Safety und Security: Sicherheit bei vernetzten Industrieanlagen

Da Industrieanlagen und kritische Infrastrukturen etwa für die Strom- und Wasserversorgung hochverfügbar sein müssen, waren Systeme für deren Überwachung und Steuerung bisher meist isoliert. Doch mit der zunehmenden Vernetzung (IoT, Industrie 4.0) werden diese Systeme anfälliger für Manipulationen und Hackerangriffe. Dieser Artikel beschreibt die Herausforderungen und Lösungsansätze beim Schutz von Industrieanlagen. [...]

RISIKOANALYSE ALS BASIS FÜR SICHERHEIT
Seiner Meinung nach müssten die Produktions- und IT-Industrie zusammen an einer sicheren Einführung der Konzepte arbeiten. „Dazu gehört auch, die Sprache und Sichtweise der anderen Seite zu verstehen. Wir müssen Safety und Security zusammenbringen, um eine gemeinsame Basis zu finden“, so Schneider. Auch Lars Kroll von Symantec sieht in der Zusammenarbeit noch Luft nach oben. „Die Hersteller von SCADA-Systemen waren bislang nicht auf IT-Security fokussiert und sind eher zurückhaltend, wenn es um spezielle Sicherheitslösungen anderer Hersteller geht. Das sollte sich ändern, auch um übergreifende Standards zu schaffen.“

„Bestehende Industriesysteme wurden weder für eine Online-Verbindung konzipiert noch mit einem Fokus auf IT-Sicherheit entwickelt.“ Udo Schneider, Security Evangelist bei Trend Micro (c) Trend Micro

Einer der Gründe für die Zurückhaltung: Laufzeitkritische Anwendungen der Industrie dürfen nicht durch eine Sicherheitslösung beeinträchtigt werden. „Verzögert sich etwa der Arbeitstakt eines Roboters in der Automobilfertigung durch das Aufspielen eines Sicherheitspatches um eine Zehntelsekunde, kommt es zu Fehlproduktionen. Da die Anlagen hochverfügbar sein müssen, darf für die Installation von Sicherheitstechnologie kein Neustart notwendig sein. Das muss im laufenden Betrieb erfolgen.“

Doch vor konkreten Maßnahmen steht die Risikoanalyse. Sie besteht aus grundsätzlichen Fragen wie: Was ist unser Geschäftsmodell? Von wem geht das größte Risiko aus (Mitbewerber, Cyber-Kriminelle, NSA etc.)? Ab wann ist eine digitale Information unternehmenskritisch und für andere relevant? Was kann im schlimmsten Fall passieren, etwa wenn eine Anlage für mehrere Stunden ausfällt, weil sie manipuliert wurde? In welchem Bereich drohen die größten Gefahren?

Die Risikobewertung oder Bedrohungslandkarte ist essenziell für die Präventivmaßnahmen und die Priorisierung der weiteren Schritte. „Häufig zeigt sich, dass Probleme nicht technisch bedingt sind, etwa durch eine Lücke in der Firewall, sondern organisatorische Ursachen haben, sprich in Punkten wie Rechtevergabe, Authentifizierung oder dem Fehlen eines Notfallplans“, erläutert Lars Kroll. Ein Notfallplan beantwortet unter anderen folgende Fragen: Wie gehen wir bei einer Attacke vor? Wer ist kompetent? Wer entscheidet?

FRAMEWORKS HELFEN BEI DER UMSETZUNG
Neben der Risikobewertung benötigen Industrie-Unternehmen zunächst eine genaue Übersicht über die Anzahl und Art ihrer Produktionssysteme, Zertifikate (Wer darf mit wem sprechen?) und (potenziellen) Schwachstellen von Produktionsanlagen. Weiterhin obligatorisch sind Informationen zur aktuellen globalen Gefahrenlage, um effizient auf IT-Sicherheitsvorfälle reagieren zu können.

„Ein wichtiges Einfallstor für Hacker sind die Netzwerkübergänge zwischen Office-IT und Produktionsnetz.“ Lars Kroll, Sicherheitsexperte bei Symantec (c) Symantec

Orientierung erhalten Industrie-Unternehmen von Frameworks wie dem ICS Security Kompendium des BSI oder IEC 62443, einer internationalen Normenreihe über die „IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz“. „IEC 62443 bildet eine Brücke zwischen Safety und Security und unterstützt beim sicheren Betrieb von industriellen Steuerungsumgebungen“, betont Udo Schneider von Trend Micro. Für den Einstieg in die Sicherheit von Steueranlagen empfiehlt er das Tool „LARS ICS“ (Light And Right Security), das die Komponenten einer Steuerung auflistet und beschreibt, welche IT-Maßnahmen zu deren Schutz möglich sind.

VIELSCHICHTIGE SICHERHEITSMASSNAHMEN
Als grundsätzliche Maßnahmen empfehlen die Experten die Segmentierung des Netzwerks in Zonen (Office-IT, SCADA und ICS), die verschlüsselte Datenübertragung, ein Intrusion-Prevention-System (IPS) mit intelligentem Umgehungsschutz sowie eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk. Eine Whitelisting-Funktion stellt sicher, dass ausschließlich explizit freigegebene Programme Code ausgeführt werden. Weitere unerlässliche Maßnahmen sind eine starke Benutzerauthentifizierung oder der Schutz für mobile Geräte, die an die Produktionsumgebung angeschlossen sind.

Grundsätzlich müssen die Industrie-Unternehmen herausfinden, welche Komponenten der Industriesteuerung sie mit Standard IT-Security-Tools schützen können, und wo sie spezielle Lösungen für den Schutz von ICS und SCADA-Systemen benötigen. Dies ist immer vom Einzelfall abhängig. Dabei gilt: Es gibt keine hundertprozentige Sicherheit, ein Restrisiko bleibt. Wer aber seine Risiken kennt und aktiv Vorkehrungen trifft, schützt sein Unternehmen vor den größten Bedrohungen.

*Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*