Anzeige

Komplettpaket für sichere Automatisierungs- und Visualisierungslösungen

Scada meets Security

IIoT-Lösungen bieten große Vorteile und entsprechende Produktlösungen sind bereits in fast allen Bereichen vom Sensor bzw. Aktor bis zur Steuerung mit webbasierter Visualisierung zu finden. Dabei muss der Cybersecurity als zentralem Punkt ein hoher Stellenwert zukommen. Das wird jedoch gern verdrängt und vernachlässigt. Dem entgegen positioniert sich jetzt eine neue Komplettlösung für ein cybersicheres Scada-System.

Bild: PcVue GmbHBild: PcVue GmbH
Bedrohungen für Scada-Systemlösungen

Persönliche Erfahrungen mit Virenscannern und Firewall-Einstellungen am privaten PC werfen oft ein getrübtes Licht auf den Themenkomplex Cybersecurity. Viele Anwender befürchten komplexe Konfigurationsarbeiten die nur noch von Experten erledigt werden können. Mit dem Resultat, dass Systeme langsamer und störungsanfälliger werden. Am Ende, so scheint es, werden die Automatisierungssysteme zwar sicherer, aber auch deutlich teurer und kaum noch zu administrieren. Dabei sind sich die meisten Anwender sehr bewusst, welche Gefahren drohen und welche immensen Schäden durch Angriffe aus dem Internet oder durch Unvorsichtigkeit entstehen können, z.B. die Verwendung von kompromittierten Speichermedien.

Bild: PcVue GmbHBild: PcVue GmbH
Systemlösung für ein sicheres Scada-System

Komplettlösung für cybersichere Scada

Genau in diesem Punkt setzt die Komplettlösung von PcVue Solutions und Kaspersky Lab an. Sie richtet sich an Anwender, die eine verständliche und administrierbare Automatisierungslösung - sicher gegen Bedrohungen aus dem Netz - aufbauen möchten. Die beiden Firmen haben im Rahmen einer Kooperation eine Gesamtlösung entwickelt, die aus Scada-System, Rechnerhardware und einem sicheren Betriebssystem besteht. Diese Komplettlösung ist aufeinander abgestimmt und kann direkt eingesetzt werden. Unternehmen, die nach ISO270001 zertifiziert sind, gelten als informationssicher. Die hier vorgestellte Lösung unterstützt den Zertifizierungsprozess. Kaspersky Lab bietet über diese Lösung hinaus ein umfassendes Produktprogramm an, mit dem alle Teile eines industriellen Prozesses geschützt werden können.

Betriebssystem und Software

Die Hauptbestandteile der Komplettlösung sind die unter Windows laufende Scada- und Automatisierungssoftware PcVue und das darum liegende hermetisch geschlossene Betriebssystem KasperskyOS. Alles vorinstalliert und als Bundle geschnürt auf einem Advantech-Server oder PC. Die Software läuft dabei auf einer virtualisierten Windows-Instanz, ummantelt von der geschützten Betriebssystemumgebung. Es ist möglich weitere Windows-Anwendungen parallel in dieser geschützten Umgebung zu installieren und auszuführen. KasperskyOS ist dabei der Datenwächter, der jedes Datenpaket von der Scada-Software zur Feldebene und zurück 'on the fly' analysiert und überwacht. Das System wird unter dem Handelsnamen PcVue Secure vermarktet.

Bild: PCVue GmbHBild: PCVue GmbH

Gefahren aus dem Internet

Die Gefahren für ein Scada-System sind vielfältig: Infizierte USB-Sticks, unsichere Wireless-Lösungen, infizierte Laptops und SPS-Logik, unsichere Internetverbindungen oder Remote Support. Die Auswirkungen sind dementsprechend groß: Änderungen der Prozessleitsysteme, Änderungen der Betriebsparameter, Änderungen der Messwerte, Überschreiben von Sollwerten und mögliche Stoppbefehle. KasperskyOS ist dabei nur ein Bestandteil der umfangreichen Systemlösung zur Absicherung von industriellen Prozessen die unter dem Namen KICS (Kaspersky Industrial CyberSecurity) zusammengeführt werden. Schließlich besteht ein industrieller Prozess über das Scada-System hinaus aus vielen weiteren Komponenten. KICS verfolgt im Hinblick auf die industrielle Cybersicherheit einen ganzheitlichen Ansatz. Das Gesamtprogramm umfasst Technik und Services für einen umfassenden Schutz für jede einzelne Ebene von Industriesystemen, darunter auch für Scada-Server, HMI-Paneele, Engineering-Workstations, SPSen, Netzwerkverbindungen und Mitarbeiter.

Bild: PCVue GmbHBild: PCVue GmbH

Über die Scada-Grenzen hinaus schützen

Bei der beschriebenen Lösung kommt eine Kombination konventioneller Sicherheitskonzepte zum Einsatz, etwa Malware-Schutz, Whitelisting und Vulnerability Management. Dazu zählt aber auch die Gerätezugriffskontrolle, mit der sich Verbindungen zu Wechseldatenträgern oder Peripheriegeräten verwalten lassen. Die kombinierte Scada-Sicherheitslösung erkennt z.B. auch, wenn ein Mitarbeiter einen USB-Stick im Netzwerk verwendet. Die konventionellen Funktionen sind um Eigenschaften erweitert, die speziell für industrielle Umgebungen konzipiert wurden, wie die Integritätskontrolle oder das semantische Monitoring von Prozesskontrollbefehlen. Kaspersky Industrial CyberSecurity bietet außerdem einen speziellen Überwachungsmodus, der für die Entdeckung von Cyberangriffen, Betriebsfehlern von Mitarbeitern und Anomalien innerhalb des Industrienetzwerks entwickelt wurde.

Industrienetze über Internet zugänglich

Trotz des wachsenden Bewusstseins für cyberbasierte Angriffe auf industrielle Steuerungssysteme bleiben viele Modelle zur IT-Sicherheit bei der veralteten Ansicht, dass physisch isolierende Systeme durch Luftschleusen, so genannte Air Gaps, und 'Security by Obscurity' ausreichen. Das ist nicht der Fall: Im Zeitalter von Industry 4.0 sind die meisten nicht kritischen Industrienetzwerke über das Internet zugänglich, ob gewollt oder nicht. Eine umfangreiche Studie von Kaspersky Lab zeigt, dass viele in Industrieanlagen eingesetzte PCs mit derselben Malware infiziert sind, die auch Unternehmenssysteme (IT) befallen. Darunter bekannte Trojaner, Viren oder Würmer sowie andere Exploits, die es auf Schwachstellen im Windows-Betriebssystem abgesehen haben. Eine weitere Bedrohung für industrielle Netze mit Aufwärtstrend ist Ransomware. Zwischen 2015 und 2016 haben sich die Anzahl und der Umfang der entwickelten Ransomware drastisch erhöht. Diese neu aufkommende Schadsoftware hat große Auswirkungen auf die Industriebranche, da derartige Infektionen zu schwerwiegenden Systemschäden führen können. Für Angriffe auf industrielle Systeme entwickelte Ransomware enthält oft besondere Funktionen - statt Dateien zu verschlüsseln, besteht das Ziel dieser Malware oft darin, die betrieblichen Abläufe zu stören oder den Zugriff auf eine wichtige Ressource zu blockieren.

Verbreitete Visualisierung

Die Software PcVue ist das eigentliche Herzstück der Security/Scada-Lösung und mit mehr als 65.000 Installationen weltweit durchaus verbreitet. Neben der Visualisierung steht ein ausgeklügeltes Überwachungs- und Alarmierungssystem zur Verfügung. Die Anbindung an die SPSen und die Feldebene erfolgt über eine Vielzahl von Treibern die PcVue implementiert sind. Neben Industrieprotokollen stehen weitere IoT-Protokolle wie OPC UA und MQTT zur Verfügung. Zu gängigen Standards der Gebäudeleittechnik wie BACnet, KNX oder LonWorks verfügt das System ebenfalls über Treiber. PcVue bietet dabei alle gewünschten Möglichkeiten eines modernen Visualisierungssystems. Hier sind auch die vielen Standardfunktionen zur Dynamisierung von Visualisierungsobjekten ganz ohne Scripting zu nennen. Aufgrund des objektorientierten Ansatzes ist eine Projektierung schnell, einfach und sicher umzusetzen.

PCVue GmbH

Dieser Artikel erschien in INDUSTRIAL COMMUNICATION JOURNAL 1 2019 - 06.03.19.
Für weitere Artikel besuchen Sie www.sps-magazin.de