Risiken, die bei Fabrikautomation und Prozesssteuerung durch Industrie 4.0 entstehen können, werden vor allem von kleinen und mittelständischen Unternehmen nicht ausreichend beachtet. [...]
Der Bericht „Erfahrungen aus der industriellen Sicherheitsberatung“ des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), zeigt, dass Cyber-Sicherheit in der Fabrikautomation und Prozesssteuerung – Stichwort Industrial Control Systems (ICS) – eine dringende Notwendigkeit ist.
Viele Betreiber haben aber bislang eine rein funktionale Sicht auf ihre Maschinen oder Anlagen und stehen somit vor einer großen Herausforderung. Besonders bei kleinen und mittelständischen Unternehmen übersteigt die Einführung eines Informationssicherheitsmanagementsystems (ISMS) die internen Fähigkeiten und Kapazitäten, wenn Security bislang kein Thema war. Um sukzessive den Einstieg in das Thema Cyber-Sicherheit zu schaffen und dabei möglichst schnell signifikante Verbesserungen des Sicherheitsniveaus zu erzielen, ist unter anderem das Konzept der Kurzrevision geeignet. Hierbei werden externe Dienstleister mit einer Prüfung der Infrastruktur beauftragt. Der Aufwand bei kleineren Infrastrukturen beschränkt sich auf wenige Tage. Die bei der Prüfung identifizierten Handlungsfelder sind häufig auch ohne größere Aufwände umsetzbar. Eine gute Grundlage für die Vorgehensweise bildet die IS-Revision sowie das ICS-Security-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Bei der Anwendung dieses Konzepts im industriellen Umfeld ist aber dringend darauf zu achten, einen Dienstleister zu wählen, der in der jeweiligen Branche fundierte Kenntnisse besitzt. Schon nach wenigen Iterationen einer solchen Revision sind typi- scherweise bereits solide Voraussetzungen im Unternehmen geschaffen, um dann ein ganzheitliches Sicherheitsmanagement auf Grundlage eines ISMS zu realisieren. Auch für große Unternehmen eignet sich eine solche Revision als regelmäßige Prüfung des Sicherheitsmanagements. Im Folgenden sind die häufigsten Mängel, die bei Revisionen im industriellen Umfeld in unterschiedlichen Branchen aufgefallen sind, dargestellt. Für die weiterführende Lektüre zu einzelnen Mängeln wird jeweils auf die entsprechenden Maßnahmen im ICS-Security-Kompendium des BSI verwiesen.
1. Organisation
In vielen Fällen ist keine hinreichende Sensibilisierung für die Bedrohungen der Cyber-Sicherheit im Unternehmen oder Betrieb vorhanden. Dies gilt sowohl für das Management (z. B. Produktionsverantwortliche) als auch auf der Arbeitsebene (z. B. Ingenieur oder Anlagenbediener). Gerade hier kann ein Revisionsbericht eine Erhöhung der Awareness herbeiführen, da die Mängel ganz konkret im eigenen Unternehmen aufgezeigt werden.
Oftmals werden bei einer Revision Regelungslücken hinsichtlich der Zuständigkeiten aufge- zeigt. Sehr häufig gibt es keine definierte Rolle im Unternehmen für die Gesamtverantwortung für Cyber-Sicherheit im Bereich Produktion oder auch IT. Hinzu kommen unterschiedliche Sichtweisen und Unstimmigkeiten zwischen klassischem IT-Betrieb und Produktion.
Auch sind die Kommunikationsprozesse zwischen den wichtigen Schlüsselpositionen nicht hinreichend definiert oder umgesetzt. Dies gilt im Bereich der Security insbesondere für das Change Management sowie das Incident Management.
Häufig sind im Unternehmen keine Betriebsanweisungen (Policies, Richtlinien) definiert, die das Thema Cyber-Sicherheit behandeln. Diese sind insbesondere für den Umgang mit Passwörtern, Wechseldatenträgern und privater Informationstechnik dringend zu empfehlen.
2. Netzwerk ohne Plan
Grundvoraussetzung für ein solides Sicherheitsmanagement ist ein Netzplan. Dieser ist in der Praxis häufig entweder unvollständig, veraltet oder erst gar nicht vorhanden. Auch Abhängigkeiten zwischen Systemen sind hierbei häufig nicht dokumentiert. Ohne diese Grundlage lassen sich aber weder Maßnahmen planen, noch mögliche Auswirkungen von Angriffen bewerten. Gerade historisch gewachsene Fernzugriffsmöglichkeiten sind in Netzplänen häufig nicht berücksichtigt, obgleich diese als mögliches Einfallstor als besonders kritisch einzustufen sind.
Flache Netzwerkhierarchien und fehlende Segmentierung der Netze erleichtern einem Angreifer oder einer Schadsoftware, sich im Unternehmen auszubreiten („lateral movement“). Die Bildung geeigneter Teilnetze und die technische Absicherung an den Netzübergängen sind für eine hinreichende Absicherung jedoch zwingend erforderlich. So sollte besonders der Zugriff aus dem Office-Netz in die Produktion besonders restriktiv geregelt werden.
Zugangspunkte für einen Fernzugriff sind häufig unzureichend umgesetzt. Oftmals werden diese Systeme nicht gepflegt oder befinden sich in einer unsicheren Konfiguration. Gerade moderne Fernwartungslösungen enthalten jedoch eine Vielzahl sinnvoller Schutzfunktionen, die in der Praxis mit einem gewissen Maß an Fachkenntnissen gut umgesetzt werden könnten.
Häufig ist ein uneingeschränkter Zugriff auf das Internet aus der Produktion heraus möglich. Dies erhöht nicht nur die Wahrscheinlichkeit einer erfolgreichen Kompromittierung über manipulierte E-Mails oder infizierte Websites. Der Angreifer erhält damit zugleich die Möglichkeit, mit seiner Infrastruktur (Command and Control Server) Kontakt aufzunehmen, um weitere Anweisungen oder zusätzliche Schadmodule nachzuladen und gestohlene Daten nach außen zu schleusen.
Infrastrukturen in der Produktion unterliegen zudem nicht selten keiner hinreichenden Erfassung und Auswertung von Kommunikationsdaten und lokalen Ereignissen (Logging). Ohne diese Sammlung und Auswertung von Informationen über den ein- und ausgehenden Datenverkehr ist aber weder eine Erkennung erfolgreicher Kompromittierungen noch eine Aufbereitung/Forensik möglich.
3. Komponenten als Angriffsfläche
Oftmals ist bei Komponenten, wie etwa Bedienterminals, SPSen oder Engineering Workstations, keine sichere Standardkonfiguration vorhanden. So werden beispielsweise Dienste über das Netzwerk betrieben, die nicht benötigt werden und somit eine unnötige Angriffsfläche bieten.
In nahezu sämtlichen Unternehmen finden sich im Produktionsumfeld Standardpasswörter. Diese können von einem Angreifer genutzt werden, um ohne weiteren Aufwand einen Vollzugriff zu erlangen.
Besonders kritisch sind Standardpasswörter, wenn sie zu Benutzerkonten gehören, die den Verantwortlichen nicht bekannt sind oder die sich nicht ändern/deaktivieren lassen, da der Hersteller diese fest einprogrammiert hat. Auch vorhandene Sicherheitsmechanismen werden häufig nicht genutzt oder sind falsch konfiguriert.
USB-Sticks und andere Wechseldatenträger werden häufig unkontrolliert eingesetzt. Einerseits fehlt das Problembewusstsein bei den Mitarbeitern, andererseits sind keine physischen oder technischen Maßnahmen zur Absicherung umgesetzt. Dies erhöht besonders die Gefahr einer Infektion mit nicht-zielgerichteter Schadsoftware massiv.
Veraltete Patchlevel stellen in der Produktion weniger ein Problem dar, sondern mit Blick auf das primäre Ziel der meist ständigen Verfügbarkeit der Maschinen eher eine Tatsache. Die Philosophie des „Wir können keine Softwareupdates einspielen“ gilt häufig nicht nur für den eigentlichen Produktionsprozess, sondern auch für externe Komponenten. Fernzugriffslösungen und Engineering Workstations nicht zu patchen, führt zu unnötigen und höchst kritischen Angriffsmöglichkeiten sowie einem hohen Potenzial für Kollateralschäden durch nicht-zielgerichtete Schadsoftware.
Die Geräte für den Fernzugriff und Wartung vor Ort unterliegen oftmals keiner strengen Re- glementierung. Mitunter verwenden die eigenen Mitarbeiter private Geräte, die über kein hinreichendes Sicherheitsniveau verfügen.
Über die von Drittfirmen genutzten Clients besteht keine Kontrollmöglichkeit, sodass hier zumindest eine vertragliche Regelung hinsichtlich eines Basisschutzes getroffen werden sollte. Ein an das eigene Unternehmens- oder Produktionsnetz angeschlossene Gerät sollte mindestens über ein aktuelles Patchlevel und einen tagesaktuellen Virenschutz verfügen.
Die aufgeführten Mängel gehören aufgrund ihrer weiten Verbreitung und den damit verbundenen Risiken zu den Aspekten, die jeder Betreiber berücksichtigen sollte. Angesichts der Effektivität einer Kurzrevision sind zudem Anlagenbetreiber dazu angehalten, dieses Mittel für den Einstieg in das Thema ICS Security zu nutzen. Auch bei Unternehmen mit einem fortgeschrittenen Sicherheitsmanagement kann eine Revision ein wichtiges Element sein. Für die Vorgehensweise eignet sich als Orientierungshilfe u. a. die IS-Revision des BSI sowie der Cyber-Sicherheits-Check. (pi/wf)
Be the first to comment