Honeyport-Studien zeigen das Ausmaß der Bedrohung
Die Schutzmechanismen der IT-Branche sind jedoch nur zum Teil auf Energie- und Produktionsanlagen anwendbar. Sie sind zwar einerseits notwendig, bieten aber in der Industrie keinen hinreichenden Schutz. So lassen sich nicht alle Anlagen in der Industrie zu jeder Zeit Patchen, da hier oft rund um die Uhr produziert wird (24/7/52). Sowohl ein Produktionsausfall als auch ein Ausfall der Energieversorgung sind ernstzunehmende Szenarien. Direkte wirtschaftliche Schäden als auch Gefahren für die Sicherheit von Mensch und der Bevölkerung sind die Folge. Dass Cyber-Angriffe nicht nur Gespenster sind, die verbreitet werden, um Angst zu erzeugen, haben sogenannte Honeyport-Studien gezeigt. Hier werden sehr wohl gezielte Angriffe auf Industrieanlagen durchgeführt. Bei Honeyport-Studien werden attraktive Ziele für den Angreifer simuliert und getätigte Angriffe aufgezeichnet und ausgewertet (z.B. Trendmicro Report, August 2013, Ergebnis über vier Monate Beobachtung: zehn gezielte kritische Angriffe von insgesamt 1.200 oder RISI Organistation, Security Incident Organisation 2013).
Whitelisting
So hat sich gezeigt, dass bei Angriffen auf Industrial Control Systems (ICS) oft neue Programme, sogenannte Exploids, gestartet werden, um den Schadcode, den sogenannten Payload, auszuführen. Nun kann ein PC-System aber feststellen, wenn neue, eventuell unbekannte Programme gestartet werden. Bei den sogenannten Whitelisting-Tools wird genau dies getan [2]. Direkt nach der Installation wird der Zustand der ausgeführten Programme dokumentiert und eingefroren. Der mögliche Schadcode kann keine anderen Programme starten als die vorgesehenen. Eine Ausbreitung und Infizierung kann dadurch verhindert werden. Whitelisting eignet sich besonders für Industrie PC-Systeme, da hier im Gegensatz zu dem sonst üblichen Blacklisting keine Patches oder Virenpattern nachgeladen werden müssen und auch die Sicherheitslücke durch Zero Day Vulnerabilities, für die es noch keine Patches gibt, geschlossen wird. Whitelisting eignet sich für Industrie-Rechner deshalb mehr als für Office-Rechner, da hier nur selten neue Programme installiert werden und die sogenannte Whitelist sich selten ändert. Jedoch können Angriffe auf ICS nicht gänzlich verhindert werden.
Netzwerk-Kommunikation
Eine andere erfolgreiche Methode Payload-Ausbreitung zu verhindern, ist über die Netzwerkkommunikation. So benutzen Payloads für ihre Ausbreitung mit Schwachstellen behaftete TCP/IP-Kommunikationsprotokolle, um sich im Netzwerk auszubreiten. Wendet man die gleiche Logik wie beim Programm Whitelisting auch auf das Netzwerk an, dürfen nur noch zugelassene Protokolle und zugelassen Teilnehmer miteinander kommunizieren. Am einfachsten und effektivsten sind sogenannte Level 3 Switches, bei denen die Kommunikation von Quell-IP bis Ziel-IP, Richtung, Port und Protokoll genauestens in sogenannten Access Control Lists geregelt ist.
