Tipps zur Absicherung der Produktion
Veraltete Steuerungssysteme vs. Digitalisierung
Industrielle Steuerungs- und Kontrollsysteme kommen in jeder Produktionsstätte zum Einsatz. Sie werden aufgrund unzureichender Sicherheitsmechanismen für Cyberkriminelle zunehmend attraktiver. Dabei lässt sich mit den nachfolgenden Tipps schon ein gutes Schutz- und Sicherheitslevel erzielen.
Bild: ©PopTika/www.shutterstock.com
Produktionsanlagen, die auf jahrzehntealten Maschinen und Systemen basieren, in vernetzte Infrastrukturen zu integrieren, kann eine echte Herausforderung sein. Als Scada-Systeme vor über 20 Jahren entwickelt wurden, war deren Einsatz für geschlossene Umgebungen vorgesehen. Heute findet aber die Interaktion zwischen Menschen und Maschinen oft über Rechner mit obsoleten Betriebssystemen statt oder über mobile Geräte wie Smartphones, Tablets oder Notebooks.
Bild: STORMSHIELD
Steigende Zahl an Cyberangriffen
Dass immer mehr industrielle Steuerungssysteme mit dem Internet verbunden sind, entspricht den Anforderungen der digitalen Wirtschaft an dynamischen Automatisierungsprozessen. Die oft mittels SPS und Scada-Protokollen gesteuerten Industriekomponenten sind jedoch für Angriffe anfällig." Der Einzug neuer Technologien zur Fernsteuerung und -überwachung erfolgt schneller als die Überwachung neuer Sicherheitslücken", so Uwe Gries, Country Manager DACH bei Stormshield. Die Folge: Cyberangriffe haben die deutsche Industrie zwischen 2017 und 2018 etwa 43 Milliarden Euro gekostet. Sieben von zehn Industrieunternehmen seien laut Bitkom solchen Attacken zum Opfer gefallen, Tendenz steigend. Kein Wunder: Über Online-Tools wie Shodan kann jeder unter mehreren Tausend allein in Deutschland über das Internet erreichbaren Industriesystemen das gewünschte Ziel identifizieren und dediziert attackieren.
Schutz für isolierte Produktionskomponenten
Wenn selbst ein mit dem Internet verbundener Industriekühlschrank der Produktionsstätte zum Verhängnis werden kann, dann nimmt die den Cyberkriminellen gebotene Angriffsfläche ein stark erhöhtes Ausmaß an. "Cyberkriminelle profitieren vom mittlerweile überholten Klischee, dass Produktionskomponenten isoliert seien und daher keinen Schutz benötigen", fügt Gries an. Eine Annahme, die dazu führt, dass Industrieunternehmen nur zögernd Authentifizierungsverfahren einsetzen, Zugriffssteuerung betreiben oder die Filterung der den Produktionssystemen erteilten Befehle vornehmen, bevor sie an die Maschinen gelangen. Erschwerend kommt die Tatsache hinzu, dass häufig Sicherheitslösungen zu sehr unterschiedlichen Zeiten in die Infrastruktur integriert wurden und daher völlig getrennt voneinander agieren. Entsprechend hoch erweist sich der Aufwand für Administratoren, eine halbwegs effiziente Überwachung des IT/OT-Informationsaustausches zu bewerkstelligen. "Gerade das Fehlen einer gezielten Überprüfung der industriellen Kommunikation ermöglicht es, Angreifern, mittels Advanced Persistant Threats IT/OT-Infrastrukturen, nach Schwachstellen zu durchsuchen und anzugreifen", betont Gries. Daher sind Maßnahmen zum Schutz kritischer Infrastrukturen angebracht.
Bild: STORMSHIELDNetzwerksegmentierung, Authentifizierung und Zugriffskontrolle
Fabriknetze werden immer komplexer. Oft sind sie mit der Zeit horizontal gewachsen, ohne Segmentierung und Trennung der kritischen Anlagen, z.B. der Server, die Produktionsdaten mit dem ERP austauschen. Daher ist es empfehlenswert, das Netz in Bereiche zu unterteilen, die entweder gar nicht oder nur teilweise miteinander verknüpft sind. Das schafft Kontrollknoten, die bei der Lokalisierung eines Angriffs hilfreich sein können und es Hackern erschweren, sich horizontal durch das Netzwerk zu bewegen. Der Einsatz von Zugriffsmechanismen erweist sich ebenfalls als sehr nützlich. Wartungstechniker oder Lieferanten greifen heute sowohl vor Ort als auch über das Internet auf Industriesysteme und -ressourcen zu. Mehrfaktorenauthentifizierung sollte hier die Regel sein. Mit Zugriffsmanagement und geeigneten Verfahren zur Identitätsprüfung können Systemadministratoren festlegen, wer zu welchem Zweck auf welche Geräte und Daten zugreifen kann und zeitgerechte Wartungsfenster definieren. Zugriff durch Unbefugte sowie außerhalb der festgelegten Zeiten wird demnach ein Riegel vorgeschoben. Zu guter Letzt sollte der Fernzugang ausschließlich über VPN erfolgen.
Abriegelung der Endpoints
Bei vielen für die Produktion relevanten Industrie-PCs werden weder Antivirus-Updates installiert noch die Betriebssysteme aktualisiert, weil Konfigurationsänderungen möglicherweise die Kompatibilität mit den darauf laufenden Industrieanwendungen gefährdet oder einfach weil ein System-Reboot bei fortlaufender Produktion unerwünscht ist. Folglich sind solche IPCs vielen Bedrohung ausgesetzt - sogar ohne Internet. Es kann, wie im prominenten Fall Stuxnet, selbst der USB-Port oder der Wartungsanschluss auf der Maschine für Angriffe genutzt werden. Bei Rechnern, die im OT-Bereich eingesetzt werden, sollte man deshalb ein Whitelisting der Anwendungen vornehmen und nur die Ausführung der Applikationen zulassen, die explizit freigegeben sind. Ebenfalls empfehlenswert ist, alle Funktionen und Softwarekomponenten zu entfernen, die nicht unmittelbar der Erledigung der vorgesehenen Aufgaben dienen, da sie ein - leicht zu vermeidendes - Sicherheitsrisiko darstellen. Eine tiefgreifende Analyse des Systemverhaltens, die keiner Signatur und keines Updates bedarf, kann zudem den Missbrauch von Schwachstellen der Anwendungen unterbinden.
Bild: Stormshield SASIPS, DPI und IDS
Wenn man das Fabriknetzwerk mit einer IPS-Firewall (Intrusion Prevention System) oder einem DPI-System (Deep Protocol Inspection) ausstattet, können Angriffe proaktiv erkannt und abgewehrt werden. Die Lösungen dürfen allerdings nicht ausschließlich auf Signaturen basieren: Vielmehr müssen sie in der Lage sein, industrielle Protokolle wie Modbus, Profinet oder OPC UA bis auf Ebene 7 zu rekonstruieren. Herkömmliche, nur auf typische IT-Sicherheitsbedrohungen in Unternehmensnetzen spezialisierte Firewalls sind nicht in der Lage, Industrieprotokolle zu verstehen und den darüber fließenden, möglicherweise schädlichen Datenverkehr zu unterbinden. Die Fähigkeit von Industrie-Firewalls selbst Scada-Protokolle tiefgreifend zu analysieren, ermöglicht auch die Abwehr von Zero-Day-Angriffen, für die es noch keine Signatur gibt. Im Allgemeinen gilt es zudem, Attacken so schnell wie möglich zu erkennen und aufzuhalten. Zu diesem Zweck ist es nützlich, Industrie-Firewalls mit IDS-Funktion (Intrusion Detection System) einzusetzen, die kritische Segmente im Netzwerk ständig überwachen.
Notfallplan
Ein Notfallplan ist in jedem Fall unerlässlich. Er muss Verantwortlichkeiten, Meldewege und Eskalationsstufen festlegen, um für einen Angriff gerüstet zu sein. Sollte für ein internes Notfallteam nicht genügend Personal zur Verfügung stehen, empfiehlt es sich, auf externe Dienstleister zurückzugreifen.
Industrielle Steuerungs- und Kontrollsysteme kommen in jeder Produktionsstätte zum Einsatz. Sie werden aufgrund unzureichender Sicherheitsmechanismen für Cyberkriminelle zunehmend attraktiver. Dabei lässt sich mit den nachfolgenden Tipps schon ein gutes Schutz- und Sicherheitslevel erzielen.
Bild: ©PopTika/www.shutterstock.com
Produktionsanlagen, die auf jahrzehntealten Maschinen und Systemen basieren, in vernetzte Infrastrukturen zu integrieren, kann eine echte Herausforderung sein. Als Scada-Systeme vor über 20 Jahren entwickelt wurden, war deren Einsatz für geschlossene Umgebungen vorgesehen. Heute findet aber die Interaktion zwischen Menschen und Maschinen oft über Rechner mit obsoleten Betriebssystemen statt oder über mobile Geräte wie Smartphones, Tablets oder Notebooks.Bild: STORMSHIELD
Steigende Zahl an Cyberangriffen
Dass immer mehr industrielle Steuerungssysteme mit dem Internet verbunden sind, entspricht den Anforderungen der digitalen Wirtschaft an dynamischen Automatisierungsprozessen. Die oft mittels SPS und Scada-Protokollen gesteuerten Industriekomponenten sind jedoch für Angriffe anfällig." Der Einzug neuer Technologien zur Fernsteuerung und -überwachung erfolgt schneller als die Überwachung neuer Sicherheitslücken", so Uwe Gries, Country Manager DACH bei Stormshield. Die Folge: Cyberangriffe haben die deutsche Industrie zwischen 2017 und 2018 etwa 43 Milliarden Euro gekostet. Sieben von zehn Industrieunternehmen seien laut Bitkom solchen Attacken zum Opfer gefallen, Tendenz steigend. Kein Wunder: Über Online-Tools wie Shodan kann jeder unter mehreren Tausend allein in Deutschland über das Internet erreichbaren Industriesystemen das gewünschte Ziel identifizieren und dediziert attackieren.
Schutz für isolierte Produktionskomponenten
Wenn selbst ein mit dem Internet verbundener Industriekühlschrank der Produktionsstätte zum Verhängnis werden kann, dann nimmt die den Cyberkriminellen gebotene Angriffsfläche ein stark erhöhtes Ausmaß an. "Cyberkriminelle profitieren vom mittlerweile überholten Klischee, dass Produktionskomponenten isoliert seien und daher keinen Schutz benötigen", fügt Gries an. Eine Annahme, die dazu führt, dass Industrieunternehmen nur zögernd Authentifizierungsverfahren einsetzen, Zugriffssteuerung betreiben oder die Filterung der den Produktionssystemen erteilten Befehle vornehmen, bevor sie an die Maschinen gelangen. Erschwerend kommt die Tatsache hinzu, dass häufig Sicherheitslösungen zu sehr unterschiedlichen Zeiten in die Infrastruktur integriert wurden und daher völlig getrennt voneinander agieren. Entsprechend hoch erweist sich der Aufwand für Administratoren, eine halbwegs effiziente Überwachung des IT/OT-Informationsaustausches zu bewerkstelligen. "Gerade das Fehlen einer gezielten Überprüfung der industriellen Kommunikation ermöglicht es, Angreifern, mittels Advanced Persistant Threats IT/OT-Infrastrukturen, nach Schwachstellen zu durchsuchen und anzugreifen", betont Gries. Daher sind Maßnahmen zum Schutz kritischer Infrastrukturen angebracht.
Bild: STORMSHIELDNetzwerksegmentierung, Authentifizierung und Zugriffskontrolle
Fabriknetze werden immer komplexer. Oft sind sie mit der Zeit horizontal gewachsen, ohne Segmentierung und Trennung der kritischen Anlagen, z.B. der Server, die Produktionsdaten mit dem ERP austauschen. Daher ist es empfehlenswert, das Netz in Bereiche zu unterteilen, die entweder gar nicht oder nur teilweise miteinander verknüpft sind. Das schafft Kontrollknoten, die bei der Lokalisierung eines Angriffs hilfreich sein können und es Hackern erschweren, sich horizontal durch das Netzwerk zu bewegen. Der Einsatz von Zugriffsmechanismen erweist sich ebenfalls als sehr nützlich. Wartungstechniker oder Lieferanten greifen heute sowohl vor Ort als auch über das Internet auf Industriesysteme und -ressourcen zu. Mehrfaktorenauthentifizierung sollte hier die Regel sein. Mit Zugriffsmanagement und geeigneten Verfahren zur Identitätsprüfung können Systemadministratoren festlegen, wer zu welchem Zweck auf welche Geräte und Daten zugreifen kann und zeitgerechte Wartungsfenster definieren. Zugriff durch Unbefugte sowie außerhalb der festgelegten Zeiten wird demnach ein Riegel vorgeschoben. Zu guter Letzt sollte der Fernzugang ausschließlich über VPN erfolgen.
Abriegelung der Endpoints
Bei vielen für die Produktion relevanten Industrie-PCs werden weder Antivirus-Updates installiert noch die Betriebssysteme aktualisiert, weil Konfigurationsänderungen möglicherweise die Kompatibilität mit den darauf laufenden Industrieanwendungen gefährdet oder einfach weil ein System-Reboot bei fortlaufender Produktion unerwünscht ist. Folglich sind solche IPCs vielen Bedrohung ausgesetzt - sogar ohne Internet. Es kann, wie im prominenten Fall Stuxnet, selbst der USB-Port oder der Wartungsanschluss auf der Maschine für Angriffe genutzt werden. Bei Rechnern, die im OT-Bereich eingesetzt werden, sollte man deshalb ein Whitelisting der Anwendungen vornehmen und nur die Ausführung der Applikationen zulassen, die explizit freigegeben sind. Ebenfalls empfehlenswert ist, alle Funktionen und Softwarekomponenten zu entfernen, die nicht unmittelbar der Erledigung der vorgesehenen Aufgaben dienen, da sie ein - leicht zu vermeidendes - Sicherheitsrisiko darstellen. Eine tiefgreifende Analyse des Systemverhaltens, die keiner Signatur und keines Updates bedarf, kann zudem den Missbrauch von Schwachstellen der Anwendungen unterbinden.
Bild: Stormshield SASIPS, DPI und IDS
Wenn man das Fabriknetzwerk mit einer IPS-Firewall (Intrusion Prevention System) oder einem DPI-System (Deep Protocol Inspection) ausstattet, können Angriffe proaktiv erkannt und abgewehrt werden. Die Lösungen dürfen allerdings nicht ausschließlich auf Signaturen basieren: Vielmehr müssen sie in der Lage sein, industrielle Protokolle wie Modbus, Profinet oder OPC UA bis auf Ebene 7 zu rekonstruieren. Herkömmliche, nur auf typische IT-Sicherheitsbedrohungen in Unternehmensnetzen spezialisierte Firewalls sind nicht in der Lage, Industrieprotokolle zu verstehen und den darüber fließenden, möglicherweise schädlichen Datenverkehr zu unterbinden. Die Fähigkeit von Industrie-Firewalls selbst Scada-Protokolle tiefgreifend zu analysieren, ermöglicht auch die Abwehr von Zero-Day-Angriffen, für die es noch keine Signatur gibt. Im Allgemeinen gilt es zudem, Attacken so schnell wie möglich zu erkennen und aufzuhalten. Zu diesem Zweck ist es nützlich, Industrie-Firewalls mit IDS-Funktion (Intrusion Detection System) einzusetzen, die kritische Segmente im Netzwerk ständig überwachen.
Notfallplan
Ein Notfallplan ist in jedem Fall unerlässlich. Er muss Verantwortlichkeiten, Meldewege und Eskalationsstufen festlegen, um für einen Angriff gerüstet zu sein. Sollte für ein internes Notfallteam nicht genügend Personal zur Verfügung stehen, empfiehlt es sich, auf externe Dienstleister zurückzugreifen.
STORMSHIELD
Dieser Artikel erschien in INDUSTRIAL COMMUNICATION JOURNAL 3 2019 - 11.09.19.Für weitere Artikel besuchen Sie www.sps-magazin.de
