Unterschätzte Gefahren

Risiken, die bei Fabrikautomation und Prozesssteuerung durch Industrie 4.0 entstehen können, werden vor allem von kleinen und mittelständischen Unternehmen nicht ausreichend beachtet. [...]

Der Bericht „Erfahrungen aus der industriellen Sicherheitsberatung“ des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), zeigt, dass Cyber-Sicherheit in der Fabrikautomation und Prozesssteuerung – Stichwort Industrial Control Systems (ICS) – eine dringende Notwendigkeit ist.

Viele Betreiber haben aber bislang eine rein funktionale Sicht auf ihre Maschinen oder Anlagen und stehen somit vor einer großen Herausforderung. Besonders bei kleinen und mittelständischen Unternehmen übersteigt die Einführung eines Informationssicherheitsmanagementsystems (ISMS) die internen Fähigkeiten  und Kapazitäten, wenn Security bislang kein Thema war. Um sukzessive den Einstieg in das Thema Cyber-Sicherheit zu schaffen und dabei möglichst schnell signifikante Verbesserungen des Sicherheitsniveaus zu erzielen, ist unter anderem das Konzept der Kurzrevision geeignet. Hierbei werden externe Dienstleister mit einer Prüfung  der Infrastruktur beauftragt. Der Aufwand bei kleineren Infrastrukturen beschränkt sich auf wenige Tage. Die bei der Prüfung identifizierten Handlungsfelder sind häufig auch ohne größere Aufwände umsetzbar. Eine gute Grundlage für die Vorgehensweise bildet die IS-Revision sowie das ICS-Security-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Bei der Anwendung dieses Konzepts im industriellen Umfeld ist aber dringend darauf zu achten, einen Dienstleister zu wählen, der in der jeweiligen Branche fundierte Kenntnisse besitzt. Schon nach wenigen Iterationen einer solchen Revision sind typi- scherweise bereits solide Voraussetzungen im Unternehmen geschaffen, um dann ein ganzheitliches Sicherheitsmanagement auf Grundlage eines ISMS zu realisieren. Auch für große Unternehmen eignet sich eine solche Revision als regelmäßige Prüfung des Sicherheitsmanagements. Im Folgenden sind die häufigsten Mängel, die bei Revisionen im industriellen Umfeld in unterschiedlichen Branchen aufgefallen sind, dargestellt. Für die weiterführende Lektüre zu einzelnen Mängeln wird jeweils auf die entsprechenden Maßnahmen im ICS-Security-Kompendium des BSI verwiesen.

1. Organisation

In vielen Fällen ist keine hinreichende Sensibilisierung für die Bedrohungen der Cyber-Sicherheit im Unternehmen oder Betrieb vorhanden. Dies gilt sowohl für das Management (z. B. Produktionsverantwortliche) als auch auf der Arbeitsebene (z. B. Ingenieur oder Anlagenbediener). Gerade hier kann ein Revisionsbericht eine Erhöhung der Awareness herbeiführen, da die Mängel ganz konkret im eigenen Unternehmen aufgezeigt werden.

Oftmals werden bei einer Revision Regelungslücken hinsichtlich der Zuständigkeiten aufge- zeigt. Sehr häufig gibt es keine definierte Rolle im Unternehmen für die Gesamtverantwortung für Cyber-Sicherheit im Bereich Produktion oder auch IT. Hinzu kommen unterschiedliche Sichtweisen und Unstimmigkeiten zwischen klassischem IT-Betrieb und Produktion.

Auch sind die Kommunikationsprozesse zwischen den wichtigen Schlüsselpositionen nicht hinreichend definiert oder umgesetzt. Dies gilt im Bereich der Security insbesondere für das Change Management sowie das Incident Management.

Häufig sind im Unternehmen keine Betriebsanweisungen (Policies, Richtlinien) definiert, die das Thema Cyber-Sicherheit behandeln. Diese sind insbesondere für den Umgang mit Passwörtern, Wechseldatenträgern und privater Informationstechnik dringend zu empfehlen.

2. Netzwerk ohne Plan

Grundvoraussetzung für ein solides Sicherheitsmanagement ist ein Netzplan. Dieser ist in der Praxis häufig entweder unvollständig, veraltet oder erst gar nicht vorhanden. Auch Abhängigkeiten zwischen Systemen sind hierbei häufig nicht dokumentiert. Ohne diese Grundlage lassen sich aber weder Maßnahmen planen, noch mögliche Auswirkungen von Angriffen bewerten. Gerade historisch gewachsene Fernzugriffsmöglichkeiten sind in Netzplänen häufig nicht berücksichtigt, obgleich diese als mögliches Einfallstor als besonders kritisch einzustufen sind.

Flache Netzwerkhierarchien und fehlende Segmentierung der Netze erleichtern einem Angreifer oder einer Schadsoftware, sich im Unternehmen auszubreiten („lateral movement“). Die Bildung geeigneter Teilnetze und die technische Absicherung an den Netzübergängen sind für eine hinreichende Absicherung jedoch zwingend erforderlich. So sollte besonders der Zugriff aus dem Office-Netz in die Produktion besonders restriktiv geregelt werden.

Zugangspunkte für einen Fernzugriff sind häufig unzureichend umgesetzt. Oftmals werden diese Systeme nicht gepflegt oder befinden sich in einer unsicheren Konfiguration. Gerade moderne Fernwartungslösungen enthalten jedoch eine Vielzahl sinnvoller Schutzfunktionen, die in der Praxis mit einem gewissen Maß an Fachkenntnissen gut umgesetzt werden könnten.

Häufig ist ein uneingeschränkter Zugriff auf das Internet aus der Produktion heraus möglich. Dies erhöht nicht nur die Wahrscheinlichkeit einer erfolgreichen Kompromittierung über manipulierte E-Mails oder infizierte Websites. Der Angreifer erhält damit zugleich die Möglichkeit, mit seiner Infrastruktur (Command and Control Server) Kontakt aufzunehmen, um weitere Anweisungen oder zusätzliche Schadmodule nachzuladen und gestohlene Daten nach außen zu schleusen.

Infrastrukturen in der Produktion unterliegen zudem nicht selten keiner hinreichenden Erfassung und Auswertung von Kommunikationsdaten und lokalen Ereignissen (Logging). Ohne diese Sammlung und Auswertung von Informationen über den ein- und ausgehenden Datenverkehr ist aber weder eine Erkennung erfolgreicher Kompromittierungen noch eine Aufbereitung/Forensik möglich.

3. Komponenten als Angriffsfläche

Oftmals ist bei Komponenten, wie etwa Bedienterminals, SPSen oder Engineering Workstations, keine sichere Standardkonfiguration vorhanden. So werden beispielsweise Dienste über das Netzwerk betrieben, die nicht benötigt werden und somit eine unnötige Angriffsfläche bieten.

In nahezu sämtlichen Unternehmen finden sich im Produktionsumfeld Standardpasswörter. Diese können von einem Angreifer genutzt werden, um ohne weiteren Aufwand einen Vollzugriff zu erlangen.

Besonders kritisch sind Standardpasswörter, wenn sie zu Benutzerkonten gehören, die den Verantwortlichen nicht bekannt sind oder die sich nicht ändern/deaktivieren lassen, da der Hersteller diese fest einprogrammiert hat. Auch vorhandene Sicherheitsmechanismen werden häufig nicht genutzt oder sind falsch konfiguriert.

USB-Sticks und andere Wechseldatenträger werden häufig unkontrolliert eingesetzt. Einerseits fehlt das Problembewusstsein bei den Mitarbeitern, andererseits sind keine physischen oder technischen Maßnahmen zur Absicherung umgesetzt. Dies erhöht besonders  die Gefahr einer Infektion mit nicht-zielgerichteter Schadsoftware massiv.

Veraltete Patchlevel stellen in der Produktion weniger ein Problem dar, sondern mit Blick auf das primäre Ziel der meist ständigen Verfügbarkeit der Maschinen eher eine Tatsache. Die Philosophie des „Wir können keine Softwareupdates einspielen“ gilt häufig nicht nur für den eigentlichen Produktionsprozess, sondern auch für externe Komponenten. Fernzugriffslösungen und Engineering Workstations nicht zu patchen, führt zu unnötigen und höchst kritischen Angriffsmöglichkeiten sowie einem hohen Potenzial für Kollateralschäden durch nicht-zielgerichtete  Schadsoftware.

Die Geräte für den Fernzugriff und Wartung vor Ort unterliegen oftmals keiner strengen Re- glementierung. Mitunter verwenden die eigenen Mitarbeiter private Geräte, die über kein hinreichendes Sicherheitsniveau verfügen.

Über die von Drittfirmen genutzten Clients besteht keine Kontrollmöglichkeit, sodass hier zumindest eine vertragliche Regelung hinsichtlich eines Basisschutzes getroffen werden sollte. Ein an das eigene Unternehmens- oder Produktionsnetz angeschlossene Gerät sollte mindestens über ein aktuelles Patchlevel und einen tagesaktuellen Virenschutz verfügen.

Die aufgeführten Mängel gehören aufgrund ihrer weiten Verbreitung und den damit verbundenen Risiken zu den Aspekten, die jeder Betreiber berücksichtigen sollte. Angesichts der Effektivität einer Kurzrevision sind zudem Anlagenbetreiber dazu angehalten, dieses Mittel für den Einstieg in das Thema ICS Security zu nutzen. Auch bei Unternehmen mit einem fortgeschrittenen Sicherheitsmanagement kann eine Revision ein wichtiges Element sein. Für die Vorgehensweise eignet sich als Orientierungshilfe u. a. die IS-Revision des BSI sowie der Cyber-Sicherheits-Check. (pi/wf)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*