Kriterienliste: IT-Sicherheit von Automatisierungskomponenten

Das Hamburger Beratungsunternehmen Langner Communications AG hat in Zusammenarbeit mit dem Europäischen Forschungszentrum für Teilchenphysik (CERN) eine Kriterienliste erarbeitet, mit der die Basis-IT-Sicherheit in netzwerkfähigen Automatisierungskomponenten überprüft werden kann. Diese Basis-Sicherheitsprüfung betrifft in erster Linie Implementierungsfehler der Netzwerktreiber. Am CERN durchgeführte Vulnerabilitätstests hatten gezeigt, dass eine nicht geringe Anzahl von marktgängigen SPSen mit Netzwerkschnittstelle in puncto IT-Sicherheit Defizite aufweist. Zum einen fielen fehlende Integritätsprüfungen auf, zum anderen Fehler in der Protokollimplementierung, und zwar von Fehlern auf Ethernet-Ebene bis zu Fehlern bei den Anwendungsprotokollen. Solche Fehler können unter anderem dazu führen, dass der Datenaustausch zwischen SPS und Leitsystem nur durch harten Reset der SPS wiederhergestellt werden kann. Die Erkenntnisse und Testprozeduren des CERN wurden in Zusammenarbeit mit dem Hamburger Consultant systematisiert und in die Form einer gerade einmal vier Punkte umfassenden Kriterienliste (\“Hamburger Liste\“) gebracht. Dazu gehört eine sogenannte Policy-Datei für den vom BSI empfohlenen kostenlosen Sicherheits-Scanner \“Nessus\“. Sowohl das zehnseitige Textdokument zur \“Hamburger Liste\“ als auch die Policy-Datei für Nessus können kostenlos von www.langner.com heruntergeladen werden, Lizenzgebühren fallen eben so wenig an.