09.07.2015

IT-Security in der industriellen Praxis

Schritt für Schritt auf den Berg

Im Rahmen der Veranstaltung Automatiserungstechnik-Dialog 2015 der Firma Blumenbecker griff Dr. Thomas Störtkuhl, Teamleiter Industrial IT-Security und Embedded Systems bei TÜV Süd, das Thema Sicherheit in den IT-Strukturen produzierender Unternehmen auf. Aus seinem Erfahrungsschatz schilderte er, woran es bei vielen Firmen mangelt und gab Tipps, wie dieses äußerst komplexe Thema angegangen werden kann.


Bild 1: Ganzheitlicher Ansatz für Industrial IT Security
Bild: TÜV Süd Rail GmbH

Nichts ist so einfach wie die Definition der Ziele, die hinter der Implementierung einer IT-Sicherheitsstruktur in einem produzierenden Unternehmen stehen: Die Anlage soll möglichst zu 100% verfügbar sein, die Produkte, die am Ende der Fertigungskette stehen, sollen eine hohe Qualität besitzen, es darf kein Schaden für Mensch und Umwelt auftreten und die Ausfallsicherheit und Zuverlässigkeit der Lieferanten sollte - in Zeiten von 'Just in time'- bzw. 'Just in sequence'-Produktion - ebenfalls gewährleistet sein. Die meisten IT-Infrastrukturen sind, laut Störtkuhl, auf der Fertigungsebene in einer Zellstruktur aufgebaut, wo jede mit Robotik, HMIs und Steuerungen ausgestattete Zelle einen bestimmten Produktionsschritt übernimmt. Diese mehr oder weniger vorhandenen Zellen innerhalb einer Fertigungsumgebung sind mit der Office-IT verbunden, wo dann beispielsweise das ERP-System angesiedelt ist, über welches die Zulieferer-Logistik gesteuert wird. Aber durch die zunehmende Vernetzung entstehen auch neue Anforderungen an die Sicherheitsstruktur.

Bedrohungspotenzial

Die Häufigkeit der Angriffe auf Produktionsinfrastrukturen hat in den vergangenen Jahren enorm zugenommen. Eines der wohl bekanntesten und auch in den Medien sehr präsenten Beispiele war der Computer-Wurm Stuxnet, der im Jahre 2010 in der Leittechnik einer iranischen Urananreicherungsanlage für massive Störungen sorgte. Zwei Jahre später wurde der saudi-arabische Energiekonzern Aramco von einer Malware heimgesucht. Als eines der jüngsten Opfer - wenn auch aus dem nicht-industriellen Bereich - dürfte vielen noch der französische Fernsehsender TV5 Monde in Erinnerung sein, dessen Betrieb mittels Cyber-Attacke am 9. April diesen Jahres komplett lahmgelegt wurde. Das vorläufig letzte Ereignis auf diesem Gebiet ist das Ausspähen des Datennetzes des deutschen Bundestages, dessen Tragweite und Konsequenzen zum jetzigen Zeitpunkt noch gar nicht absehbar sind. Als weiteres Beispiel aus der Industrie nennt Störtkuhl den Hacker-Angriff auf die Hochofensteuerung eines Stahlherstellers. Hier sollte der Hochofen eigentlich planmäßig heruntergefahren werden. Ein in die Steuerungssoftware eingeschleuste Schadsoftware verhinderte dies jedoch, so dass der Hochofen beschädigt wurde. Neben Schadprogrammen wie Viren, Trojanern oder Computerwürmern sind es vor allem gezielte Angriffe auf Steuerungsanlagen, Spionageaktivitäten oder auch Sicherheitsprobleme bei Zulieferern, die produzierenden Unternehmen zunehmend zu schaffen machen. Die Unternehmen sind solchen Angriffen nicht wehrlos ausgeliefert, lautete die klare Botschaft von Thomas Störtkuhl. Sie müssten sich allerdings intensiv mit dem neuen Bedrohungspotenzial befassen, das konkrete Risiko für ihre Produktionssysteme analysieren und - in einem ganzheitlichen Ansatz - entsprechende Schutzmaßnahmen entwickeln. Um ermitteln zu können, wie sich industrielle IT-Systeme im Falle eines Angriffs von außen verhalten, hat TÜV Süd ein Penetration Test Laboratory Setup geschaffen. Mit dem Aufbau dieser Gefahreninfrastruktur können Angriffe auf SPS, Engineering Stations, Scada-Systeme oder Server mit historischen Datenbanken durchgeführt werden. Probate Mittel, um die Belastungsfähigkeit einer IT-Infrastruktur zu testen, seien die Schaffung extrem hoher Datenlasten oder das Attackieren einer Steuerung mit sog. Malformed Packets, also abnormalen, fehlerhaften und manipulierten IP-Paketen, so Störtkuhl. Allerdings werde meist nur die Verfügbarkeit in den Produktionsanlagen betrachtet, erklärt der Experte. Dabei stellen Manipulationsdaten etwa von Konfigurationen ebenfalls eine große Bedrohung dar, denn hier werden Parameter zum Beispiel für die Fertigung gesetzt. Werden diese geändert, so können Produkte nicht mehr korrekt produziert werden. Schwer entdeckbare Fehler sind dabei das größte Problem, wenn zum Beispiel Produkte mit Qualitätsmängeln ausgeliefert werden und dann zurückgerufen werden müssen.

Weit verbreitete Schwachstellen

Erfahrungsgemäß ist das Bewusstsein für den Schutz von Mensch, Umwelt und Maschine - also der klassische Safety-Bereich - in vielen Unternehmen bereits stark ausgeprägt. Ganz anders verhält es sich, laut Thomas Störtkuhl, beim Thema IT-Sicherheit. Zum einen sei dies dadurch begründet, dass die Gefahren für produzierende Unternehmen durch Cyber-Attacken erst in jüngster Zeit durch die zunehmende Vernetzung entstanden und daher für die meisten Verantwortlichen noch relativ neu sind. Zum anderen sei die Implementierung einer effektiven IT-Sicherheitsstruktur in einer bestehenden Produktionsumgebung meist nur mit erheblichem Aufwand möglich. Um so wichtiger ist es nach Aussage von Störkuhl, den ersten Schritt für mehr IT-Sicherheit zu tun und das Vorgehen genau zu planen. "Häufig kommen wir in Produktionsstraßen und fragen zunächst: Kennt ihr alle PCs, Laptops, Server, Engineering Workstations oder USB-Sticks, die in dieser Anlage verwendet werden und wisst ihr, wie diese miteinander kommunizieren? Habt ihr einen Netzwerkplan?" Vielfach müssten die Beteiligten hier schon passen. Im Rahmen eines wirksamen Asset-Managements seien diese Kenntnisse allerdings unerlässlich. Ein weiteres Einfallstor für Hacker sind mangelnde Vorkehrungen bei der Authentifizierung für sicherheitsrelevante Komponenten. Nicht selten verwendeten Anwender noch die von den Komponentenherstellern festgelegten Default-Passwörter. Nachteil: Diese sind allgemein bekannt, was etwa eine SPS unter Umständen leicht angreifbar macht. Auch sollte man die Verwendung von 'schwachen' Passwörtern tunlichst vermeiden. Eine zu stark ausgeprägte Abhängigkeit von Zulieferern könne ebenfalls fatale Folgen haben. Dazu Störtkuhl: "Wir hatten einmal einen Fall, wo ein Server bei einem Anlagenbetreiber von einem externen Zulieferer gewartet wurde. Um das Root-Passwort dieses Servers - immerhin das Herz der Anlage - zu ändern, musste sich der Anlagenbetreiber an den Zulieferer wenden." Die Verantwortung für solche zentralen Sicherheitsaspekte sollte der Betreiber, laut Störtkuhl, im Rahmen eines umfassenden IT-Security-Ansatzes selbst übernehmen und sich nicht auf einen Zulieferer und seine Sicherheitsstrukturen verlassen. Bedenken sollten auch aufkommen, wenn ein externer Service-Provider beispielsweise Wartungsarbeiten mit einer Engineering Workstation durchführe, die auch bei anderen Kunden zum Einsatz kommt. Auf diese Weise könnte beispielsweise Malware eingeschleust werden. Für solche Arbeiten sind nach Aussage des TÜV Süd-Experten Geräte notwendig, die unter der Kontrolle des eigenen Unternehmens stehen. Ähnlich sieht es beim Thema Remote Access auf Produktionsanlagen aus, bei denen Zulieferer oft eine große Mitsprache bei Ausgestaltung und Zugriffsmöglichkeiten haben. Ein virulentes Problem, das man nicht nur technisch, sondern auch organisatorisch lösen muss, ist die Verwendung von mobilen USB-Geräten wie etwa Sticks oder externe Festplatten. Die Einführung eines Secutrity Monitoring ist, laut Thomas Störkuhl, die Voraussetzung dafür, dass Unternehmen solche Sicherheitsrisiken überhaupt wahrnehmen können. Der TÜV Süd-Experte benennt drei Phasen bei der Implementiereung: In der präventiven Phase werden Maßnahmen ergriffen, um einen Angriff von vornherein zu vermeiden. Bei der Detektion gilt es herauszufinden, ob man Ziel einer Cyber-Attacke ist. In der reaktiven Phase müssen Vorgehensweisen definiert werden, um nach einem Angriff die Gefahren möglichst rasch zu bannen (sog. Incident Handling). Vielfach ist ein Notfallkonzept für eine Störung während des laufenden Betriebs bereits vorhanden. "Security bedeutet aber nicht nur das Sicherstellen von Verfügbarkeit", betont Störtkuhl. Zugleich müsse etwa die Manipulation eines Produktionssystems verhindert oder die Vertraulichkeit von existenziell wichtigem Firmen-Know-How sichergestellt werden.

Ansätze für ein wirkungsvolles Vorgehen

"Angesichts der Komplexität des Themas IT-Security stehen die Betroffenen häufig vor einem riesigen Berg, bei dem sie nicht wissen, wie sie ihn besteigen sollen.", skizziert Thomas Störtkuhl die Lage vieler IT-Verantwortlicher. "Aber wie bei einer Bergbesteigung muss man auch hier den ersten Schritt machen - und dann Schritt für Schritt auf der geplanten Route weitergehen." Erschwerend komme nach Aussage des TÜV Süd-Experten hinzu, dass IT-Sicherheit zunächst nur als Kostenfaktor wahrgenommen werde - ähnlich einer Versicherung, bei der man immer nur bezahlt, und deren Sinn sich erst richtig erschließe, wenn der Schadensfall eintrete. Um den Hebel wirksam anzusetzen, empfiehlt Störtkuhl einen ganzheitlichen Ansatz. Im ersten Schritt sollten die Verantwortlichen ein Layer-Schema ihrer Infrastruktur entwerfen. Dabei zu berücksichtigen seien das Steuerungs- und Automatisierungssystem, die spezifischen Applikationen, die Integration von Services, Infrastruktur und Datenverarbeitung sowie der Control Level, also etwa die vorhandenen SPS, Aktoren und Sensoren sowie Technik, Betriebsprozesse und Schnittstellen innerhalb des Layer-Systems. Im nächsten Schritt sollte eine Analyse des Ist-Zustandes mit Hilfe einer Risiko- oder GAP (Lücken)-Analyse erfolgen. Entscheidende Fragen hierbei sind: Welche Komponenten sind im Einsatz, und welche Elemente sind - nach den Erkenntnissen aus Penetrationstests - anfällig für Sicherheitslücken? Welche Sicherheitsmaßnahmen sind bereits umgesetzt? Wie sind das Risiko sowie die potenzielle Häufigkeit eines Malware-Befalls zu beurteilen? Wie hoch müssen die möglichen Schäden beziffert werden? Eine gute Arbeitsgrundlage für eine tragfähige Analyse ist, laut Störtkuhl, die internationale Norm IEC62443. Sie liefere die notwendige Terminologie, die Konzeption für ein Security Management System, entsprechende Technologien sowie Empfehlungen für die Entwicklung von Komponenten unter Berücksichtigung der Security-Anforderungen. Die IEC62443 geht nach einem risikobasierten Ansatz, d.h. nicht nach dem Gießkannenprinzip vor. Sie analysiert klar, wo Brennpunkte vorhanden sind und wie wirksam Gegenmaßnahmen getroffen werden können. Die Norm orientiert sich an Prozessen, was wichtig für die Nachhaltigkeit der getroffenen Maßnahmen ist. Ein Katalog von Anforderungen ist bereits vorhanden. Zudem kann dieser internationale Standard mit anderen Standards (etwa der ISO/IEC27001) kombiniert werden. Um eine Sicherheitsinfrastruktur wirksam zu implementieren, ist nach Aussage von Dr. Störtkuhl zu Beginn eines solchen Prozesses eine IT Security Policy im Unternehmen festzulegen und eine wirksame Security-Organisation mit einem verantwortlichen Chef zu installieren. Unabdingbar für den Erfolg sei die Rückendeckung durch das Firmenmanagement. So schnell wie möglich sollten zudem regelmäßige Sicherheits-Audits ins Leben gerufen und die Maßnahmen definiert werden, die bei Vorfällen und Krisen zu ergreifen seien. In der Regel konzentrieren sich die Unternehmen beim Thema IT-Security zunächst auf die im Einsatz befindlichen Technologien. Dies greift nach Aussage von Thomas Störtkuhl jedoch zu kurz, da immer das Beziehungsgeflecht zwischen Technik, Menschen und Prozessen betrachtet werden muss: "Wenn ich zum Beispiel eine Technologie zur Verschlüsselung des Netzwerks implementiert habe, und dieser Schutz durch einen Change falsch konfiguriert wird, nutzt die Schutzmaßnahme nichts mehr." Zudem sei es für die Gefahrenabwehr wichtig, neben dem eigentlichen Fertigungsprozess die Prozesse im Blick zu haben. Störtkuhl empfiehlt für die Umsetzung von Sicherheitsmaßnahmen eine Roadmap von Projekten, die Schritt für Schritt abzuarbeiten ist. Von großer Bedeutung seien dabei sog. 'Quick Wins' - also rasche Erfolge -, die jedem Mitarbeiter die Sinnfälligkeit von IT-Sicherheitsmaßnahmen vor Augen führten.

Empfehlungen der Redaktion

Frühzeitige Kommunikation zwischen Maschinenbauer und Anwender

Zum Abschluss gab Thomas Störtkuhl noch einen Einblick in seine Beratungspraxis. "Wir stellen immer wieder fest, dass mit der Installation einer Anlage auch Applikationen bereit gestellt werden, bei deren Entwicklungsprozess ein Security Testing gar nicht oder nicht in ausreichender Form stattgefunden hat." Natürlich wüssten Maschinenbauer um die neuesten technologischen Entwicklungen auf dem Gebiet der IT-Sicherheit und könnten diese beim Design einer neuen Anlage mit berücksichtigen. Allerdings seien dafür dezidierte Kenntnisse der jeweiligen Applikation nötig, damit solche Sicherheitsvorkehrungen gezielt ausgelegt und damit auch greifen könnten. Daher müsse der Betreiber einer Anlage seine Anforderungen gegenüber dem Maschinenbauer klar definieren, damit Schwachstellen in der Entwicklung möglichst ausgeschlossen würden und ein Security Testing erfolgreich verlaufen könne. In die Realisierung von größeren Anlagen seien zudem meist mehrere Maschinenbauer involviert, was die Herausforderung zusätzlich vergrößere. Fände hier eine frühzeitige Kommunikation zwischen Maschinenbauer und Anlagenbetreiber statt, so der Mann von TÜV Süd, würden viele Sicherheitslücken in der IT erst gar nicht entstehen.

Fazit

Die Installation einer wirksamen IT-Sicherheitsinfrastruktur in einem Produktionsbetrieb mag in den meisten Fällen einer Herkulesaufgabe gleich kommen, sie ist aber ebenso oft ohne Alternative. Wichtig ist vor allem eine strategische Herangehensweise. Dabei sollten Firmen einen ganzheitlichen Ansatz auf Basis bereits etablierter Normen wie der IEC62443 wählen. Grundvoraussetzung ist die Schaffung eines Bewusstseins für die Notwendigkeit einer IT-Sicherheitsinfrastruktur bei allen Mitarbeitern und darüber hinaus bei den möglichen Zulieferern. Denn nur so kann diese wirksam umgesetzt werden. Ferner sollte darüber nachgedacht werden, auf die Expertise von externen Dienstleistern wie TÜV Süd zurückzugreifen, die Spezialisten auf diesem Gebiet sind und zudem einen unvoreingenommenen Blick auf ein Unternehmen haben. Die jüngsten Ereignisse haben jedenfalls eindrücklich demonstriert, dass eine Vernachlässigung des Themas IT-Security die Grundfesten einer Existenz erschüttern kann - auch die eines produzierenden Unternehmens. (jwz)

Anzeige