Im Produktionsumfeld kann die Verbindung von Steuerungssystemen mit der Office-IT – Stichwort Industrie 4.0 – zu massiven Problemen führen. Um beide Welten sicher unter einen Hut zu bekommen, ist Segementierung der Netztwerke Grundvoraussetzung. [...]
Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2014“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) hatte es in sich, denn hier wurde erstmals ein gezielter Angriff auf ein nicht näher bezeichnetes Stahlwerk in Deutschland veröffentlicht.
Mittels Spear Phishing und ausgefeiltem Social Engineering erlangten Angreifer zunächst Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor. Die Auswirkungen: Es häuften sich Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage.
Die technischen Fähigkeiten der Angreifer wurden als sehr fortgeschritten bewertet. Die Kompromittierung erstreckte sich auf eine Vielzahl unterschiedlicher interner Systeme bis hin zu industriellen Komponenten. Das Knowhow der Angreifer war laut BSI nicht nur im Bereich der klassischen IT-Sicherheit sehr ausgeprägt, sondern erstreckte sich auch auf detailliertes Fachwissen zu den eingesetzten Industriesteuerungen und Produktionsprozessen. Die Cyber-Kriminellen hatten damit das Herz der deutschen Wirtschaft getroffen.
Im Bericht 2016 ist es ein deutsches Atomkraftwerk, das Ziel einer Attacke wurde. Im Zuge von Vorbereitungen zu Revisionsarbeiten fand man Schadprogramme auf einem Rechner, der zur Darstellung und Aufzeichnung von Handhabungsvorgängen an der Brennelement-Lademaschine (Visualisierungsrechner) dient.
Obwohl die entdeckten Schadprogramme weit verbreitet sind und von Virenscannern seit längerer Zeit gut erkannt werden, wurde der Rechner verseucht. Der Grund: Er lief mit einer nicht mehr aktuellen Betriebssystemversion und hatte keinen Virenscanner installiert.
Unterschiedliche Anforderungen
Die beiden Beispiele – Stahlwerk und Atomkraftwerk – zeigen sehr deutlich, welche Herausforderungen auf Unternehmen im Bereich produzierendes Gewerbe und Energieproduktion zukommen, wenn diese die digitale Transformation in Angriff nehmen. Durch die Vernetzung von bis dahin getrennten Unternehmensbereichen schwappen plötzlich die Probleme eines IT-Netzwerks auf das Produktionsumfeld über. Darüber hinaus hat man auf der Produktionsseite oft mit einer Infrastruktur zu tun, die man als junger IT-Fachmann nur aus den Geschichtsbüchern kennt.
Die beiden Beispiele – Stahlwerk und Atomkraftwerk – zeigen sehr deutlich, welche Herausforderungen auf Unternehmen im Bereich produzierendes Gewerbe und Energieproduktion zukommen, wenn diese die digitale Transformation in Angriff nehmen. Durch die Vernetzung von bis dahin getrennten Unternehmensbereichen schwappen plötzlich die Probleme eines IT-Netzwerks auf das Produktionsumfeld über. Darüber hinaus hat man auf der Produktionsseite oft mit einer Infrastruktur zu tun, die man als junger IT-Fachmann nur aus den Geschichtsbüchern kennt.
Um in die Welt der Produktionssteuerung eintauchen zu können, braucht es einmal das Bewusstsein, dass sich diese vom IT-Universum in vielen Bereichen unterscheidet und Regeln, die auf IT-Seite selbstverständlich sind, auf der anderen Seite nur bedingt Gültigkeit haben, wenn überhaupt. Industrieanlagen werden mit einer Vielzahl an Systemen unterstützt. Über allen steht das Industrial Control System (ICS), das überall dort eingesetzt wird, wo Abläufe automatisiert werden. Konkret: Es dient dem Messen, Steuern, Regeln und Bedienen von industriellen
Abläufen.
Supervisory Control and Data Acquisition (SCADA) beschreibt das Steuern und Überwachen technischer Prozesse mittels eines Computersystems. Dabei bezieht sich der Begriff gewöhnlich auf Systeme mit dezentraler Datenbasis – im Gegensatz zu Prozessleitsystemen (PLS), die in der Regel für größere verfahrenstechnische Anlagen eingesetzt werden. Dazu kommt eine Vielzahl an Controllern und Sensoren.
Der Lebenszyklus von ICS wird aus dem der Produktionsanlagen abgeleitet. Dieser ist deutlich länger als die in der Office-IT
typischerweise anzutreffenden Zeiträume. Die Laufzeit beträgt zwischen zehn und fünfzehn Jahre, mitunter können es auch 20 Jahre sein. In der Office-IT sind es meist nur drei bis fünf Jahre.
Regelkreise werden im Hinblick auf ihr Zeitverhalten optimiert. Kommt es durch Software-Modifikationen zu Änderungen am Zeitverhalten des ICS, führt dies zu Störungen im materiellen Produktionsprozess. Die Folge kann mehr Ausschuss sein. Es gibt viele Anwendungen, die an behördliche Auflagen gebunden sind (z. B. Anlagensicherheit). In diesen Fällen brauchen wesentliche Änderungen – worunter auch Softwareänderungen an den eingesetzten ICS fallen können – einen dedizierten Genehmigungsprozess. Aufgrund des vorgeschriebenen Prüfprozesses sind etwa die Möglichkeiten zum zeitnahen Einspielen von Sicherheitsupdates begrenzt bzw. unmöglich. Last but not least wird ICS Im Gegensatz zur Office IT über längere Zeiträume mit der gleichen Hardware betrieben.
Mit anderen Worten: Es ist nicht so, dass der Produktionsbereich einfach nur technologisch hinterherhinkt. Den Hauptunterschied zwischen Office-IT und Produktion machen vor allem die verschiedenen Anforderungen aus.
Zahlreiche Schwachstellen
Neben den strukturellen Unterschieden sind es oft die unzureichenden Regelungen, die zu Problemen im Zuge von Industrie 4.0- bzw. IoT-Projekten führen. Eine Ursache dafür ist der unterschiedliche Kenntnisstand im Bereich IT-Security oder ICS. Auf der einen Seite können vonseiten der Office-IT-Security Vorgaben gemacht werden, die im Bereich ICS technisch nicht umsetzbar sind. Auf der anderen Seiten können bestimmte IT-Security-Aspekte den ICS-Experten nicht bekannt sein. Auf diese Weise kommt es zu Reibungsverlusten in der Kommunikation und der Umsetzung.
Neben den strukturellen Unterschieden sind es oft die unzureichenden Regelungen, die zu Problemen im Zuge von Industrie 4.0- bzw. IoT-Projekten führen. Eine Ursache dafür ist der unterschiedliche Kenntnisstand im Bereich IT-Security oder ICS. Auf der einen Seite können vonseiten der Office-IT-Security Vorgaben gemacht werden, die im Bereich ICS technisch nicht umsetzbar sind. Auf der anderen Seiten können bestimmte IT-Security-Aspekte den ICS-Experten nicht bekannt sein. Auf diese Weise kommt es zu Reibungsverlusten in der Kommunikation und der Umsetzung.
Die Praxis zeigt, dass man es mit der Dokumentation oft nicht sehr genau nimmt. Dadurch kann ein trügerisches Gefühl der Sicherheit erwachsen. So werden Entscheidungen getroffen oder Aussagen gemacht, die auf einem falschen Informationsstand beruhen. Dies kann beispielsweise die Vernetzung von Office- und ICS-Netz betreffen, sodass dort eine klare Trennung angenommen wird, obwohl es Verbindungen zu einzelnen Komponenten gibt.
ICS werden oftmals via Fernwartungszugänge überwacht oder betrieben. Als Übertragungsmedium werden unterschiedliche öffentliche und private Netze verwendet, wie z.B. das Mobiltelefon- und Funknetz sowie zunehmend das Internet. Sind diese Zugänge unzureichend geplant, falsch konfiguriert oder werden nicht überwacht, können Angreifer unter Umständen auf die ICS-Infrastruktur zugreifen und so Sicherheitsmechanismen am Perimeter umgehen.
Neben ICS-spezifischen IT-Komponenten werden zunehmend Komponenten, Technologien und Software aus der Office-IT in ICS-Lösungen eingesetzt. Diese Komponenten, sogenannte Commercial Off-the-Shelf (COTS)-Produkte, weisen Schwachstellen auf, die oftmals öffentlich bekannt sind.
Dazu kommt, dass Angriffswerkzeuge frei verfügbar sind, die auch von nicht versierten Angreifern benutzt werden können. Da diese Produkte weit verbreitet sind, besteht für Angreifer auch ein großes Interesse daran, weitere Schwachstellen in diesen Produkten ausfindig zu machen. Somit werden durch den Einsatz von COTS-Produkten alte und neue Schwachstellen aus der Office-IT in die ICS-Umgebung überführt.
Eine wichtige Schwachstelle ist (wie in fast allen anderen Systemen auch) der Mensch. Wenn z. B. ein Mitarbeiter zur Überwachung eines ICS von dem Büroarbeitsplatz aus eine Datenverbindung von seinem Arbeitsplatzrechner in das ICS-Netz einrichtet, wird damit das Office-Netz (z. B. mit Verbindung zum Internet) mit dem ICS-Netz gekoppelt. Somit ist das ICS-Netz denselben Bedrohungen ausgesetzt wie das Office-Netz (z. B. Angriffen und Schadprogrammen aus dem Internet).
Sicherheit durch das Zwiebelprinzip
Wie man die beiden Welten zusammenbringt, ohne die Sicherheit des Produktionsbereichs aufs Spiel zu setzen? Das Zauberwort heißt Segmentierung. So verfolgt etwa der österreichische Netzwerk- und Security-Spezialist NTS im Bereich IoT das sogenannte Perdue Model for Control Hierarchy. Die hier dargestellte Referenzarchitektur segmentiert das Office- und Steuerungsnetzwerk in Zonen, die jeweils Bereiche mit ähnlichen Funktionen und Anforderungen zusammenfassen. Eine weitere Besonderheit des Perdue Models ist, dass der Datenverkehr zwischen den Zonen sehr genau kontrolliert werden kann: Es kommt nur das durch, was für die internen Prozesse unbedingt notwendig ist.
Wie man die beiden Welten zusammenbringt, ohne die Sicherheit des Produktionsbereichs aufs Spiel zu setzen? Das Zauberwort heißt Segmentierung. So verfolgt etwa der österreichische Netzwerk- und Security-Spezialist NTS im Bereich IoT das sogenannte Perdue Model for Control Hierarchy. Die hier dargestellte Referenzarchitektur segmentiert das Office- und Steuerungsnetzwerk in Zonen, die jeweils Bereiche mit ähnlichen Funktionen und Anforderungen zusammenfassen. Eine weitere Besonderheit des Perdue Models ist, dass der Datenverkehr zwischen den Zonen sehr genau kontrolliert werden kann: Es kommt nur das durch, was für die internen Prozesse unbedingt notwendig ist.
Jede Zone ist von den anderen durch Firewalls getrennt. Zwischen der Enterprise Zone, also dem klassischen IT-Bereich, und der Manufacturing Zone, wo die industriellen Steuerungssysteme angesiedelt sind („Operational Technology“ OT im Gegensatz zur IT), wird zusätzlich eine vierte Zone eingezogen, die sogenannte „demilitarisierte Zone“ (DMZ = sicherheitstechnisch abgeschirmter Bereich).
Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen noch zu dem anderen Netz gehört. Sie stellt ein eigenes Netz dar und wird aus zwei physisch getrennten Firewalls sowie einem Application Level Gateway aufgebaut. Proxy-Dienste mit Filtermöglichkeiten steuern und kontrollieren den Datenverkehr. Mit diesem Modell lassen sich beide Bereiche so verbinden, dass Industrie 4.0-Projekte ihre Vorteile ausspielen können, ohne Sicherheitskompromisse eingehen zu müssen.
Be the first to comment