkehrInnovation und Technologie sowie von Arbeitgeber- undArbeitnehmerverbaumlnden gegruumlndet Diese erarbeiten ge-meinsammitMitgliedernausWirtschaftWissenschaftund

InteressenvertretungeninspezifischenExpertInnengruppenStrategien zur nachhaltigen und erfolgreichen UmsetzungderdigitalenTransformation imKontextvon Industrie40ZielistesdietechnologischenEntwicklungenundInnovati-onendurchDigitalisierungbestmoumlglichundsozialvertraumlglichfuumlrUnternehmenBeschaumlftigteunddieGesellschaftinOumls-terreichzunutzenundverantwortungsvollumzusetzenDerVerein Industrie40OumlsterreichnimmtdabeieinewichtigeRolle indernationalenund internationalenKoordinierungStrategiefindungundInformationsbereitstellungein

exPertinnengruPPe SeCurity und Safety

FuumlrdieerfolgreicheUmsetzungvon Industrie40undderumfassenden Vernetzung von Wertschoumlpfungsketten isteine zuverlaumlssige hochverfuumlgbare und dauerhaft sichereNutzungvonweltweitvernetztenMaschinenundAnlagensowie von innovativen datengetriebenen TechnologienunabdingbarManipulationZugriffeauf sensitive Informa-tionenbishinzugezieltenundhochspezialisiertenCyber-angriffenstellennureinigederBedrohungendarwodurchdieAufrechterhaltungvon IT-undOTSicherheit (security)alsauchderfunktionaleSicherheit (safety)ZuverlaumlssigkeitundrechtlicheSicherheitvonSystemenzueinerzentralenHerausforderungfuumlrGesellschaftundWirtschaftwerdenMitderEinrichtungderArbeitsgruppeSecurityundSafetymoumlchte die Plattform Industrie 40 Oumlsterreich dieWahr-nehmungumdieWichtigkeitundBedeutungdesThemasSicherheit fuumlr Industrie 40 erhoumlhen relevanteAkteure inOumlsterreichvernetzenunddazubeitragenSecurityampSafetyalsoumlsterreichischenWettbewerbsvorteilzuetablierenVer-treterInnenvonuniversitaumlrenwie auch auszligeruniversitaumlrenForschungseinrichtungen Politik und Verwaltung Unter-nehmen und Interessensvertretungen fungieren dabei alszentrales Steuerungsgremium und legen Arbeitsschwer-punkteunddie inhaltlicheAusrichtungderAktivitaumltenderPlattformIndustrie40imBereichbdquoSecurityundSafetyldquofest

2INFEKTIONMITSCHADSOFTWAREUumlBERINTERNETUNDINTRANETIMPRODUKTIONSshyBEREICH

9

2InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch

21 IndustrIe40ndashItundOt

FuumlreineerfolgreicheUmsetzungdesThemasIndustrie40imUnternehmenmuumlssenentsprechendeSicherheitsaspek-tevonAnfanganindasSystemdesigneinbezogenwerdenVorallemdiebesondereCharakteristikproduzierenderUn-ternehmenwelcheuumlblicherweisedurchzweiverschiedeneSystembereichegekennzeichnetistndashdieITfuumlrdieuumlblichenGeschaumlftsprozesse(Office-IT)unddieITfuumlrdieverschiede-nenProduktionsanlagenndashProduktionstechnologieoderaufEnglischbdquoOperationalTechnologyldquo(OT)ndashbringtspezifischeHerausforderungen fuumlr das Systemdesign und fuumlr dieBe-triebsprozesse

Die Schutzziele der Informationssicherheitwurden in denBereichenInformationTechnology(ITInformationstechno-logie) und Operational Technology (OT Produktionstech-nologie) wie zB industrielle Steuerungssysteme bislangseparatsowiemitunterschiedlicherPrioritaumltverfolgtAus-schlaggebenddafuumlristdassIT-undOT-SystemeangesichtsihrerCharakteristika ein unterschiedlichesMaszlig anSicher-heit erfordertenSowurdeetwabeiOTderFokusprimaumlraufVerfuumlgbarkeitundZuverlaumlssigkeitgelegtBeiklassischenSystemenausderBusiness-IThabenVertraulichkeitundIn-tegritaumltderDatenuumlblicherweisedenVorrangOT-SystemeberuhenoftmalsaufproprietaumlrenTechnologienundfolgtenmitunteroftlediglichdemPrinzipbdquosecuritythroughobscu-rityldquo(SicherheitdurchUnklarheitfuumlrdenAngreifer)Daherwar die strikte Abtrennung der industriellen Steuerungs-systeme vom Internet ein notwendigesMinimum an um-zusetzendenSicherheitsmaszlignahmen[21]MitderstetigenVernetzungderSystemedurchIndustrie40Konzepteunddem Internet der Dinge (IoT) verschwimmen die GrenzenzwischenITundOTjedochimmermehrundinhaumlrentunsi-chereindustrielleSteuerungssystemewerdendirektandasInternetangebundenundesentstehteinetechnischeVer-bindungvomUnternehmensnetzmitdemProduktionsnetzDemzufolgesindProduktionssystemezunehmendCyberan-griffenausgesetztDiesekoumlnnennunsowohluumlberInternetalsauchvomUnternehmensnetzausdemIntraneterfolgenDerTrend zur steigenden Bedrohungslage laumlsst sich auchanhandderjaumlhrlichwachsendenSicherheitsvorfaumlllediedenBehoumlrdengemeldetwerdenerkennenSowurden imJahr2010 in den USA nur 39 Sicherheitsvorfaumllle in kritischen

Infrastrukturunternehmenbearbeitetwaumlhrendes2016be-reits290waren[2223]

ZusammenfassendkannmanfesthaltendassdreiwichtigeAspektedenOT-BereichvomIT-Bereichunterscheiden

rsaquo safety versus security Unter safety versteht man dieBetriebssicherheit von Systemen um Schaden an Men-schenundSachenzuverhindernSiehat inderProduk-tionhoumlchstePrioritaumlt da hier bei FalschbedienungoderFunktionsfehlernvonMaschinenMenschenlebengefaumlhr-detseinoderhoheSachkostenentstehenkoumlnnenSecu-ritybeschreibtdenSchutzvorunerlaubtenZugriffenauftechnischeSystemedurchkriminelleAbsichtenundhattebishervorwiegendinderOffice-ITeineBedeutungDurchdas fortlaufende Zusammenwachsen von Office-IT undProduktions-ITnimmtauchdieCyber-SecurityeineimmerwichtigereRolleeindaauchAnlagenundSystemezuneh-mendeinAngriffszielsind

ErschwertwirddieEinfuumlhrungvonCyber-Security-Maszlig-nahmen in der Produktionsumgebung dadurch dass dieBereichevonProduktions-ITundOffice-ITunterschiedli-cheSchutzzieleverfolgenWaumlhrendinderProduktions-ITdiestaumlndigeVerfuumlgbarkeithoumlchstePrioritaumlthatsindkurzeAusfaumllleinderOffice-ITnochakzeptabelDafuumlrdarfinderOffice-ITdasSchutzzielderVertraulichkeitnichtverletztwerdenwelchesbeiderProduktionehernachrangigist

rsaquo mangelndes cyber-sicherheitsbewusstsein in der Pro-duktions-It (Ot)Waumlhrend der Einsatz von Sicherheits-maszlignahmen imBereichder Informationstechnologie (IT)bereits seit Jahren uumlbliche Praxis ist sind diese fuumlr denBereich der Produktions-IT (OT) noch nicht selbstver-staumlndlichBishergabesoftkeineNotwendigkeitvonbe-sonderen Security Maszlignahmen da ProduktionsanlagenentwedernichtdigitalisiertwarenoderkeineAnbindungandasInternethattenDadurchistauchdasnotwendigeBewusstseinbeidenverantwortlichenPersonenoftnichtbesonders ausgepraumlgt Und im Industriebereich werdenzB oft aus praktischen und BequemlichkeitsgruumlndenStandard-Passwoumlrterverwendetwelcheselbstvonuner-fahrenen Kriminellen einfach ausfindig gemachtwerdenkoumlnnen


Daruumlber hinaus ist eswichtig zu beachten dass es ein-facheundoumlffentlichverfuumlgbareWerkzeugegibtumGe-raumltemit solchen Sicherheitsproblemen einfach ausfindigzumachenBeispielsweisekoumlnnenmitderSuchmaschineShodan(wwwshodanio)GeraumltewelcheuumlberdasInterneterreichbarsindwieWLAN-RouterKuumlhlschraumlnkeoderKa-merasHeizungssteuerungenaberauchkompletteIndus-trieanlagen gefundenwerdenwelcheungeschuumltztodernurmitStandardpasswoumlrternIndustrieeinstellungenoderauch allgemein bekannten Passwoumlrtern geschuumltzt sindFuumlrjemandenmitkriminellenAbsichtenistesdannleichtsichZugriffaufeinsolchesSystemzuverschaffen

Auch werden externe Dienstleister oder Hersteller oftnicht als potentiell gefaumlhrdendwahrgenommen und da-durch werden notwendige Sicherheitsmaszlignahmen oftvernachlaumlssigtEsgiltauchzubeachtendassinternewieexterneMitarbeiterinUnternehmenofteinfachZugriffzuProduktionsanlagenundzumFirmennetzhabenundda-durchndashbeabsichtigtwieunbeabsichtigtndashMaschinenundIT-SystemedesUnternehmensmitSchadsoftwareinfizie-renkoumlnnen(sieheAbschnitt3)

rsaquo veraltete architektur Viele Firmen arbeiten noch miteinerflachenunddamitunsicherenNetzarchitekturwo-durchsicheingeschleusteSchadsoftware leicht ineinemNetzwerkausbreitenkannVielederProduktionsanlagensindauszligerdemdirektmitdemInternetverbundenoftein-fachnurausBequemlichkeitoderausUnwissenheit

22 schutz-und GeGenmassnahmen

IndustrielleSteuerungssystemekoumlnnenvoreiner InfektionmitSchadsoftwaredievonInternetoderIntranetausgehtmitfolgendenSicherheitsmaszlignahmengeschuumltztwerden

1 Es sollte auf eine geeignete Segmentierung des Netz-werks geachtet werden um nach dem Defense-in-Depth-KonzepteinevielschichtigeSicherheitsarchitektur zuerzielenDadurchsindOT-KomponentenvomUnter-nehmensnetzwerk angemessen abgeschottet und koumln-nennichteinfachuumlberdasInterneterreichtwerdenDasgesamteNetzwerkderProduktionwirddabeianhandderdarin befindlichen Dienste und deren Schutzbedarf inZonenaufgeteiltDieseZonenbildensogenannteAuto-matisierungszellendiemittechnischenSicherheitsmaszlig-nahmenwie etwa Firewalls abgesichertwerden [24]Dank dieser Vorgehensweise koumlnnen auch die Zonen-uumlbergaumlngekonsequentkontrolliertwerdenumsomitdenNetzwerkverkehrzwischenSegmentenzuuumlberwachenNebendemEinsatzvonFirewallsfuumlrdieZonierungkoumln-nenauchspezielletechnischeEinrichtungen(Datendio-den)betriebenwerdenumeinenDatentransportinnureineRichtungsicherzustellenUmdasIndustrienetzwerkfuumlrdieSegmentierunginlogischeEbenen(Level)zuun-tergliedernkanndasPurdue-Modell1 [25] herangezogen werdenDaraufaufbauendistgemaumlszligderIEC62443-3-2 dasNetzwerk inZonenundZonenuumlbergaumlngezuunter-teilen

2 Die Angriffsflaumlche dh die Moumlglichkeit um uumlber po-tentielle Schwachstellen einenZugang zu Systemen zuerlangen muss so kleinwie moumlglich gehaltenwerdenEine solcheReduktionderAngriffsflaumlche erfolgt indembeispielsweise ungenutzte Funktionalitaumlten von Syste-men deaktiviertwerdenDesWeiteren sollten vorkon-figurierte Benutzerkonten die beispielsweise nur mitStandardpasswoumlrtern geschuumltzt sind entfernt werdenSchlieszliglich istdie ImplementierungeinesdurchdachtenBerechtigungskonzeptszielfuumlhrendumeinenZugriffvonBenutzernausschlieszliglichaufdiejeweilsunbedingterfor-derlichenDienstezubeschraumlnken

3 BekannteSchwachstellenvonIT-Systemensolltendurchlaufende Aktualisierungen der Software behoben wer-denDiesesolltenallerdingsvorAusrollungineinerTest-umgebunguumlberpruumlftwerdenummoumlglicheneueFehler-zustaumlndederProduktionssystemezuvermeiden

1 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)

11

InfektIon mIt schadsoftware uumlber Internet und Intranet Im ProduktIonsbereIch 2

4 Zu guter Letzt sollten OT-Systeme umfassend mittelsMonitoringsystemenuumlberwachtwerdenumsicherheits-relevante Ereignisse moumlglichst fruumlhzeitig zu erfassenundwennnotwendigauchverantwortlichePersonenzualarmieren um potentielleAngriffe fruumlhzeitig abwehrenzukoumlnnen

23 beIsPIel eIner schadsoftware

Seit 2011 ist die Schadsoftware BlackEnergy2 imUmlauf[26] BlackEnergy2 nuumltzt speziell vorhandene Schwach-stellen von Benutzerschnittstellen2 (HMI Human-MachineInterface) von Systemen in Produktionsanlagen die direktmitdemInternetverbundensind

DurchsolcheFernzugaumlngeuumlberdasInternetwelcheoftfuumlrFernwartungeneingerichtetwerdenerhaltenauchpoten-tielle Angreifer die Moumlglichkeiten einen direkten ZugangzuAnlagensteuerungen zu bekommenDiese ProblematikwirdinKapitel5nochimDetailbehandeltDadurchkoumlnnenpotentiell gezielteManipulationen der Steuerungssystemevorgenommenwerden

BeieinemgeschicktenCyberangriffaufeineProduktionsan-lageistaucheineVerschleierungderManipulationenmoumlg-lich indembeispielsweiseZustaumlndedesAnlagenprozessesanAnzeigesystemen vorgetaumluschtwerden damit dieMa-nipulationanderAnlagedurchdasBetriebspersonalnichterkanntwerdenkann

ObwohlAngriffemittelsBlackEnergy2nuraufSpionageab-zielten[27]koumlnnenInfektionenmitdieserSchadsoftwaredurchaus auch substantielle negative Auswirkungen aufdie Funktionsfaumlhigkeiten von ganzen Anlagen haben Dieschwerwiegenden Folgen einesAngriffs durch die Schad-softwareBlackEnergy3welcherderNachfolgervonBlack-

Energy2 ist auf industrielle Steuerungssystemewurde imDezember 2015 deutlich Die Angreifer drangen mithilfedieser Schadsoftware in das Unternehmensnetz ukraini-scherEnergieversorgereinundgelangtenvondort indasProduktionsnetz [27] Auf dieseWeise wurden mehr als225000Haushalte inderUkrainefuumlrsechsStundenvomStromabgeschnitten [27]GroszligflaumlchigerzeugteBlackoutsdurch Cyberangriffe (Cyber-Blackouts) werden somit zurRealitaumlt

DerGefahrvon solchenCyberangriffen sind jedoch nichtnur Energieversorger ausgesetzt sondern sie stellen eineBedrohungfuumlralleProduktionsunternehmendar

2 EingabemaskenBedienoberflaumlchenGraphikenAnzeigetafelnetc

3MITARBEITERshyINNENALS RISIKOFAKTOR

13

mItarbeIterInnen als rIsIkofaktor 3

MitarbeiterInnennehmenbei ihrer taumlglichenArbeitmitbetrieblichenIT-SystemenoderantechnischenMaschineneinebedeutendeRollefuumlrdensicheren

UmgangmitschuumltzenswertenInformationenundSystemenein MitarbeiterInnen setzen dabei manchmal bewussteHandlungen aber handeln oft auch ganz unbewusst undtragensozuSicherheitsvorfaumlllenbeiDasschnelleOumlffneneines Mailanhanges mit Schadsoftware die nicht autori-sierteInformationsweitergabeamTelefonoderdasfehlen-deBewusstseinuumlbertechnischeGefahrenimArbeitsalltagkoumlnnenschonderBeginneinesCyberangriffesseinDiesesfuumlhrt inweitererFolgezumVerlustschuumltzenswerter Infor-mationenzufinanziellenSchaumldenoderzueinerBeeintraumlch-tigungderReputationdesUnternehmensDahersindSensi-bilisierungSchulungunddasSchaffenvonentsprechendemBewusstseinbeiMitarbeiterInnenentscheidendeKriterienfuumlrmehrSicherheitindertechnischenInfrastrukturvonUn-ternehmen

SoweistderjaumlhrlicherscheinendeCyber-Sicherheitsberichtder oumlsterreichischen Bundesregierung ndashwie inAbbildung31 bdquoCyber-Sicherheitsvorfaumllle in oumlsterreichischen Unter-nehmenldquoverdeutlichtndashnebentechnischenGebrechenundAuszligentaumlternndashauchaufSicherheitsvergehendurchinterneMitarbeiterInnenhin[31]OffenbleibtjedochinwelchemVerhaumlltnis das aktive Sabotieren der betrieblichen Infra-strukturoderdasAusspionierenvertraulicherInformationenzuunbewusstemoderfahrlaumlssigemVerhaltensteht

Abbildung31CyBERshySICHERHEITSVORFaumlLLEINOumlSTERREICHISCHENUNTERNEHMEN EINSCHaumlTZUNGVONVORFALLSURSACHEN2018

auszligentaumlter0thinsp

20thinsp

40thinsp

60thinsp

80thinsp

100thinsp

innentaumlter technischegebrechen

kein Problem

kleines Problem

mittleres Problem

groszliges Problem


31 anGrIffsbeIsPIele

ImFolgendensindvierBeispielevonCyberangriffenzusam-mengefasstwelchewesentlich auf das Fehlverhalten vonMenschenaufbauen

Ceo-fraud

bdquoCEO-Fraudldquo bedient sich einer sbquointernenlsquo Variante desRechnungsbetrugesHiergebensichAngreiferalsTeildesUnternehmensndash zB alsGeschaumlftsfuumlhrer oder Finanzvor-stand ndash aus und fordern von MitarbeiterInnen oft unterHinweisaufdienotwendigeGeheimhaltungeinedringendeUumlberweisung beispielsweise durch eine gefaumllschte E-Mailan die Buchhaltung [32]

Der Fall eines oberoumlsterreichischen Unternehmens dasdurch betruumlgerischesHandelnUnbekannter einenmittle-ren zweistelligenMillionenbetragverlorwurde imJaumlnner2016durchMedienberichte[33]bekanntDiesfuumlhrteimkonkreten Fall zu personellenMaszlignahmenDie betriebli-chenVerantwortlichenmusstendasUnternehmenverlas-sen Auch Schadenersatzanspruumlche aufgrund der Nicht-einhaltungbetrieblicherEntscheidungsablaumlufekoumlnneneineFolgesein

SChad- und verSChLuumlSSeLungS-SoftWare durCh PhiShing eMaiLS

CyberangriffedurchSchadsoftwareinMailanhaumlngenhabenmassivzugenommenOftoumlffnenMitarbeiterInneneineaufden erstenBlick unauffaumllligeMail Eine beliebteMethodewarundistimmernochuumlberE-Mailszuvermeintlichfehlge-schlagenenDHL-SendungenSchadsoftware inbetrieblicheSystemeeinzubringenDasOumlffneneinesMailanhangesmitder Kurzinfo bdquoIhr DHL Paket konnte nicht zugestellt werden Weitere Informationen im Anhang hellipldquofuumlhrtdazudasseinimAnhangmitgesandterComputervirussichamverwendetenComputer installiertDieser breitet sich imNetzwerk aussammelt Informationen ein und verschluumlsselt auch Datei-en um Erpressungen durchzufuumlhren zu koumlnnenWird dieSchadsoftware nicht durch technische Schutzmaszlignahmen

wieFirewalloderVirenscannerabgewehrtsinddienegati-venFolgenoftbetraumlchtlich

Der weltweite Cyberangriff mit der Verschluumlsselungssoft-ware bdquoWannaCryldquo hat inden letztenJahrenbetraumlchtlichenSchaden in Unternehmen angerichtet In einem Hotel in Suumldoumlsterreich [34]breitetesichdieserVirus imgesamtenHausausundverschluumlsseltealleGeraumlteundsogardieelek-tronischenSchloumlsser derZimmertuumlren dieGaumlste konntenihreZimmernichtmehrmittelsChipkartebetretenDasbe-troffeneUnternehmensahsichgezwungenandieErpres-serLoumlsegeldzuzahlenumwiederZugriffaufdieeigenenSysteme zu erhalten

Der Hotelchef erlaumluterte dazu [34] bdquoDas Haus war mit 180 Gaumlsten total ausgebucht wir hatten keine andere Chance We-der Polizei noch Versicherung helfen einem in diesem Fall Die Wiederherstellung unseres Systems nach der ersten Attacke im Sommer hat uns mehrere Tausend Euro gekostet Von der Versi-cherung bekamen wir bis heute kein Geld da kein Taumlter ausge-forscht werden konnteldquo

einSChLeuSen von SChadSoftWare durCh Mitarbeiterinnen

Angriffe auf Industrieunternehmen durch Infektion mitSchadsoftwarewieVirenoderTrojanersindlautBSIAnalyse[35]diezweithaumlufigsteAngriffsformhinterSocialEnginee-ring Angriffen wie Phising Emails Haumlufig geschieht diesdurchdenEinsatzvonWechselmedienwiebeispielsweiseUSB-SticksDadurcherfolgteinAngriffvoninnenausdemeigenen Unternehmensbereich Ein Paradebeispiel dafuumlristderAngriffaufdie iranischenAtomanlagendurchStux-netDabeiwurdeeinespeziellaufdiezuattackierendeIn-frastrukturangepassteSchadsoftwareentwickeltunduumlberpraumlparierteUSB-SticksindasSystemeingeschleust

DassfuumlreinensolchenAngriffoftmalsgarkeineboumlseAb-sichteinesMitarbeitersvorhandenistumeinIndustrieun-ternehmen zumindest teilweise lahmzulegen veranschau-lichtfolgendesBeispiel

Der Produktionsmitarbeiter eines Hightech-Unternehmens in Oumlsterreich war in der Nachtschicht taumltig Als sich der Akku seines Mobiltelefons dem Ende zuneigte und er jeden Moment

15

3mItarbeIterInnen als rIsIkofaktor

den Anruf seiner Frau erwartete die ihr erstes Kind bekam be-schloss er mangels Ladegeraumlt das Datenkabel an der USB-Buch-se des Fertigungs-PCs anzuschlieszligen Eine knappe Stunde spauml-ter in den fruumlhen Morgenstunden kam es zu einem ploumltzlichen Stillstand des Fraumlszentrums

Eine auf seinem Mobiltelefon gespeicherte Schadsoftware hatte die Steuerung der Fraumlszlige uumlber die USB-Schnittstelle des Indus-trie-PCs infiziert und nutzte die Hotspot-Faumlhigkeit des Smart-phones um zusaumltzlich mit einer Angriffs-Software uumlber das Internet in Verbindung zu treten Dem Produktionsmitarbeiter war nicht bewusst dass die USB-Schnittstelle sehr leicht miss-braucht werden kann

Das Unternehmen reagierte rasch und investierte in die Erstel-lung und Umsetzung eines Sicherheitskonzepts das speziell auf die Beduumlrfnisse der Produktion Ruumlcksicht nahm [36]

angriffe durCh SoCiaL engineering

FolgendesBeispielsolleinentypischenCyberangriffmitSo-cialEngineeringMethodenverdeutlichen

Drei Studenten einer technischen Hochschule hatten sich fuumlr ihre Seminararbeit bdquoAufbau und Sicherheit von Produktions-netzwerkenldquo ein besonderes Ziel ausgesucht eine nahe ihrem Wohnort gelegene Keksfabrik Nachdem das Sicherheitskonzept dieser Firma aus nachvollziehbaren Gruumlnden weder oumlffentlich zugaumlnglich ist noch auf Anfrage der Studenten bekanntgegeben wurde beschloss das Trio andere Wege fuumlr seine Recherche ein-zuschlagen Mit Laptops und Smartphones ausgeruumlstet probier-ten sie zuerst das Unternehmen von auszligen uumlber das Internet anzugreifen was jedoch nicht zum Erfolg fuumlhrte Daraufhin ver-suchten sie an unternehmensinterne Informationen zu kommen Einer der Studenten besuchte die Firmenzentrale und bat darum die Toilette benutzen zu duumlrfen Auf dem Weg dorthin kam er an zwei modernen verglasten Besprechungszimmern vorbei und stellte fest dass auf einem Flipchart die Zugangsdaten zum Un-ternehmens-WLAN festgehalten waren Ein schnelles Foto mit

dem Smartphone und schon waren die Tuumlren fuumlr den naumlchsten Versuch geoumlffnet

Von der Parkbank vor dem Firmengelaumlnde aus konnten sich die drei Laien-Hacker ndash die Faumlhigkeiten und Moumlglichkeiten der Studenten waren bei weitem nicht auf dem Niveau von echten Hackern ndash Zugriff auf das Produktionsnetzwerk verschaffen Mit frei zugaumlnglichen Software-Werkzeugen starteten sie einen sogenannten aktiven Netzwerkscan Dabei wird durch verschie-dene Methoden festgestellt welche Geraumlte angeschlossen sind Was die Studenten nicht bedachten ist die Tatsache dass sich Struktur und Anforderungen von Netzwerken in der Produktion (OT) sehr von jenen in der Office-IT unterscheiden Ein kritischer Faktor ist die Echtzeitkommunikation zwischen den Produktions-maschinen Der von den Studenten ausgeloumlste Netzwerk-Scan fuumlhrte zu einem Stillstand der Produktionsanlage

Was war passiert Mehrere Sensoren konnten ihre Messwerte aufgrund einer erhoumlhten Netzwerklast nicht in Echtzeit an die Steuerung ruumlckmelden Diese interpretierte die Situation als kritisch fuumlr die an der Maschine arbeitenden Mitarbeiter und stoppte die Produktion Der voumlllig uumlberraschte Produktionsleiter versuchte den Fehler zu finden und zu beheben und die Pro-duktionsanlage wieder zu starten was aber nicht funktionierte da der Netzwerk-Scan der Studenten noch immer aktiv war Als diese ihre Datensammlung stoppten war es fuumlr den Keks-produzenten bereits zu spaumlt Teile der Produktionsanlage muss-ten vollstaumlndig zerlegt und gereinigt werden da sich der Teig in den Spritzduumlsen bereits verhaumlrtet hatte Der Gesamtschaden belief sich auf ungefaumlhr 500000 Euro

Die Studenten konnten letztlich mit groszligem zeitlichen und fi-nanziellen Aufwand ausgeforscht werden [37]



beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen

UmVorfaumlllewiedieseauszuschlieszligensollteninjedemUn-ternehmenfolgendeFragengeklaumlrtwerden

1 SindsichalleMitarbeiterderaktuellenRisikenundBedrohungsszenarienbewusst

2WelcheAuswirkungenhaumltteeinStillstandvon 1Stunde1Tag1Woche

3WelcheSchutzmaszlignahmensindbereitsinder FertigungProduktionMontageumgesetzt Wasgilteszusaumltzlichzutunoderzuverbessern

4WasmussimKrisenfallgetanwerdenundwerhat dannwelcheAufgabenzuverantworten

verWendung SiCherer PaSSWoumlrter

Mitunter fuumlhren schon einfacheMaszlignahmen zu einer er-houmlhtenSicherheitRegelnzurGestaltungvonPasswoumlrternundderenNutzunginunterschiedlichenAnwendungensinddabei ein erster Schritt Eine Grundregel lautet etwa niediegleicheKombinationvonMailadresseundPasswort inverschiedenenAnwendungenzunutzenAufderWebseite httpshaveibeenpwnedcom ist zu finden welche Zu-gangsdatenwieMailadressenoderPasswoumlrter bereits ge-hackt wurden und eventuell auch im Darknet gehandeltwerden

17


notizen

4DOSshyUNDDDOSshyANGRIFFE

19

dOs-undddOs-AngrIffe 4

EinDenial-of-Service-Angriff (DoS-Angriff) isteinVer-such die IT- und Kommunikationsinfrastruktur einesUnternehmensdurchUumlberlastungzubeeintraumlchtigen

Dabei werden Kommunikationseinrichtungen wie Web-seiten technischeGeraumlteoder Serverwelche eine aktiveVerbindung mit dem Internet haben uumlberlastet Dies ge-schiehtdurcheinesehrgroszligeAnzahlvongesendetenDa-tenpaketenoderAnfragenandastechnischeGeraumltuumlberdieKommunikationsverbindungDurchdieerzeugteInformati-onsflutkanndieeigentlicheFunktionnichtmehrausgefuumlhrtwerdenEinsolcherFunktionsausfallkannjenachIntensitaumltdesAngriffsMinutenStundenaberauchTagelangdauern

WirdvomAngreifereinsogenanntesBotnetverwendetdhvieleinfizierteComputerimInternetdiegleichzeitigdiesenDatenverkehrgenerierensprichtmanvoneinemDistribut-ed-Denial-of-Service-(DDoS)AngriffDieComputersendendannallezumgleichenZeitpunktaneinebestimmteIP-Ad-resseeinDatenpacketodereineAnfrageunderzeugensodieUumlberlastungWenninternetfaumlhigeGeraumltedurchdenAn-greiferaufgefordertwerdeneinAntwortdatenpacketandie Adresse einesAngriffsziels zu sendenwird diesDistribut-ed-Reflected-Denial-of-Service-(DRDoS)Angriffgenannt

Angegriffene Systeme ohne DDoS-Schutzmechanismenkoumlnnen ein solches uumlbergroszligesVerkehrsaufkommen nichtverarbeiten und somit bricht uumlblicherweise der normaleKommunikationsbetriebzusammenBetroffeneServeroderWebseitensinddannuumlberdasInternetnichtodernurmehreingeschraumlnkterreichbar

JemehrComputerineinemBotnetgleichzeitigverwendetwerden desto groumlszliger ist der erzeugte Datenverkehr undumso heftiger der Angriff In der Vergangenheit wurdenmeistNetzwerksystemewie Router Firewalls oder ServerdurcheineVerkehrsuumlberlastungangegriffen In letzterZeitgewinnen auch Angriffe auf Applikations-Software immermehranBedeutungMitzunehmenderWichtigkeitdesIn-ternetsderDinge(IoT)werdenfuumlrDDoS-AngriffeauchGe-raumltemissbraucht die aufdenerstenBlickharmloswirkenwiebeispielsweiseInternet-faumlhigeSet-Top-BoxenUumlberwa-chungskameras oder Sensoren eines SmartHomesDieseGeraumlte werden oft mit Standard-Passwoumlrtern ausgeliefertundihreFirmwareseltenaktualisiertDiesmachtsiezuat-traktivenZielen fuumlrdieautomatisierteUumlbernahme inBot-netsSomittraumlgtderIoTTrendmittlerweilewesentlichzumBedrohungspotentialdurchDDoS-Angriffebei

41 motIvatIon fuumlr ddOs-AngrIffe

DieMotivationeinenDDoS-Angriffeinzusetzenliegtuumlber-wiegend darin einen houmlchstmoumlglichen wirtschaftlichenSchaden fuumlr den Angegriffenen zu erzeugen Dies kanndurchkriminelleAbsichtenerfolgenwiezBdieErpressungvonLoumlsegeldumdenAngriffwiederzubeendenaberauchSabotageziele durch Konkurrenten enttaumluschte Kundenoder politisch motivierte Aktivisten koumlnnen Gruumlnde seinDDos-Angriffe sindaucheinwesentlichesBedrohungspo-tentialfuumlrdiekritischeInfrastruktureinesLandeswiezBEnergienetze Kraftwerkseinrichtungen oumlffentlicher Ver-kehrFlughaumlfenundBehoumlrdeneinrichtungenundsindsomitauch ein wichtiges Bedrohungsszenario fuumlr die ErhaltungdernationalenSicherheit

42 moumlGlIche schaumlden

Moumlgliche Schaumlden fuumlr einUnternehmen reichenvon um-fangreichenwirtschaftlichenVerlusten durch Service- undProduktionsausfaumllle uumlber Verkaufsentgang und Image-schaumlden amMarkt bis hin zu unzufriedenen Kunden undKundenverlust ImBereich der nationalen Sicherheit kannderSchadendurchdieBeeintraumlchtigungkritischerDienst-leistungenaucheinegesamtstaatlichnegativeAuswirkunghabenwennzBderoumlffentlicheTransportnichtmehrauf-rechterhaltenwerdenkann



DreiwichtigeMaszlignahmensindzielfuumlhrendumvorDDoS-Angriffengeschuumltztzusein

rsaquo EinsatzvonspeziellenGeraumltenzurUumlberwachungdesDa-tenverkehrs dh spezielle Erkennungssensoren an denrichtigen Stellen eines Netzwerkes welche mit einemmodernen Security Information und EventManagementSystem(SIEM)3verbundensindDadurchkanneinAngrifffruumlhzeitigerkanntwerden

rsaquo Einsatzvon speziellenNetzgeraumlten amEingang des Fir-mennetzesmitdahinterliegendenNetzinfrastrukturenumimAngriffsfall den boumlsartigenVerkehr aus dem Internetherauszufiltern umzuleiten und dadurch unschaumldlich zumachen(sogenannteScrubbingCenter)

rsaquo VereinbarteNotfallprozessemitdemInternetanbieterderauchgeeigneteMoumlglichkeiteninseinerNetzinfrastrukturhatumdenInternetverkehrimNotfallraschumleitenzukoumlnnen

44 beIsPIele von ddOs-AngrIffen

Ein DDoS-Angriff erfolgte 2016 auf den Netzbetreiber A1 [41] bdquoA1 wurde seit Samstag 30 Jaumlnner wiederholt Opfer von so-genannten DDoS-Attacken (Distributed-Denial-of-Service) Bei dieser Art des Cyberangriffs wird die Netzinfrastruktur mit enorm vielen Datenpaketen die uumlber viele Laumlnder verteilt abge-schickt werden uumlberlastet um das Service des Internetzugangs zu stoumlren Dadurch war die Nutzung des mobilen Internets und einzelner mobiler Services teilweise nicht oder nur sehr verzouml-gert moumlglich Betroffen waren alle Kunden der Marken A1 bob yesss und Georg die Internet uumlber 2G 3G und 4G am Smart-phone Tablet oder uumlber ein Mobilfunkmodem nutzenldquo

Ein weiterer sehr leistungsstarker DDoS-Angriff erfolgte 2016 mit dem sogenannten Mirai IoT Botnet-Angriff [52] Dieser An-griff richtete sich gegen einen Journalisten indem sein Online- Dienst gestoumlrt wurde Bei diesem DDoS-Angriff wurden einige 10000 nicht geschuumltzte IoT-Geraumlte im Internet missbraucht um einen Datenstrom mit einer Verkehrslast von 900 Gbits zu erzeugen Dieser Angriff zeigte erstmals die Moumlglichkeit von DDoS-Angriffen durch die sehr groszlige erzeugte Verkehrslast Erst durch das Einschalten eines globalen Netzbetreibers wie Google konnte dieser massive Angriffsdatenverkehr wieder abgewendet werden da nur Google derart leistungsfaumlhige Netze weltweit in Betrieb hatte um die groszligen Verkehrsmengen in andere Netzbe-reiche umzulenken Das Szenario des Mirai IoT DDoS-Angriffs ist in der Abbildung 41 skizziert

3 SecurityInformationundEventManagementSysteme(SIEM-Systeme)werdenfuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversuchenaufSoftware-anwendungenundHardware

21

4dOs-undddOs-AngrIffe

Abbildung41MIRAIIOTBOTNET

SystemVulnerabilitiesndashbdquosidechannelsldquoOktober2016bdquoMiraiIoTBotnetldquo

Quellenhttpswwwgolemdenewsnach-ddos-attacken-akamai-nimmt-sicherheitsforscher-krebs-vom-netz-1609-123419html httpswwwgolemdenewshilfe-von-google-brian-krebs-blog-ist-nach-ddos-angriff-wieder-erreichbar-1609-123453html

Journalistkrebs

google Project Shield

900 Gbits

Passwoumlrter 12345 password

GEFaumlHRDUNGDURCH FERNWARTUNG

5

23

GefaumlhrdunG durch fernwartunG 5

GEFaumlHRDUNGDURCH FERNWARTUNG UnterFernwartungverstehtmandenZugriffvonei-

nementferntenStandortuumlberdas Internet aufeinIT-System oder eine computergesteuerte Industrie-

anlage zuWartungszwecken Maschinen koumlnnen aus derFerne gepatcht upgedatet gesteuert oder administriertwerdenDadurchistesnichtmehrnotwendigdasseinSpe-zialist persoumlnlich zu der Maschine oder zu den IT-Systemen vorOrt kommtDie noumltigenaumlnderungen kann dieser be-quem von seinemArbeitsplatz aus erledigen sogarwenndas System sich auf einem anderen Kontinent befindetDurchFernwartungsschnittstellen istdieoft teureAnreiseeinesTechnikersnichtmehrnotwendigwodurchbeiStoumlr-faumlllenschnellergewartetundkostenguumlnstigerWartungspro-zessedurchgefuumlhrtwerdenkoumlnnen

DasnachfolgendeBeispielerlaumlutertVorteileundGefahreneinesZugriffsaufeineProduktionsanlageperFernwartung

Der Produktionsleiter einer mittelstaumlndischen oumlsterreichischen Fabrik arbeitet mit Industrieanlagen die uumlber das Internet mit einer Fernwartungsschnittstelle ausgestattet sind Dadurch koumlnnen seine Maschinen effizient und kostenguumlnstig gewartet werden Vor einigen Monaten wurde durch den Fernwartungs-zugriff ein Problem bei einer der Maschinen sehr einfach und schnell geloumlst Ein Spezialist des Anlagen-Herstellers hat uumlber das Internet auf die Maschine zugegriffen und konnte somit die Ursache der Fehlermeldung schnell beheben Ein kostspieliger Vorort-Einsatz wie er fruumlher notwendig war konnte vermieden werden

Dem Produktionsleiter war jedoch nicht bewusst dass eine Schnittstelle fuumlr Fernwartungen durch entsprechende Maszlig-nahmen abgesichert werden muss Ein Krimineller hatte uumlber die Fernwartungsschnittstelle Zugriff auf das System erlangt und Parameter der Steuerung veraumlndert Die Maschine begann schneller zu rotieren und somit zu uumlberhitzen was schlieszliglich zu einem Totalausfall fuumlhrte Die Produktion stand fuumlr einige Tage still der finanzielle Schaden war betraumlchtlich

Waswie Fiktion klingenmag ist mittlerweile gaumlngige Re-alitaumlt und bei der Umsetzung von Industrie 40-Projektenals realesBedrohungsszenario zubeachtenAusExpertIn-nensicht ist derEinbruchuumlberFernwartungszugaumlngeeinederTop-10-BedrohungenimBereichderIndustrialControlSystems[5152]AngriffeuumlberFernwartungszugaumlngeer-weisensichinsofernalsgefaumlhrlichalssiemeistunbemerktbleibenundauchschwierigzuerkennensind



1WelchephysischenZugaumlngeundwelcheWLAN- ZugaumlngegibtesimUnternehmenundwiesinddieseabgesichert

2WiesiehtdieTrennungzwischenderUnternehmens-ITunddemProduktionsnetzwerk(OT)aus

3 GibtesklarkommunizierteSicherheitsrichtlinienimUnternehmenundwiewerdendieseumgesetztauchgegenuumlberGastzugaumlngen

AufgrundderobenbeschriebenenProblematikenkanneineFernwartungsschnittstelleeinewesentlicheGefaumlhrdungfuumlrdasUnternehmendarstellenMitverschiedenenorganisato-rischenundtechnischenMaszlignahmenkannmanallerdingseinIT-SystemabsichernundRisikenmaszliggeblichminimieren

organiSatoriSChe MaSSnahMen

rsaquo SchulungdesPersonalbezuumlglichderGefahrendurchIndustrie 40 Konzepte rsaquo FestlegungvonsicherenProzessenfuumlrFernwartungs-zugriffe rsaquo aumlnderungvonStandardpasswoumlrternoderHersteller-passwoumlrtern rsaquo DokumentationundProtokollierungderZugriffeaufIT-SystemezumZweckderNachvollziehbarkeit rsaquo UumlberpruumlfungbzwAuditierungdurchexterne Dienstleister


teChniSChe MaSSnahMen

rsaquo ImplementierungeinerNetzwerksegmentierunginderITundOT-InfrastrukturumdasAusbreitenvonSchadsoft-warezuverhindern(sieheAbbildung51)Einehilfrei-cheBeschreibungdafuumlristdasArchitekturmodellvonPurdue4 rsaquo FreischaltenvoneinzelnenKommunikationssystemen(Ports)ausschlieszliglichfuumlrbestimmteZeitraumlume rsaquo ZugriffaufProduktionsanlagennuruumlberbesondersabge-sicherteNetzwerke(sogenannteDMZ)ermoumlglichen rsaquo UumlberpruumlfungderGeraumltevonWartungsmitarbeiterInnenaufSchadsoftware rsaquo EindeutigeIdentifikationvonWartungsmitarbeiterInnen

rsaquo SichereVerfahrenzureindeutigenAuthentifizierungvonWartungsmitarbeiterInnendurchfuumlhrendhbeiLogin-VorgaumlngendurchWartungsmitarbeiterInnenspezielleIdentifizierungsverfahrenverwenden rsaquo SichereDatenuumlbertragungendurchVerschluumlsselunggewaumlhrleisten

Solche organisatorischen und technischen Maszlignahmen sind in unterschiedlichen Standards definiertwie zB ISOIEC270015IEC624436NISTSP8007

DadieRealisierungeinesumfassendenSchutzessehrauf-wendigseinkannisteszielfuumlhrendaufBestPracticeErfah-rungenvonanderenUnternehmenzuruumlckzugreifen

4 DasPurdue-ModellisteinegenerischeArchitekturbeschreibungundMethodezurAbsicherungfuumlrindustrielleSteuerungsanlagen(ICS)5 ISOIEC27001istderzentraleStandardderISOIEC27000-FamilieeinerSerievonStandardszumAufbauundBetriebeinesInformationSecurityManagementSystems(IMS)DieseStandardsregelnimWesentlichengrundlegendeGeschaumlftsprozessezurRealisierungvonInformationssicherheitinUnternehmenBehoumlrdenoderanderenOrganisationen

6 IEC62443isteineSerievonStandardsfuumlrdieCyber-SicherheitinindustriellenSteuerungssystemenndashCybersecurityforIndustrialAutomationandControlSystems(IACS)7 StandardsfuumlrSecurityundPrivacyfuumlrOrganisationenundSystemederUSA(USNationalInstituteofStandardsampTechnology)

Abbildung51BEISPIELFUumlREINENETZWERKSEGMENTIERUNG

IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen

6CLOUDSECURITyndash KOMPROMITshyTIERUNGVON ExTRANETUNDCLOUDshy KOMPONENTEN

27

6clOudsecurItyndashKOmprOmIttIerungvOnextrAnetundclOud-KOmpOnenten

IndustrieunternehmennutzenheutzutagesowohlfuumlrihreProduktionssysteme(IndustrialControlSystems(ICS)alsauch fuumlrandereSysteme (zB IoT-Geraumlte)Extranet-und

Cloud-Komponenten zur Betriebsunterstuumltzung zur Fern-wartungoderfuumlrdieEinspielungvonSoftware-UpdatesundPatches (IT-Virtualisierungsdienstleistungen) Diese Cloud-DienstleistungenwerdendabeiuumlblicherweisebeiexternenIT-Dienstleisternbetrieben(Infrastructure-as-a-ServiceoderSoftware-as-a-Service) Die eingesetzten Cloud-Loumlsungenbieten dem Industrie-Unternehmen besonders Kostenein-sparungen da die notwendigen technische SystemenichtselbstbetriebenwerdenmuumlssensowiebestimmtesIT-Ex-pertInnenwissennichtmehrimeigenenUnternehmenauf-gebautwerdenmuss

DurchdieNutzungderExtranet-undCloud-KomponentenergebensichallerdingsspezifischeSicherheitsbedrohungenwelche von externen IT-Dienstleistern aber auch von In-dustrieunternehmenzubeachtensindInderFolgewerdenzwei dieser Bedrohungen beispielhaft beschrieben sowiedargelegtdurchwelcheGegenmaszlignahmendieBedrohun-genbehandeltwerdenkoumlnnen

61 abhaumlnGIGkeIt der ProduktIon von eInem extrAnet-undclOud-dIenst

GeraumltediesichimProduktionsbetriebmiteinemInternet-dienstdesHerstellersverbindenmuumlssennormalerweisebeidiesem Internetdienst desHerstellers registriert sein Da-durchkannsicheineAbhaumlngigkeitderProduktionvonderVerfuumlgbarkeiteinessolchenInternetdienstesergeben

Ein typisches Beispiel fuumlr dieVerwendung vonCloud-ba-siertenDiensten imZugeeinesProduktionsprozessesunddie moumlgliche IT-Sicherheitsproblematik ist im Folgendendargestellt

InunseremSzenarioproduzierteinHerstellerbdquosmarteldquoGe-raumltediesichimBetriebuumlbereinNetzwerkdesKundenzu

einem Internetdienst des Herstellers verbinden um denKundeneinbesonderesNutzungserlebniszubieten

IneinembestimmtenSchrittinderProduktionerhaltendieGeraumlteeineeindeutigeIdentifikationzBeinGeraumlte-Zerti-fikatimZugeeinesKonfigurationsprozessesMitdieserein-deutigenIdentifikationkoumlnnensichdieGeraumltespaumlterbeimInternetdienstanmeldenumsicheindeutigzuauthentifizie-renFuumlrdieAusstellungderIdentifikationalsoderGeraumlte-zertifikateistebenfallseinInternetdienstzustaumlndig

DieGeraumltebeinhalteneinModuleinenRechnermitNetz-werkschnittstelle(n) Sobald im Produktionsprozess dieFirmware auf diesem Rechner installiert ist generiert einProgrammeinSchluumlsselpaarundverbindetsichzumZertifi-katsausstellungsdienst(CAndashCertificateAuthority)DieCAlaumluft bei einem externenAnbieter im Internet Das heiszligtdieGeraumltemuumlssensichvonderProduktionsliniezueinemDienstimInternetverbindenkoumlnnenSobalddasGeraumltseinZertifikatvonderCAerhaltenundgespeicherthatistdieserImplementierungsschrittabgeschlossen

BiszumErhaltdesZertifikatsmussdasGeraumltaber jeden-fallswartenSomitsindVerfuumlgbarkeitundAntwortzeitdesCA-DienstesunmittelbarrelevantfuumlrdieEffizienzderPro-duktionEinAusfallderVerfuumlgbarkeitbedeuteteinenStill-standderProduktion

ImnaumlchstenSchritterhaumlltdasProduktionssystemdasGerauml-tezertifikatvomGeraumltundregistriertdasGeraumltbeimeigent-lichen Internetdienst des Herstellers Unser Hersteller hat diesesVerfahrengewaumlhltumdenZugangzuseinemDienstaufechteGeraumltezubeschraumlnken

Das Produktionssystem authentifiziert sich bei der Regis-trierungsschnittstelle des Internetdienstes und erhaumllt dieBerechtigungneueGeraumlte(Clients)zuregistrierenDieVer-fuumlgbarkeitderRegistrierungsschnittstelledesInternetdiens-tesistalsoebenfallsrelevantfuumlrdieProduktion

UmSicherheitsvorfaumlllemitnegativenAuswirkungenaufdieProduktion zuverhindern sind folgendeMaszlignahmennot-wendig

rsaquo DieAuthentizitaumltdesProduktionssystemsmussgewaumlhr-leistet sein damit nur echte Geraumlte registriert werdenkoumlnnen


rsaquo DasProduktionsnetzwerkselbstmussstrikt isoliert seinsodass uumlber die Authentifizierung der Geraumlte nicht vonextern auf dasProduktionsnetzwerk zugegriffenwerdenkann

rsaquo BeiderNutzungexternerDienste(zBZertifikatsausstel-lungsdienst)imZugederProduktionmussdaraufgeachtetwerdendassdiegarantierteVerfuumlgbarkeitdesexternenDienstesmitdenAnforderungenausderProduktionuumlber-einstimmt

Abbildung61VERWENDUNGVONCLOUDshyDIENSTENFUumlREINEAUTHENTIFIZIERUNGVON IOTshyGERaumlTEN

Produktionsstraszlige

iot item

Ca

iot item iot item

Certificate

iot item iot item iot item

Pub key

Internetdienst 1Certificate authority

Internetdienst 2Portal des herstellers

Priv key

Schluumlsselpaarerzeugt

zertifikat auf geraumlt

zertifikatausgestellt

1 3

2

zertifikate werden im Internetdienst des herstellers zur authentifizie-rung registriert

4

29


62 unzureIchende mandantentrennunG InclOud-plAttfOrmen

IndustrieunternehmenkoumlnnenTeileihrerfuumlrdieVerwaltungoder (wenn auch seltener) fuumlr die Produktion benoumltigtenIT-Komponenten aufCloud-Plattformenvon IT-Dienstleis-ternauslagernDer IT-Dienstleisterbetreibt indiesemFalldie Systeme mehrerer Kunden gemeinsam auf derselbentechnologischenvirtualisiertenCloud-Plattform

Bei nicht-ordnungsgemaumlszliger Trennung der Kunden (Man-danten) innerhalb dieser Cloud-Plattform durch denIT-DienstleistersindunterUmstaumlndenUumlbergriffezwischendenNetzenDatenundSystemenverschiedenerMandan-ten moumlglich Die Ursache dieser Uumlbergriffs-Moumlglichkeitkann entweder eine Fehlplanung oder -konfiguration desIT-DienstleistersseinoderaucheinekritischeSchwachstel-leinderVirtualisierungstechnologiedesCloudanbieters

Solche Systemschwaumlchen koumlnnen einerseits zur Spionagegenutztwerden zB von konkurrierenden Industrieunter-nehmenwelchedenselben IT-Dienstleister nutzenAnde-rerseitsbestehtdieMoumlglichkeitdasseingezielterexternerAngreiferzunaumlchsteinenanderenKundendesIT-Dienstleis-ters(zBuumlberdenOnlineshopdesKunden)insVisiernimmtundnacherfolgreicherKompromittierungdeserstenKun-denuumlberdieUumlbergriffsmoumlglichkeitaufseinHauptzieldasIndustrieunternehmenzugreift

UmdieserBedrohungzubegegnenmuumlssenIT-DienstleisterdaraufachtendassihreCloud-PlattformensicherundrobustgeplantundbetriebenwerdenumdieMandantentrennungzu gewaumlhrleisten Die eingesetzten technischen Kompo-nentenzurPlattform-VirtualisierungmuumlssenaufaktuellemStand gehalten werden sowie kritische SicherheitsluumlckenraschdurchUpdatesgeschlossenwerdenDabeimussderIT-DienstleisteraufdieWartbarkeitseinerUmgebungach-tensowiedasIndustrieunternehmenalsKundebedenkendassimFallekritischerSicherheitsluumlckenderIT-DienstleisterinderLageseinmuss seineSystemezupatchenEingutzwischenDienstleisterundKundeabgestimmterBetriebs-und Patch-Plan inklVereinbarung fuumlrNotfallplaumlne bei Si-

cherheitsvorfaumlllenistessentiellfuumlrdierascheReaktionaufSicherheitsbedrohungenimExtranet-undCloud-Umfeld

UmdiesemProblembereichzubegegnenisteswichtigdassein produzierendes Unternehmen einerseits Vertrauen indieDienstleistungdesCloudanbietershatndashdieskannzBdurchdenNachweisvonZertifizierungenoderdurchgefuumlhr-tenAuditserfolgen

7VERLETZUNGDESDATENSCHUTZESDURCH ITshySICHERHEITSshyLUumlCKEN

31

7verletzungdesdAtenschutzesdurchIt-sIcherheItsluumlcKen

71 meldePflIcht beI daten-schutzverletzunGen

DasneueDatenschutzrecht(DSGundDSGVO)[71]bein-halteteineverpflichtendeMeldungbeiDatenschutzvorfaumll-lenandienationaleDatenschutzbehoumlrdeundjenachRisikofuumlr die Betroffenen auch an diese DatenschutzrelevanteVerletzungen(Datenpannen)koumlnnendabeischondurchdenVerlusteinesunverschluumlsseltenUSB-SticksmitKundenda-tenodermittelseinerfehlgeleitetenE-Mailmitpersonenbe-zogenenDatenentstehen

WasoftuumlbersehenwirdistaberdassauchdurcheinenCy-berangriff datenschutzrelevante Informationen betroffenseinkoumlnnenwaszueinemmassivenDatenschutzproblemfuumlrdasbetroffeneUnternehmenfuumlhrenkann(DataBreach)Beispiele dafuumlr sind das Bekanntwerdenvon Passwoumlrternoderauch InformationenuumlberKundendatendurchCyber-angriffe

WurdenDatenpanneninderVergangenheitinvielenFaumlllennichtbekanntoderveroumlffentlichtdrohennachderDSGVObetraumlchtliche Strafen bei der Nichtmeldung von solchenProblemenandieBehoumlrde

NebeneinemmoumlglichenReputationsverlustbedeuteteineDatenpanneauch immereineunmittelbareMehrarbeit fuumlrdasbetroffeneUnternehmenumeinerseitsdieBehebungdervorhandenenSchwachstellendurchzufuumlhrenundande-rerseits auch dieVerminderung der negativenAuswirkun-gen sicherzustellen ndash durch technische und organisatori-sche Maszlignahmen

WieimArtikel33DSGVObeschriebenmussimFalleeinerVerletzungpersonenbezogenerDatenderVerantwortlichediese an die Aufsichtsbehoumlrde melden und die Meldungmuss bdquoeine Beschreibung der von dem Verantwortlichen er-griffenen oder vorgeschlagenen Maszlignahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebe-nenfalls Maszlignahmen zur Abmilderung ihrer moumlglichen nachteili-gen Auswirkungenldquoenthalten[72]


Im Kontext der unternehmensinternen Datenschutzmaszlig-nahmensindzweiwichtigeAnsaumltzesehrhilfreichundwir-kengleichzeitigsowohlfuumlreinenerhoumlhtenDatenschutzalsaucheineerhoumlhteCyber-Sicherheit

riSikoManageMent

ZunehmendmuumlssensichauchKMUsmitdenmoumlglichenRi-sikenihrerIT-SystemebeschaumlftigenDazuistesnotwendigdieunterschiedlichenSystemezuevaluierenmoumlglicheGe-fahrenquellenzuerkennenundtechnischesowieorganisa-torischeSchutzmaszlignahmenzuergreifenDieswirdsoauchvomDatenschutzrechtgefordert

DasWissen unterschiedlicher Fachbereichewie IT Rechtoder Human Resources muss dabei koordiniert und dieFachbereichefuumlreingemeinsamesVerstaumlndnisderBedro-hungsszenarienzusammengefuumlhrtwerdenDenndieMitar-beiterInnen besitzen unterschiedliches BackgroundwissenhabenverschiedeneQualifikationenundAusbildungenundverwenden in der Regel nicht die gleichen FachbegriffeDiesmussbeiderAusgestaltungvonMaszlignahmenberuumlck-sichtigtwerden

beWuSStSeinSbiLdung und SChuLung der Mitarbeiterinnen zuM datenSChutz

VorallemauchKMUsmuumlssenihreMitarbeiterInneninBe-zugaufdie geaumlnderten technologischenGefaumlhrdungssitu-ationen sensibilisieren Eine gesetzlichverpflichtendeVer-schwiegenheitserklaumlrungunterschreibenzulassenistdabeinur ein erster Schritt (Datengeheimnis nach sect6DSG) Essind fuumlr die jeweiligenAufgabengebiete undbetrieblichenSystemesofernvorhandenunterEinbindungvonBetriebs-ratoderPersonalvertretungspezifischeSchulungsmaszlignah-menzuuumlberlegenumzusetzenundregelmaumlszligigaufihreWir-kungzuuumlberpruumlfen

CyBERshySECURITyHOTLINE 0800 888 133

8

33

cyber-securItyhOtlIne0800888133 8

UmdenoumlsterreichischenkleinenundmittlerenUnter-nehmeneineersteHilfestellungundUnterstuumltzungbeiCyber-Sicherheitsvorfaumlllen anbieten zu koumlnnen

hat die Wirtschaftskammer Oumlsterreich (WKO) ein oumlster-reichweites Dienstleistungsangebot implementiert Klein-und Mittelbetriebe bekommen uumlber eine oumlsterreichweitezentraleStelleperTelefonalsauchuumlberdasWebbeiCyber-SecurityProblemeneineUnterstuumltzung

81 securIty hotlIne

Die Website fuumlr die Cyber-Security-Hotline lautet wwwwkoatcyber-security-hotline bzw auch WKOatcysoderwwwcyber-security-hotlineatoderhttpcysatoder wwwcysat

DieCyber-Security-Hotlineisttaumlglichvon0ndash24Uhrund7TagedieWochebesetztDasCallCenterfuumlhrteineZufrie-denheits-undErfolgsmessungbeidenCyber-Crime-Opferndurch

Wenn beispielsweise ein Unternehmen durch einen Ran-somware-Trojaner lahmgelegt wurde ruft das Unterneh-mendieNotfallnummer0800888133anunderhaumlltvomCallCenterNothilfe imSinne einer Erstversorgung Solltedas Problem nicht sofort geloumlstwerden koumlnnenwird einSecond-Levelmit IT-Security-Experten konsultiertHierfuumlrwurde mit der WKO UBIT-ExpertsGroup IT-Security einTeamanhochspezialisiertenIT-Sicherheitsexpertenzusam-mengestelltDasCallCentererstelltTicketsundgibtdiese(i)andieCyber-Security-Experten(ii)andieProjektleitungund (iii) an die Servicecenter der LandeskammernweiterDieCyber-Security-ExpertenversuchendasProblemzulouml-senDieErstberatung istkostenlosdieWiederherstellungvonDatenwirdfirmenmaumlszligigverrechnet

abWiCkLung und WorkfLoW

ImCallCenter istgeschultesPersonalbeschaumlftigtundbe-sitztKompetenzenimNotfallbereichFuumlrdieAnrufeimCallCenterwurdefolgenderProzessablaufausgearbeitet

1 PruumlfungobessichumeinWKO-Mitgliedhandelt

2 FaumlllediekeinNotfallsindwerdenausgeschieden

3 TelefonischeNotversorgung (zBAnweisungzumkont-rolliertenHerunterfahrenderServer)

4 FAQsundChecklistenfuumlrdenCyber-Crime-NotfalldiedurchdieWKOUBITExpertsGroupIT-Securityausgear-beitetwurdenwerdenkommuniziert

5 ZertifizierteExpertenausderUBIT-ExpertsGroupIT-Se-curityListewerdennachgeografischerNaumlhezugewiesenListewirdvonUBIT-ExpertsGroupIT-Securitygewartet

6 DasCallCenter informiertdenAnruferdasservonei-nemeiner IT-ExpertIn ruumlckgerufenwird (8 bis 18Uhr)unddieBearbeitungdesFallesuumlberdemAusmaszligeinesInformationsgespraumlchskostenpflichtigistwobeiderdieIT-ExpertIndieKostenselbstdefiniertDerDieIT-Exper-tInfinalisiertdenFallundmeldetdiesandasCallCenter

7DieFaumlllewerdenalsTicketszurweiterenBearbeitungdokumentiert

8 InZukunftsolldannauchvomWKOCallCenternachZustimmung des geschaumldigten Unternehmens eineentsprechendeMeldungandiePolizeialsauchandas CERTaterfolgen

9 UndschlieszliglichfuumlhrtdasWKOCallCentereineZufrie-denheits-undErfolgsmessungdurch

DieAuswahlWartung undErgaumlnzung der IT-Security-Ex-perten sowie dieGeschaumlftszeiten erfolgt uumlber die jeweili-genBundeslandsprecherinAbstimmungmitDI(FH)GeraldKortschakBScCMCDieEntscheidungwieneueBeraterauf die Liste kommen obliegt grundsaumltzlich jedem Bun-deslandAlsQualitaumltssicherheitsstandard gelten Industrie-zertifizierungen hochkaraumltige Security Ausbildungen wiebeispielsweisederInciteAusbildungskursimBereichDaten-


schutzundIT-Sicherheit[81]dhdieExpertenmuumlssendieZertifizierung bdquoCertifiedData amp IT-Security Expertldquo absol-vierenumalsSicherheitsexperteninderHotlineagierenzuduumlrfen

82 ansPrechPersonen In den bundeslaumlndern

FolgendeWKOMitarbeiterInnenkoordinierenindenBun-deslaumlndern (alphabetisch geordnet) die Cyber-Security-Hotline (1)BurgenlandDIKarlBallaAndreasHafner (2)KaumlrntenMagJuttaSteinkellner(3)NiederoumlsterreichMagAndreas Pircher (4) Oberoumlsterreich Ing Anton FragnerMSc(5)SalzburgMagNinaGoumlkler(6)SteiermarkDrWolf-gangSchinagl(7)TirolDrReinhardHelweg(8)VorarlbergSibylleDrexelMAMScund(9)WienHelmutMondschein

83 kooPeratIon mIt staatlIchen stellen und orGanIsatIonenvereInen

Die Cyber-Security-Hotline kooperiert mit dem Bundes-ministeriumfuumlrInneres(BMI)unddemBundeskriminalamt(BKA) Als Kontakt- und Koordinationsstelle fungiert dieWKOuml(ServicemanagementundIKT)

Mit demBundeskriminalamt (BKA)wurdevereinbart dassbeiAnzeigenvonCyber-Crime-Vorfaumlllen inUnternehmendiebeideroumlrtlichenPolizeieingebrachtwerdenmuumlssenaufdieCyber-Security-Hotlinehingewiesenwird

DesWeiteren erfolgt eine enge Zusammenarbeitmit denverschiedenen oumlffentlichen Einrichtungen in diesem Kon-text

rsaquo CSPCyberSicherheitPlattform(httpswwwdigitalesoesterreichgvatcyber-sicherheit-plattform) rsaquo CERTat rsaquo ACOnet-CERT(CERTdesoumlsterreichischenWissen-schaftsnetzes)

84 statIstIk

Im Zeitraum von 96ndash31122017 gingen 194 Anrufebei der Cyber-Security-Hotline 0800 888 133 ein Dabeiwurden17Faumllle(inweitererFolgeTicketsgenannt)andieIT-SecurityExperten indenBundeslaumlndernweitergereicht(geordnetnachAnzahl)(1)Oberoumlsterreich8(2)Tirol5(3)Wien2(4)BurgenlandSteiermark1

ImZeitraumvon11ndash31122018 gingen432Anrufe beiderCyber-Security-Hotline0800888133einDabeiwur-den 129Tickets an die IT-Security Experten in den Bun-deslaumlndernweitergereicht(geordnetnachAnzahl)(1)Ober-oumlsterreich 33 (2)Wien 32 (3) Niederoumlsterreich 20 (4)Steiermark16(5)Tirol9(6)Kaumlrnten8(7)Burgenland5(8)Salzburg4(9)Vorarlberg2303FaumlllekonntendirektvondengeschultenMitarbeiterInnenimSinneeinesSofortser-vicesabgeschlossenwerden

35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware

ImFruumlhjahr2019wurdenbereits900Millionenverschie-dene Schadprogramme (Malware-Samples) gezaumlhlt [91]Die 60 fuumlhrenden IT-Sicherheitsunternehmen in derWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um diese enorm wach-sendeBedrohunggemeinsamzubearbeitenundzubeherr-schen(httpswwwamtsoorg)

Im Folgenden sind beispielhaft wichtige Schadsoftware(Malware)TypenwelcheweltweithoheBekanntheiterlangthabenkurzbeschrieben

rsaquo blackenergy (Black Energy2 and Blackenergy3) DieseSchadsoftwarewirduumlblicherweisealsTeilvonAnlageninE-MailsvonWordundPowerPointDokumentenverbrei-tetundwirdaktivwenneinEmpfaumlngerdieDokumenteinsolchenE-MailsoumlffnetDieBlackEnergySchadsoftwarewurde urspruumlnglich 2007 entwickelt um uumlber das HttpInternetprotokollDDoS-Angriffe durchfuumlhren zu koumlnnenum IT-Systeme lahmzu legen2010wurdeeineVarian-tedavonbekanntwelcheauchAngriffeindieIT-Systemeermoumlglichte(Blackenergy2)und2014gabeseineVersion(Blackenergy3)mitmehrerenFunktionenundMoumlglichkei-tenmitanderenSoftwarebausteinenzuverbinden(httpsenwikipediaorgwikiBlackEnergy)

rsaquo miraiDurchdieMiraiSchadsoftwarewelche2016ent-deckt wurde koumlnnen Geraumlte die mit dem Internet ver-bundensindundmitdemLinuxBetriebssystemarbeitendurcheineFernsteuerungkontrolliertwerdenumdadurchgroszlige Datenmengen fuumlr DDoS-Angriffe zu erzeugen (httpsenwikipediaorgwikiMirai_(malware))

rsaquo stuxnetStuxnetisteineSchadsoftwarewelche2010ent-decktwurdeStuxnetwurde fuumlrCyberangriffeaufSteu-erungssysteme von Industrieanlagen (SCADA Systeme)konzipiertwelchemitdemBetriebssystemWindowsfunk-tionierenundhatmehreresogenanntezero-day-exploitsausgenutzt(httpsenwikipediaorgwikiStuxnet)

rsaquo wannacry Durch die WannaCry Schadsoftware konn-ten Windows-basierte IT-Systeme angegriffen werdenindemdieseSchwachstellen (exploits) imBetriebssystemWindows ausnutzten Durch den Angriff wurden dannDatenverschluumlsseltunddieOpfermitLoumlsegelderpresst(deshalbwirddieseArtvonSchadsoftwareauchRansom-ware genannt) (httpsenwikipediaorgwikiWannaCry_ransomware_attack)

rsaquo emotet ist ein erfolgreiches Framework fuumlr Ransom-ware-Angriffe Oft sind dieseAngriffe auf denGesund-heitssektor ausgerichtet In diesem Bereich wird derUmstand dass immer eine unmittelbare Entscheidungnotwendig ist da Leben potentiell gefaumlhrdet ist ausge-nutztSieheauch[9293] middot httpswwwsrfchnewswirtschaftbedrohliche-cyberangriffe-wenn-der-operationssaal-stillsteht middot httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unternehmen-4406590html

rsaquo regin isteineMalwarewelchevonwestlichenDienstenwie NSA in Amerika und GCHQ in England verwendetwerdenumMicrosoftWindowsbasierteComputeranzu-greifen(httpsenwikipediaorgwikiRegin)

rsaquo meltdown amp spectre sind besondereArten von Schad-software welche bestimmte Schwaumlchen (vulnerabilities)vonmodernenMicro-ProzessorenausnutzenDurchdieseSchwaumlchenkoumlnnenDatenwelchederProzessorbearbei-tetunerlaubtausgelesenundmissbrauchtwerdenDaeinProzessor im Kern eines Computer-Systems eingebettetististdieseSchadsoftwareeinebesondereBedrohung


92 abkuumlrzunGen

AMTSO Anti-MalwareTestingStandardsOrganizationBMI BundesministeriumfuumlrInneresBKA BundeskriminalamtBSI BundesamtfuumlrSicherheitinder InformationstechnikausDeutschlandCA CertificateAuthorityCEO ChiefExecutiveOfficerCERT ComputerEmergencyResponseTeamCIO ChiefInformationOfficerCSP CyberSicherheitPlattformDoS Distributed-Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceFW FirewallHMI Human-Machine-InterfaceIACS IndustrialAutomationandControlSystemsICS IndustrialControlSystemIEC InternationalElectrotechnicalCommissionIKT Informations-undKommunikationstechnologienIoC IndicatorofCompromiseIoT InternetofThingsISO InternationalOrganizationforStandardizationIT InformationTechnologyOT OperationalTechnologySIEM SecurityInformationundEventManagement System STB Set-Top-BoxWKO WirtschaftskammerOumlsterreichWLAN WirelessLocalAccessNetwork

93 Glossar

rsaquo amtsoDie60fuumlhrendenIT-SicherheitsunternehmeninderWelthabensichzurAnti-MalwareTestingStandardsOrganization (AMTSO) zusammengeschlossen um dieenormwachsende Bedrohung gemeinsam durch Schad-softwarezubearbeitenundzubeherrschen(httpswwwamtsoorg)

rsaquo botnetMehrereinfizierteComputerimInternetwelchefuumlreinenCyberangriffvomAngreiferverwendetwerden

rsaquo bsIBundesamtfuumlrSicherheitinderInformationstechnik(wwwbsibundde) Organisation in Deutschland welcheEmpfehlungenundauchStandardsfuumlrIT-undInformati-onssicherheitherausgibt

rsaquo ceo-fraudAngreifer geben sich alsTeil desUnterneh-mensausndashzBalsGeschaumlftsfuumlhreroderFinanzvorstandndash aus und fordernvonMitarbeiterInnen eine dringendeUumlberweisungbeispielsweisedurcheinegefaumllschteE-Mailan die Buchhaltung

rsaquo computeremergencyresponseteam(cert)Computer-sicherheits-Ereignis-undReaktionsteam

rsaquo data breachEinSicherheitsvorfallbeidemeinZugriffaufDatenmoumlglichistohnedafuumlreineAutorisierungzuhaben

rsaquo datenpannenVerletzungdesSchutzespersonenbezoge-nerDaten

rsaquo denial-of-service-(dos) Angriff Erzeugung einer Ver-kehrsuumlberlastaufeinGeraumltuumlberdasInternet

rsaquo distributed-denial-of-service-(ddos)Angriff Wird eine groszlige Zahl infizierter Computer gebuumlndelt fuumlr einenDoS-AngriffeingesetztdannsprichtmanvoneinerDis-tributed-Denial-of-Service-Attacke (DDoS-Attacke) DieComputer sendendannalle zumgleichenZeitpunktaneinebestimmteIP-AdresseeinDatenpaketodereineAn-frageunderzeugensodieUumlberlastung

rsaquo distributed-reflected-denial-of-service-(drdos)Angriff InternetfaumlhigeGeraumltewerdendabeidurcheinenAngreiferaufgeforderteinAntwortdatenpaketandieAdresseeinesAngriffszielszusenden

rsaquo dmzDemilitarisierteZoneEindurchbesonderetechni-scheMaszlignahmengeschuumltzterNetzbereich

rsaquo dsGDatenschutzgesetz

rsaquo dsGvoDatenschutz-Grundverordnung

39

9anhanG

rsaquo exploitSicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindDasSuchennachsol-chenSystemschwachstellenistdasbestimmendeElementfuumlrKriminelleorganisierteKriminalitaumltundvonGeheim-diensten

rsaquo firewall(fW) Technische Sicherheitsmaszlignahme

rsaquo firmware SoftwaredieimGeraumlteingebettetist

rsaquo forensik Suche in technischen Systemen umSchwach-stellenzuidentifizierenbereitsdurchgefuumlhrteAngriffezuerkennenoderauchumdieQuelledesAngriffszuidenti-fizieren(Attribution)

rsaquo Ics-certCERTSfuumlrIndustrialControlSystems(ICS)

rsaquo Indicatorsofcompromise(Ioc)ListevonDatenuumlberBe-drohungen

rsaquo Industrialcontrolsystems (Ics)Steuerungssysteme fuumlrIndustrieanlagen

rsaquo malwareenglischeBezeichnungfuumlrSchadsoftwaredhspezielleSoftwaremodulemitdeneninIT-Systemeeinge-drungenwerdenkannumSchaumldenanzurichten

rsaquo netzwerksegmentierung Vorgang das Unternehmens-netz in einzelne Bereiche zu unterteilen die nicht odernurnochbedingtmiteinandervernetztsindumfuumlrmehrIT-Sicherheit zu sorgen

rsaquo PatchSoftwareUpdates

rsaquo ransomwareSchadsoftwaredamitkanndemderCom-puterinhaberInderZugriffaufDatenderenNutzungunddasganzeComputersystemverhindertwerden

rsaquo Office-ItITfuumlrdieuumlblichenGeschaumlftsprozesse

rsaquo Operational-It(Ot)ITfuumlrdieverschiedenenProduktions-anlagen

rsaquo Phishing Versuche uumlber gefaumllschteWebseiten E-Mailsoder Kurznachrichten an persoumlnlicheDaten eines Inter-net-Benutzerszugelangenunddamit Identitaumltsdiebstahlzubegehen

rsaquo scrubbing centre Zentralisierte bdquoDatenreinigungsstatio-nenldquo an denenDatenverkehr analysiert und schadhafteDatenentferntwerden

rsaquo set-top-boxen (stb) technischeGeraumlteumFernsehap-parateandas Internetanzuschlieszligenund interaktiveTVProgrammdienstezurealisieren

rsaquo shodan(wwwshodanio)einespezielleSuchmaschineumnetzfaumlhigeGeraumltemitSchwachstellen(Exploits)zufinden

rsaquo side channelsNichtbedachteFunktionenvonSoftwareund IT-Systemen mit denen Schwachstellen entstehenoder mit denen Schutzmaszlignahmen umgangen werdenkoumlnnen

rsaquo sIem-systemeSecurityInformationundEventManage-ment (SIEM)Systemewerden fuumlrdieUumlberwachungvonIT-SystemeneingesetztSiealarmierenbeiAngriffsversu-chenaufSoftwareanwendungenundHardware

rsaquo social engineeringManipulierenvonPersonenumunbe-fugtZugangzuvertraulichen Informationenoder IT-Sys-temen zu erhalten

rsaquo systemvulnerabilitiesSchwachstellenvonSoftwareundIT-Systemenwelche ausgenutztwerden koumlnnenumdieSystemeinunerlaubterWeisezubeeinflussen

rsaquo trojanerMalwarediesichoftmalsals legitimeSoftwareausgibt

rsaquo WlAnWirelesslocalAreanetwork(WlAn) drahtloses lokalesNetzwerk

rsaquo zero-day-exploits sind Sicherheitsluumlcken in technischenSystemenuumlberwelcheCyberangriffemoumlglichsindwelcheaberdemHerstelleralsauchdenBenutzernderSystemenichtbekanntsindsonderndienurderAngreiferkenntDas Suchen nach solchen Systemschwachstellen ist dasbestimmendeElement fuumlrKriminelle organisierteKrimi-nalitaumltundvonGeheimdiensten

10LITERATUR

41

lIteratur 10

Abschnitt1[11]F-SecureDeutschlandThreatLandscapeReportzumzweitenHalbjahr2018AnzahlderAttackenistumdasVierfachegewachsenhttpsblogf-securecomdethreat-landscape-report-h2-2018(letzterZugriff1August2019)

Abschnitt2[21]McLaughlinStephenetalbdquoThecybersecuritylandscapeinindustrialcontrolsystemsldquoProceedingsoftheIEEE1045(2016)1039-1057[22]ICS-CERTyearinreview2012TechnicalreportDepartmentofHomelandSecurity2013[23]ICS-CERTyearinreview2016TechnicalreportDepartmentofHomelandSecurity2017[24]ICS-CERTyearinreview2015TechnicalreportDepartmentofHomelandSecurity2016[25]LeeRobertMCRASHOVERRIDEAnalysisoftheThreattoElectricGridOperationsTechnicalReport DragosInc2017[26]ObregonLucianabdquoSecurearchitectureforindustrialcontrolsystemsldquoSANSInstituteInfoSecReadingRoom(2015)[27]KobesPierreGuidelineIndustrialSecurityIEC62443iseasyVDEVerlag2017

Abschnitt3[31]RepublikOumlsterreichBerichtCyberSicherheit2018httpswwwbundeskanzleramtgvatthemencyber-sicher-heit-egovernmenthtml(letzterZugriff4Mai2019)[32]RepublikOumlsterreichBerichtCyberSicherheit2017 httpswwwdigitalesoesterreichgvatdocuments22124 30428Bericht-Cyber-Sicherheit+20179e3aa25d-2bf0- 4c3c-841b-8c62f5dc8612(letzterZugriff4Mai2019)[33]DerStandardCyberbetrugBisher86Millionenerbeutet2162017httpstinyurlcomderStandard21Ju-ni2017(letzterZugriff4Mai2019)[34]KaumlrntenORFHotelzumviertenMalvonHackernlahmgelegt2212017httpskaerntenorfatnewssto-ries2821290(letzterZugriff4Mai2019)[35]BSIAnalysedasBundesamtfuumlrSicherheitinderIn-formationstechnik(BSI)ausDeutschlanderstelltinregelmauml-szligigenAbstaumlndenAnalysenrundumdasThemaSicherheit(wwwbsibundde)[36]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019

[37]BeispielvonAdrianPinterSiemensAktiengesellschaftOumlsterreich2019

Abschnitt4[41]A1HomepageCyber-AngriffaufA1Infrastruktur222016httpsnewsrooma1netnews-cyber-an-griff-auf-a1-infrastrukturid=59635ampmenueid=13054(letzterZugriff4Mai2019)[42]JoshFruhlingerTheMiraibotnetexplainedHowteenscammersandCCTVcamerasalmostbroughtdowntheinternetCSO9Maumlrz2018httpswwwcsoonlinecomarticle3258748the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-in-ternethtml(letzterZugriff4Mai2019)

Abschnitt5[51]ChristinaFinkErstellungeinesManagement-ModelsfuumlrInformationssicherheitimindustriellenInternetMaster-arbeitFachhochschuleWienerNeustadt18122017[52]BundesamtfuumlrSicherheitinderInformationstechnikIndustrialControlSystemSecurityndashTop10BedrohungenundGegenmaszlignahmen2019BSI-CS005Version13001012019

Abschnitt7[71]WKOEU-Datenschutz-Grundverordnung(DSGVO) Checklistehttpswwwwkoatservicewirtschafts-recht-gewerberechtEU-Datenschutz-Grundverord-nung-Checklistehtml(letzterZugriff4Mai2019)[72]Art33Abs3litdDSGVO

Abschnitt8[81]ZertifizierungbdquoCertifiedDataampITSecurityinciteExpertldquohttpswwwinciteatdezertifizierungencerti-fied-data-it-security-expert

Abschnitt9[91]AV-TestSicherheitsreport20182019 httpswwwav-testorgfileadminpdfsecurity_report AV-TEST_Sicherheitsreport_2018-2019pdf[92]httpswwwsrfchnewswirtschaftbedrohliche-cy-ber-angriffe-wenn-der-operationssaal-stillstehtund[93]httpswwwheisedesecuritymeldungBSI-warnt-vor-gezielten-Ransomware-Angriffen-auf-Unter-nehmen-4406590html

11WEITERFUumlHRENDELInKS

43

11weIterfuumlhrende lInks

links und literatur zum thema der eG mitglieder hellip

rsaquo CSPCyberSicherheitPlattformOumlsterreichndash httpswwwdigitalesoesterreichgvatcyber-sicher-heit-plattform)

rsaquo KSOumlCyberSecurityndashhttpskuratorium-sicheres-oester-reichatallgemeincyber-security

rsaquo KSOumlCyber-Risikomatrixndash httpskuratorium-sicheres-oesterreichatwp-contentuploads201502KSO_Cyber_Risikomatrixpdf

rsaquo PlattformIndustrie40EGSecurityampSafetyndash httpsplattformindustrie40atsecurity-safety

rsaquo OumlsterreichischerVerbandfuumlrElektrotechnikGesellschaftfuumlrInformations-uKommunikationstechnikCyberSecurityndashhttpswwwoveatove-gesellschaftengitaktivitaetencyber-security

rsaquo AITAustrianInstituteofTechnologyCenterforDigitalSafetyampSecurityndashhttpswwwaitacatenabout-the-aitcentercenter-for-digital-safety-security

rsaquo SeitezurUumlberpruumlfungobdieeigeneE-Mail-AdresseTeilvonDaten-Leaksistndashhttpshaveibeenpwnedcom

AItAustrianInstituteoftechnology

rsaquo AITCyberRangendashTrainingsampSimulationsplattformhttpswwwaitacatcyberrangehttpscyberrangeat

rsaquo AITSafetyampSecurityCo-Engineering httpswwwaitacatthemendependable-systems- engineering

rsaquo THREATGETndashCyber-Security-Management-SystemfuumlrdenFahrzeugsektorhttpthreatgetcom

rsaquo AECIDndashIntelligenteSicherheitstechnologiezurAnomalie-erkennunginNetzwerkenbasierendaufArtificial Intelligence(AI)httpswwwaitacataecid httpsaecidaitacat

rsaquo AITCyberSecurityLoumlsungs-undTechnologieportfoliohttpswwwaitacatfileadminmcdigital_safety_securi-tydownloadsFactsheet_-_CyberSecurity_depdf

rsaquo BigDataAnalyticsforNetworkTrafficMonitoringandAnalysishttpsbigdamaaitacat

rsaquo AITTechnologienrundumdieQuantenverschluumlsselunghttpswwwaitacatenresearch-fieldsphysical-lay-er-securityoptical-quantum-technologies

rsaquo 5GndashReliableandSecureWirelessTechnologyfor Industry40andAutomotive httpswwwaitacatthemenphysical-layer-security

rsaquo GraphSensendashCross-LedgerCryptocurrencyAnalyticsPlatformhttpsgraphsenseinfohttpswwwaitacatgraphsense

12ORGANISATIONEN ampANSPRECHshyPARTNERINNEN

45

A1TelekomAustriaAG A1CyberRangeMarkusBachlechner markusbachlechnera1at cybersecurityA1at

A1TelekomAustriaAGCyberDefenseCenterA1 SecurityOperationCenter

MarkusBachlechner markusbachlechnera1at cybersecurityA1at

A1Digital SecurityThomas Snor thomassnora1digital

ABAxInformationstechnikGmbH SecurityDI(FH)MichaelBollak michaelbollakabaxat

Andritz AG MetrisndashANDRITZDigitalSolutionsMannClemens clemensmannandritzcom

AustrianInstituteofTechnology(AIT) CyberRangeHelmut Leopold helmutleopoldaitacat

AustrianInstituteofTechnology(AIT)SecurityandCommunication Technologies

Helmut Leopold helmutleopoldaitacat

AUVAndashAllgemeine Unfallversicherungsanstalt

InformationSecurityMarkusPreszlignig markuspressnigauvaat

AxiansICTAustriaGmbH NetworkampCyberSecurityServicesIngMartinEgger cybersecurityaxiansat

Ey CyberSecurityDrazenLukac drazenlukacateycom

FachhochschuleTechnikumWienCompetenceCenterInformationSecurity

Dipl-Ing(FH)MagDIChristianKaufmann christiankaufmanntechnikum-wienat

FHJOANNEUMGesellschaftmbH CyberSecurityLabDipl-IngDrtechnKlausGebeshuber klausgebeshuberfh-joanneumat

FHJOANNEUMGesellschaftmbHInternet-Technologienamp -Anwendungen

FH-ProfMagDrSonjaGoumlgeleMBAMSc sonjagoegelefh-joanneumat

FHOOumlCampusHagenbergDepartmentfuumlrSichere Informationssysteme

FH-ProfDIRobertKolmhofer robertkolmhoferfh-hagenbergat

FHStPoumllten InstitutfuumlrITSicherheitsforschungFH-ProfDipl-IngDrSebastian SchrittwieserBakk sebastianschrittwieserfhstpacat

JKUndashJohannesKeplerUniversitaumltLinz

InstitutfuumlrNetzwerkeundSicherheitUniv-ProfDrReneacuteMayrhofer officeinsjkuat

12orGanIsatIonen amp ansPrechPartnerInnen

12unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person


JoanneumResearch ForschungsgesellschaftmbH

DIGITALndashInstitutfuumlrInformations-undKommunikationstechnologien

DIDrHeinzMayer heinzmayerjoanneumat

KapschBusinessComAG KapschSecuritySolutions securitysolutionskapschnet

Know-CenterGmbH DataSecurityUniv-ProfDipl-IngDrtechnChristianRechberger christianrechbergeriaiktugrazat

PlattformIndustrie40 ExpertInnengruppeSecurityampSafetyNikolinaGrgicMSc nikolinagrgicplattformindustrie40at

SalzburgResearch ForschungsgesellschaftmbH

IntelligentCommunication Technologies

DI(FH)DIPeterDorfinger peterdorfingersalzburgresearchat

SBAResearch IndustrialSecurityServicesyvonnePoulMBA OTsecuritysba-researchorg

SCCHndashSoftwareCompetence CenterHagenberg

SecureSoftwareSystemsDrThomasZiebermayr thomasziebermayrscchat

SchneiderElectricAustriaGesmbH CybersecuritysolutionsDiplIngSvenOrtmann svenortmannsecom

SenseforceGmbH iiot security infosenseforceio

Siemens AG Oumlsterreich Industrial SecurityDipl-IngAdrianPinter adrianpintersiemenscom

T-SystemsAustriaGesmbH CyberSecuritySiegfriedSchauer siegfriedschauert-systemscom

TechnischeUniversitaumltGraz CyberSecurityCampusGraz

Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat cybersecuritytugrazat

TechnischeUniversitaumltGrazInstitutfuumlrAngewandteInformations-verarbeitungundKommunikations-technologie

Univ-ProfDipl-IngDrtechnStefanMangard stefanmangardiaiktugrazat

TechnischeUniversitaumltWienTUumlVAUSTRIASecurityinIndustryndashResearchLab

AoUniv-ProfDrWolfgangKastner wolfgangkastnertuwienacat

unternehmenInstitution(alphabetischsortiert) bereichabteilung verantwortliche Person

47


notizen

13DANK

49

13dank

13an diesem Leitfaden haben die Mitglieder der expertin-nengruppe bdquoSecurity amp Safetyldquo der Plattform industrie 40 oumlsterreich mitgearbeitet

besonderer dank gebuumlhrt dabei dem redaktionsteam (in alphabetischer reihenfolge)

GregorAppeltauerIndustriellenvereinigungMatthiasEckhartSBAResearchChristinaFinkKapschBusinessComAGNikolinaGrgicPlattformIndustrie40OumlsterreichMartinaKrucherT-SySTEMSAustriaGesmbHHelmutLeopoldAITAustrianInstituteofTechnologyAdrianPinterSiemensAGOumlsterreichThomasRiesenecker-CabaForschungs-und BeratungsstelleArbeitswelt(FORBA)AKWienWolfgangSchinaglWKOSteiermarkAMinTjoaSoftwareCompetenceCenterHagenbergPaulTrompischPlattformIndustrie40Oumlsterreich

folgende expertinnen wurden konsultativ eingebunden (in alphabetischer reihenfolge)

FlorianAchleitnerFroniusInternationalGmbHPeterDorfingerSalzburgResearchMarioDrobicsAITAustrianInstituteofTechnologyJohannesEdlerFHOOumlTamerElnahtawyT-SystemsWilfriedEnzenhoferUARLukasGerholdSiemensFranzJantschervoestalpineMichaelLettnerBIZUPBernhardLuegerFHTechnikumWienViktorioMalisaAUVAAllgemeineUnfallversicherungs-anstalt ThomasMannKapschBusinessComAGSiegmundPriglingerpupconsultingIngridSchaumuumlller-BichlFHOOumlThomasSchobervoestalpinePaulSmithAITAustrianInstituteofTechnologyRolandSommerPlattformIndustrie40OumlsterreichWalterWoumllfelFHTechnikumWien


iMPreSSuM

medieninhaber herausgeber und herstellerVereinIndustrie40OumlsterreichndashdiePlattformfuumlrintelligenteProduktionMariahilferStraszlige37ndash391060Wienwwwplattformindustrie40atofficeplattformindustrie40at

ProjektleitungDIHelmutLeopoldAITAustrianInstituteofTechnologyLeiterderExpertInnengruppebdquoSecurityampSafetyldquoNikolinaGrgicMScVereinIndustrie40OumlsterreichDIRolandSommerMBAVereinIndustrie40Oumlsterreich

designconficireg|KreativbuumlrodruckDruckwerkstattfotoquellenSoftwareCompetenceCenterHagenberg(9)AITAustrianInstituteofTechnology(14) KapschBusinessComAG(17)T-SySTEMSAustriaGesmbH(19)Shutterstock

StandJuli2019

haftungsausschlussAlleAngabenwurdensorgfaumlltigrecherchiertFuumlrdieVollstaumlndigkeitundRichtigkeitdesInhaltessowiefuumlrzwischenzeitlicheaumlnderungenuumlbernimmtderHerausgeberkeineGewaumlhr


ORGANISATIONEN amp ANSPRECHPARTNERINNEN ZU CYBER-SECURITY IN OumlSTERREICH

A1 Telekom Austria AG A1 Cyber RangeMarkus Bachlechner markusbachlechnera1at cybersecurityA1at

A1 Telekom Austria AGCyber Defense Center A1 Security Operation Center

Markus Bachlechner markusbachlechnera1at cybersecurityA1at


ABAX Informationstechnik GmbH SecurityDI (FH) Michael Bollak michaelbollakabaxat

Andritz AG Metris ndash ANDRITZ Digital SolutionsMann Clemens clemensmannandritzcom

Austrian Institute of Technology (AIT) Cyber RangeHelmut Leopold helmutleopoldaitacat

Austrian Institute of Technology (AIT)Security and Communication Technologies


AUVA ndash Allgemeine Unfall versicherungsanstalt

Information SecurityMarkus Preszlignig markuspressnigauvaat

Axians ICT Austria GmbH Network amp Cyber Security ServicesIng Martin Egger cybersecurityaxiansat

EY Cyber SecurityDrazen Lukac drazenlukacateycom

Fachhochschule Technikum WienCompetence Center Information Security

Dipl-Ing (FH) Mag DI Christian Kaufmann christiankaufmanntechnikum-wienat

FH JOANNEUM Gesellschaft mbH Cyber Security LabDipl-Ing Dr techn Klaus Gebeshuber klausgebeshuberfh-joanneumat

FH JOANNEUM Gesellschaft mbHInternet-Technologien amp -Anwendungen

FH-Prof Mag Dr Sonja Goumlgele MBA MSc sonjagoegelefh-joanneumat

FH OOuml Campus HagenbergDepartment fuumlr Sichere Informationssysteme

FH-Prof DI Robert Kolmhofer robertkolmhoferfh-hagenbergat

FH St Poumllten Institut fuumlr IT SicherheitsforschungFH-Prof Dipl-Ing Dr Sebastian Schrittwieser Bakk sebastianschrittwieserfhstpacat

JKU ndash Johannes Kepler Universitaumlt Linz

Institut fuumlr Netzwerke und SicherheitUniv-Prof Dr Reneacute Mayrhofer officeinsjkuat

UnternehmenInstitution (alphabetisch sortiert) BereichAbteilung Verantwortliche Person

Im Anhang des Security Leitfadens sind die Serviceleistungen und Ansprechpersonen der Mitglieder der Plattform Industrie 40 zu IT-Security angefuumlhrt Die Namen der Unternehmen und Institutionen sind alphabetisch geordnet und die Angabe der personenbezogenen Daten durch die betroffenen Personen zur Veroumlffentlichung freigegeben

Joanneum Research Forschungs gesellschaft mbH

DIGITAL ndash Institut fuumlr Informations- und Kommunikationstechnologien

DI Dr Heinz Mayer heinzmayerjoanneumat

Kapsch BusinessCom AG Kapsch Security Solutions securitysolutionskapschnet

Know-Center GmbH Data SecurityUniv-Prof Dipl-Ing Dr techn Christian Rechberger christianrechbergeriaiktugrazat

Plattform Industrie 40 ExpertInnengruppe Security amp SafetyNikolina Grgic MSc nikolinagrgicplattformindustrie40at

Salzburg Research Forschungs gesellschaft mbH

Intelligent Communication Technologies

DI (FH) DI Peter Dorfinger peterdorfingersalzburgresearchat

SBA Research Industrial Security ServicesYvonne Poul MBA OTsecuritysba-researchorg

SCCH ndash Software Competence Center Hagenberg

Secure Software SystemsDr Thomas Ziebermayr thomasziebermayrscchat

Schneider Electric Austria GesmbH Cybersecurity solutionsDipl Ing Sven Ortmann svenortmannsecom

Senseforce GmbH iiot security infosenseforceio

Siemens AG Oumlsterreich Industrial SecurityDipl-Ing Adrian Pinter adrianpintersiemenscom

T-Systems Austria GesmbH Cyber SecuritySiegfried Schauer siegfriedschauert-systemscom

Technische Universitaumlt Graz Cyber Security Campus Graz

Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat cybersecuritytugrazat

Technische Universitaumlt GrazInstitut fuumlr Angewandte Informations-verarbeitung und Kommunikations-technologie

Univ-Prof Dipl-Ing Dr techn Stefan Mangard stefanmangardiaiktugrazat

Technische Universitaumlt WienTUumlV AUSTRIA SafeSecLabResearch Lab for Safety amp Security in Industry

Ao Univ-Prof Dr Wolfgang Kastner wolfgangkastnertuwienacat

TUumlV AUSTRIA Group Safe Secure SystemsDipl-Ing Alexandra Markis alexandramarkistuvat


IMPRESSUM

Medieninhaber Herausgeber und HerstellerVerein Industrie 40 Oumlsterreich ndash die Plattform fuumlr intelligente ProduktionMariahilfer Straszlige 37ndash39 1060 Wienwwwplattformindustrie40at officeplattformindustrie40at

Design Conficireg bull Kreativbuumlro

Stand Juli 2020

Haftungsausschluss Alle Angaben wurden sorgfaumlltig recherchiert Fuumlr die Vollstaumlndigkeit und Richtigkeit des Inhaltes sowie fuumlr zwischenzeitliche Aumlnderungen uumlbernimmt der Herausgeber keine Gewaumlhr

3

InhaltsverzeIchnIs

InhaltsverzeIchnIs

vorWort 5

1 einLeitung 6

2 infektion Mit SChadSoftWare uumlber internet und intranet iM ProduktionSbereiCh 8 21 Industrie 40 ndash IT und OT 9 22 Schutz- und Gegenmaszlignahmen 10 23BeispieleinerSchadsoftware 11

3 Mitarbeiterinnen aLS riSikofaktor 12 31Angriffsbeispiele 14 32 Schutz- und Gegenmaszlignahmen 16

4 doS- und ddoS-angriffe 18 41MotivationfuumlrDDoS-Angriffe 19 42 Moumlgliche Schaumlden 19 43 Schutz- und Gegenmaszlignahmen 20 44BeispielevonDDoS-Angriffen 20

5 gefaumlhrdung durCh fernWartung 22 51 Schutz- und Gegenmaszlignahmen 23

6 CLoud SeCurity ndash koMProMittierung von extranet und CLoud-koMPonenten 26 61AbhaumlngigkeitderProduktionvoneinemExtranet-undCloud-Dienst 27 62UnzureichendeMandantentrennunginCloud-Plattformen 29

7 verLetzung deS datenSChutzeS durCh it-SiCherheitSLuumlCken 30 71MeldepflichtbeiDatenschutzverletzungen 31 72Schutz-undGegenmaszlignahmen 31

8 Cyber-SeCurity hotLine 0800 888 133 32 81 Security Hotline 33 82 Ansprechpersonen in den Bundeslaumlndern 34 83KooperationmitstaatlichenStellenundOrganisationenVereinen 34 84Statistik 34

9 anhang 36 91Schadsoftware 37 92Abkuumlrzungen 38 93 Glossar 38

10 Literatur 40

11 Weiterfuumlhrende LinkS 42

12 organiSationen amp anSPreChPartnerinnen 44

13 dank 48

iMPreSSuM 50


5

vorwort









1EINLEITUNG

7

EinlEitung 1










9




















11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



5

vorwort









1EINLEITUNG

7

EinlEitung 1










9




















11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


1EINLEITUNG

7

EinlEitung 1










9




















11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


7

EinlEitung 1










9




















11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



9




















11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020












11












13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



13







20thinsp

40thinsp

60thinsp

80thinsp

100thinsp


kein Problem

kleines Problem

mittleres Problem

groszliges Problem




Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020





Ceo-fraud












15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


15






















17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020












17


notizen


19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



19





















21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020












21





Journalistkrebs


900 Gbits



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



5

23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


23


























IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020











IT-Netz

Perimeter fW

Internet

OT-Netz

Jump hostzB Citrix

remoteManagement

konsole

25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


25


notizen


27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



27






















iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020







iot item

Ca

iot item iot item

Certificate


Pub key



Priv key




1 3

2


4

29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


29










31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



31










riSikoManageMent






8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020



8

33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


33




81 securIty hotlIne

























84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020











84 statIstIk



35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


35


notizen

AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


AnHAnG

9

37

anhanG 9

91 schadsoftware











92 abkuumlrzunGen


93 Glossar














39

9anhanG

























10LITERATUR

41

lIteratur 10











43





















45


















































47


notizen

13DANK

49

13dank







iMPreSSuM




StandJuli2019





















































IMPRESSUM



Stand Juli 2020


Cyber-SeCurity Leitfaden für ProduktionSbetriebe · 2020. 8. 20. · Cyber-Security-Technologien...

Documents

Transcript of Cyber-SeCurity Leitfaden für ProduktionSbetriebe · 2020. 8. 20. · Cyber-Security-Technologien...