Im Jahre 2010 attackierte der Computerwurm Stuxnet die Siemens-Steuerungssysteme vom Typ \’Simatic S7\’. Es folgten weitere Angriffe wie beispielsweise mit dem Trojaner Duqu, einer Stuxnet-Mutation, die seinen Weg in Industrieanlagen über vernetzte Office-Rechner fand, oder mit der Malware Nitro. Letztere hatte es auf das Ausspionieren von Geschäftsgeheimnissen in der chemischen Industrie abgesehen. Mit diesen Attacken wurde deutlich: Das Risiko für Industrieanlagen, durch Computerschadcode manipuliert zu werden, ist gewachsen. Eine wichtige Frage ist, weshalb diese Anlagen getroffen werden konnten. Die Gründe hierfür sind vielfältig. Im industriellen Umfeld herrschen andere Anforderungen an die Systemsicherheit als in der Bürowelt. Kaum ein Unternehmensbereich mit IT-Unterstützung ist für gewöhnlich schlechter geschützt als ein Schweißroboter im Automobilbau oder ein Hochregal eines Maschinenbauers. Hinzu kommt die für die Fertigung typische Situation mit Laufzeiten von bis zu 20 Jahren. Das gilt entsprechend auch für den vorgeschalteten Steuerrechner. Das größte Hindernis für eine adäquate Sicherheit nach Vorbild eines Rechenzentrums ist die zwingend benötigte hohe Verfügbarkeit der Anlagen. Hier genießt nicht die Vertraulichkeit der Daten oder die Integrität von Informationen höchste Priorität, sondern der unterbrechungsfreie Betrieb der Produktionsanlagen. Jede größere Einschränkung der Verfügbarkeit, sei es durch Störfälle oder Wartungsarbeiten, verursacht typischerweise Kosten im sechsstelligen Bereich. In der Folge sind auch Latenzzeiten beim Einsatz gängiger Antivirus-Technologien, etwa für Updates und Aktualisierungen, inakzeptabel. Riskante Verzahnung Hinzu kommt ein strukturelles, historisch bedingtes Problem: Während Industrie- und Rechenzentrumsnetze vor Jahren isoliert betrieben wurden, sind sie heute oft eng mit den Business-Prozessen aus betriebswirtschaftlichen Systemen wie etwa SAP verknüpft. Diese Verzahnung aus Produktions- und Office-Netzen mit Backend-Systemen erhöht die Flexibilität des Geschäfts, erlaubt wesentlich reibungslosere Arbeitsabläufe und führt im Umkehrschluss dazu, dass Kontrollsysteme – wie etwa das einer Robotersteuerung – plötzlich fast so angreifbar werden wie ein offenes WLAN. Zudem sind viele der verwendeten Kommunikationsschnittstellen nicht ausreichend gesichert. Auch tragen die aus der klassischen IT übernommenen Betriebssysteme, adaptierte Anwendungen und Standards selbst zu einem erhöhten Risiko bei. So sorgen heute in der Regel Betriebssysteme wie Windows NT, XP oder Linux und Netztechnologien wie TCP/IP und Ethernet für die Steuerung von industriellen Anlagen auf der Feldebene. Durch die veralteten Betriebssystemversionen sind industrielle Netzwerke allerdings anfällig für bösartige Attacken von Viren, Würmern und Trojanern, schon deshalb, weil aufgrund der hohen Verfügbarkeit selten Patches und Updates greifen. Hinzu kommen Aspekte wie ein fehlender physikalischer Zugriffsschutz, etwa für USB-Ports, oder das Problem der Abstrahlung von Geräten. Maßnahmenkatalog als Grundlage Diese Faktoren führen dazu, dass sich ein umfassendes Schutzszenario in der Fertigung nicht mit bewährten Methoden aus der IT umsetzen lässt. Entscheidend bei einer Implementierung nachhaltiger Sicherheitsstandards ist zunächst ein strikt systematisches Vorgehen: Dazu bewerten in der Regel Spezialisten zusammen mit Verantwortlichen des Unternehmens den Ist-Zustand der Betriebsprozesse in Produktion und IT und entwickeln auf dieser Basis konkrete Empfehlungen. Die Maßnahmenkataloge ISO27000 und ISA99 oder das BSI-Grundschutzhandbuch dienen hier häufig als Grundlage. An erster Stelle steht in der Regel ein Asset-Management, mit dem einzelne Anlagen, Prozesse und Datenpools beispielsweise mit einer Configuration-Management-Datenbank (CMDB) inventarisiert werden. Dabei gilt es, sämtliche Automatisierungsprozesse gründlich zu analysieren, um Bedrohungsszenarien aufzuzeigen und eine aussagekräftige Risikobewertung vornehmen zu können. Dazu gehört die Beantwortung typischer Fragen wie: Wie ist das Ethernet im Unternehmen aufgebaut und welche Systeme sind verbunden? Welche Geräte müssen in die Bewertung einfließen, die bis dato \’nur\’ als Roboter oder Hochregal betrachtet wurden? Erst nach der Risikobewertung ist es möglich, eine geeignete Gesamtlösung zu implementieren. Diese muss nicht unbedingt aus einem einzelnen Produkt bestehen, sondern kann sich auch aus dem Zusammenspiel unterschiedlicher Strategien ergeben. Resistenz steigern Eine gängige Sicherheitsmethode ist die Systemhärtung. Dabei handelt es sich um ein Verfahren, bei dem Betriebssysteme, Datenbanken oder Anwendungen um Funktionen erleichtert werden, die sie für Ihren konkreten Einsatzzweck nicht benötigen. Ebenso gehören Technologien wie die Systemsperre (\’System Lockdown\’) dazu, mit der sich das Ausführen von Programmen einschränken oder das Starten sicherer Anwendungen sicherstellen lassen (\’Digital Certificate\’). Die Programme selbst sind in dem Fall mit einem gültigen Zertifikat signiert. Abgerundet wird dieses Konzept durch das Prinzip \’Least Privilege Access Control\’. Anwender, die auf die betreffenden Geräte, Applikationen und Systeme zugreifen dürfen, bekommen per Policy oder Rolle nur jene Rechte zugewiesen, die sie für ihre Aufgabe zwingend brauchen. Ein durchschnittlich privilegierter Anwender, der beispielsweise nur für das Auslesen von Wartungsdaten zuständig ist, hat in diesem Konzept nur Zugriff auf diese Daten und darf wichtige Konfigurationseinstellungen nicht vornehmen. Wer diese Methoden miteinander kombiniert, senkt die Wahrscheinlichkeit für einen erfolgreichen Angriff auf ein Minimum. Ebenso sollte überlegt werden, wo Device-Authentifizierungen mit Zertifikaten Sinn machen und wo nicht – etwa bei Systemen, die nicht über ein entsprechendes Keystore verfügen. Das ist in der Regel bei PLC- oder Scada-Systemen der Fall. Weil Cyber-Angriffe auf unterschiedlichen Ebenen erfolgen können, muss ein wirkungsvoller Anlagenschutz übergreifend und ebenso tiefgreifend wirken. Dazu gehören drei Aspekte: die Anlagensicherheit, Netzwerksicherheit und der Zugriffsschutz. Je nach Situation, Einsatzgebiet und Gerät eignen sich hier unterschiedliche Lösungen wie Firewalls, Network- und Host-Intrusion-Prevention-Systeme (NIPS und HIPS) sowie Virtual-Intrusion-Prevention (VIP). Aufgaben klar zuteilen Abseits aller technischen Planspiele bleiben bei der Konzeption für mehr Sicherheit im industriellen Umfeld wichtige Policies und Richtlinien für Mitarbeiter oft außen vor. Fest steht allerdings: Eine umfassende Security ergibt sich dynamisch aus der Interaktion zwischen Prozessen, Produkten und Personen. Die Verantwortung für die Sicherheit sollten deshalb auch hauptamtliche Mitarbeiter mit Fachwissen aus beiden Bereichen innehaben. In der Regel ist nämlich statt des verantwortlichen Produktionsleiters die IT-Abteilung eines Unternehmens mit der Anlagensoftware beauftragt, ohne die Anforderungen der Industrieanlagen wirklich zu kennen. Ratsam ist es unter Umständen sogar, eine völlig neue Stelle oder eine zuständige Abteilung für das Thema Industriesicherheit zu schaffen.
Thematik: Allgemein
Symantec Deutschland GmbH
