Safety und Security: Sicherheit bei vernetzten Industrieanlagen

Da Industrieanlagen und kritische Infrastrukturen etwa für die Strom- und Wasserversorgung hochverfügbar sein müssen, waren Systeme für deren Überwachung und Steuerung bisher meist isoliert. Doch mit der zunehmenden Vernetzung (IoT, Industrie 4.0) werden diese Systeme anfälliger für Manipulationen und Hackerangriffe. Dieser Artikel beschreibt die Herausforderungen und Lösungsansätze beim Schutz von Industrieanlagen. [...]

RISIKOANALYSE ALS BASIS FÜR SICHERHEIT
Seiner Meinung nach müssten die Produktions- und IT-Industrie zusammen an einer sicheren Einführung der Konzepte arbeiten. „Dazu gehört auch, die Sprache und Sichtweise der anderen Seite zu verstehen. Wir müssen Safety und Security zusammenbringen, um eine gemeinsame Basis zu finden“, so Schneider. Auch Lars Kroll von Symantec sieht in der Zusammenarbeit noch Luft nach oben. „Die Hersteller von SCADA-Systemen waren bislang nicht auf IT-Security fokussiert und sind eher zurückhaltend, wenn es um spezielle Sicherheitslösungen anderer Hersteller geht. Das sollte sich ändern, auch um übergreifende Standards zu schaffen.“

„Bestehende Industriesysteme wurden weder für eine Online-Verbindung konzipiert noch mit einem Fokus auf IT-Sicherheit entwickelt.“ Udo Schneider, Security Evangelist bei Trend Micro (c) Trend Micro

Einer der Gründe für die Zurückhaltung: Laufzeitkritische Anwendungen der Industrie dürfen nicht durch eine Sicherheitslösung beeinträchtigt werden. „Verzögert sich etwa der Arbeitstakt eines Roboters in der Automobilfertigung durch das Aufspielen eines Sicherheitspatches um eine Zehntelsekunde, kommt es zu Fehlproduktionen. Da die Anlagen hochverfügbar sein müssen, darf für die Installation von Sicherheitstechnologie kein Neustart notwendig sein. Das muss im laufenden Betrieb erfolgen.“

Doch vor konkreten Maßnahmen steht die Risikoanalyse. Sie besteht aus grundsätzlichen Fragen wie: Was ist unser Geschäftsmodell? Von wem geht das größte Risiko aus (Mitbewerber, Cyber-Kriminelle, NSA etc.)? Ab wann ist eine digitale Information unternehmenskritisch und für andere relevant? Was kann im schlimmsten Fall passieren, etwa wenn eine Anlage für mehrere Stunden ausfällt, weil sie manipuliert wurde? In welchem Bereich drohen die größten Gefahren?

Die Risikobewertung oder Bedrohungslandkarte ist essenziell für die Präventivmaßnahmen und die Priorisierung der weiteren Schritte. „Häufig zeigt sich, dass Probleme nicht technisch bedingt sind, etwa durch eine Lücke in der Firewall, sondern organisatorische Ursachen haben, sprich in Punkten wie Rechtevergabe, Authentifizierung oder dem Fehlen eines Notfallplans“, erläutert Lars Kroll. Ein Notfallplan beantwortet unter anderen folgende Fragen: Wie gehen wir bei einer Attacke vor? Wer ist kompetent? Wer entscheidet?

FRAMEWORKS HELFEN BEI DER UMSETZUNG
Neben der Risikobewertung benötigen Industrie-Unternehmen zunächst eine genaue Übersicht über die Anzahl und Art ihrer Produktionssysteme, Zertifikate (Wer darf mit wem sprechen?) und (potenziellen) Schwachstellen von Produktionsanlagen. Weiterhin obligatorisch sind Informationen zur aktuellen globalen Gefahrenlage, um effizient auf IT-Sicherheitsvorfälle reagieren zu können.

„Ein wichtiges Einfallstor für Hacker sind die Netzwerkübergänge zwischen Office-IT und Produktionsnetz.“ Lars Kroll, Sicherheitsexperte bei Symantec (c) Symantec

Orientierung erhalten Industrie-Unternehmen von Frameworks wie dem ICS Security Kompendium des BSI oder IEC 62443, einer internationalen Normenreihe über die „IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz“. „IEC 62443 bildet eine Brücke zwischen Safety und Security und unterstützt beim sicheren Betrieb von industriellen Steuerungsumgebungen“, betont Udo Schneider von Trend Micro. Für den Einstieg in die Sicherheit von Steueranlagen empfiehlt er das Tool „LARS ICS“ (Light And Right Security), das die Komponenten einer Steuerung auflistet und beschreibt, welche IT-Maßnahmen zu deren Schutz möglich sind.

VIELSCHICHTIGE SICHERHEITSMASSNAHMEN
Als grundsätzliche Maßnahmen empfehlen die Experten die Segmentierung des Netzwerks in Zonen (Office-IT, SCADA und ICS), die verschlüsselte Datenübertragung, ein Intrusion-Prevention-System (IPS) mit intelligentem Umgehungsschutz sowie eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk. Eine Whitelisting-Funktion stellt sicher, dass ausschließlich explizit freigegebene Programme Code ausgeführt werden. Weitere unerlässliche Maßnahmen sind eine starke Benutzerauthentifizierung oder der Schutz für mobile Geräte, die an die Produktionsumgebung angeschlossen sind.

Grundsätzlich müssen die Industrie-Unternehmen herausfinden, welche Komponenten der Industriesteuerung sie mit Standard IT-Security-Tools schützen können, und wo sie spezielle Lösungen für den Schutz von ICS und SCADA-Systemen benötigen. Dies ist immer vom Einzelfall abhängig. Dabei gilt: Es gibt keine hundertprozentige Sicherheit, ein Restrisiko bleibt. Wer aber seine Risiken kennt und aktiv Vorkehrungen trifft, schützt sein Unternehmen vor den größten Bedrohungen.

*Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*