Der erste Schritt die Cyber-Sicherheit von Industrieanlagen zu verbessern, ist sich vor Augen zu führen, wogegen sich die Industrie denn verteidigen muss. Stuxnet ist das Musterbeispiel für den gezielten Angriff auf eine Anlage. Aber sind solche Angriffe die gefährlichsten? Sind Angriffe tatsächlich immer zielgerichtet? Und sind es immer hochgradig professionelle Angreifer, die versuchen, in die Infrastruktur einzudringen?
Bei Angriffen auf Steuerungskomponenten gibt es zunächst die sogenannten Script Kiddies. Diese haben mitunter nur rudimentäre Kenntnisse von IT-Sicherheitsmaßnahmen und wie sie diese umgehen können. Sie nutzen vielmehr frei verfügbare Tools, um bekannte Schwachstellen über das Internet auszunutzen. Solche Angreifer agieren häufig nicht zielgerichtet und sind daher im Bereich Cyber-Vandalismus einzuordnen.
Mit sehr viel mehr Know-how gehen Angreifer vor, die gezielt in Unternehmen eindringen, um beispielsweise Intellectual Property und andere Firmengeheimnisse wie Kundendaten oder vertrauliche Informationen zu Vertragsverhandlungen zu stehlen. Solche geschulten Hacker können aber auch die Manipulation und Sabotage von Anlagen als Ziel haben.
Nicht zu vernachlässigen ist auch das Thema Innentäter. Unabhängig davon, ob vorsätzlich oder fahrlässig, stellen sich die eigenen Mitarbeiter immer wieder als Verursacher eines Angriffs oder zumindest einer Gefährdung heraus.
Angriffsvektor Eins: Über das Office
Ein Großteil der Angriffe ist zunächst auf die Standard-IT im Unternehmen gerichtet. Dies kann eine mit Schadcode infizierte E-Mail sein, die ein Vertriebler unbedacht öffnet oder eine infizierte Webseite, die ein Ingenieur von seinem Arbeitsplatz aus besucht. Ist eine solche Infektion erst einmal erfolgt, kann sich der Angreifer sukzessive im Unternehmen ausbreiten. Häufig zielt die Suche auf vertrauliche Informationen wie Konstruktionspläne, Rezepturen oder Kundendaten ab. Der Informationsdiebstahl fällt dabei häufig erst dann auf, wenn ein Konkurrent ein nahezu baugleiches Produkt zu einem Kampfpreis anbietet.
Gerade im Fall eines Informationsdiebstahls ist es natürlich im Interesse des Angreifers, möglichst lange unbemerkt zu bleiben und somit über einen langen Zeitraum Zugriff auf Unternehmensdaten zu haben. Man spricht dabei häufig von einem sogenannten Advanced Persistent Threat (APT). Alternativ kann ein Angreifer aber auch physischen Schaden anrichten, indem er Steuerprogramme manipuliert und so die Qualität der Produkte beeinträchtigt oder einen Schaden an den Produktionsanlagen verursacht.
Angriffsvektor Zwei: Per Fernwartung
Ein kritischer Faktor bei der Sicherheit von Industrieanlagen sind laut BSI die Fernwartungszugänge, die häufig Integratoren oder Maschinenbauer aufbauen. Diese offerieren in der Regel die jeweils von ihnen präferierte Technologie. Sonderwünsche der Kunden haben Auswirkungen auf den Preis und das verfügbare Service Level. Ist ein Fernzugriff zum Beispiel über GSM oder UMTS nicht hinreichend gesichert, kann ein Angreifer hier direkt eindringen und befindet sich somit unmittelbar im Produktionsnetz. Die ferngewarteten Komponenten bilden damit einen Brückenkopf in das Produktionsnetz, wodurch sich gegebenenfalls vorhandene Sicherheitsmaßnahmen wie Firewalls umgehen lassen. Häufig finden sich in Fernwartungskomponenten veraltete Software-Versionen, sodass der Angreifer mit wenig Aufwand einen Zugriff mit Administratorrechten erlangen kann.
Angriffsvektor drei: Kollateralschäden
Der Einsatz von Antiviren-Software sowie das Einspielen von Softwareupdates sind im Produktionsnetz häufig nicht möglich. Daher besteht eine besondere Gefahr durch eine Infektion mit nicht-zielgerichteter Schad-Software. Solche Kollateralschäden resultieren beispielsweise aus dem fahrlässigen Umgang mit USB-Sticks oder dem Internetzugriff aus dem internen Netz heraus. Die Wahrscheinlichkeit für das Auftreten solcher Kollateralschäden ist hoch und deren Folgen können bei einem Produktionsausfall schnell zu einer ernsthaften finanziellen Bedrohung für das Unternehmen werden.
Vor rund zehn Jahren gab es eine Reihe prominenter Vorfälle, die gezeigt haben, dass eine nicht-zielgerichtete Schad-Software Industrieanlagen massiv beeinträchtigen kann. Slammer ist beispielsweise ein Wurm aus dem Jahr 2003, dessen einzige Funktion seine eigene Verbreitung war. Da der Mechanismus zur Verbreitung ununterbrochen weiterarbeitete, brachen die betroffenen Netzwerke unter der immensen Netzlast zusammen. Dies führte in mehreren Fällen zum Ausfall von Safety-Systemen in Industrieanlagen.
Was tun?
Mit Blick auf das aktuelle Lagebild muss es das primäre Ziel eines Anlagenbetreibers sein, die Eintrittswahrscheinlichkeiten und die Schadensfolgen von verbreiteten Angriffsarten zu verringern. Anlagenbetreiber müssen sich dabei von der Vorstellung eines sicheren ‚Plug and Produce‘ lösen. Nur durch kontinuierliche Überprüfung und Umsetzung von Sicherheitsmaßnahmen seitens der Betreiber lässt sich ein hinreichendes Sicherheitsniveau erreichen. Bei diesen Maßnahmen handelt es sich nicht nur um technische Maßnahmen, denn Cyber-Sicherheit kann man nicht als ein fertiges Produkt kaufen. Vielmehr spielen gerade organisatorische Maßnahmen – beispielsweise im Bereich Sicherheitsmanagement, Sensibilisierung oder Notfallvorsorge – eine zentrale Rolle. Mit einer geeigneten Kombination aus organisatorischen, architekturellen und technischen Maßnahmen kann vielen Bedrohungen effektiv begegnet werden.
Der erste Schritt für Betreiber ist zunächst Basismaßnahmen umsetzen. Ohne diese ist eine strukturierte und effiziente Vorgehensweise bei der weiteren Planung meist nicht möglich. Diese Basismaßnahmen bestehen aus:
- Aufbau einer Security-Organisation inklusive Rollen und Verantwortlichkeiten
- Erstellen und Pflegen der Dokumentation zur IT-Security
- Vorhalten aktueller Netzpläne
- Pflege einer Liste der IT-Systeme und installierten Anwendungen
- Vorhalten von Administrations- und Benutzerhandbüchern
Der zweite Schritt besteht darin, Best Practices umzusetzen. Die bewährten Best Practices für Anlagenbetreiber lassen sich wie folgt ordnen:
- Security-spezifische Prozesse/Richtlinien: Security Management, Notfallvorsorge, personelle Aspekte (Sensibilisierung und Schulung), Revision und Tests
- Security-Aspekte bei der Auswahl der verwendeten Systeme und Komponenten sowie der eingesetzten Dienstleister und Integratoren beachten: Security-Merkmale von Industriekomponenten, Inbetriebnahme in sicherer Standardkonfiguration, Fernwartung
- Bauliche und physische Absicherung: für Gebäude, Räume und Schränke
- Technische Maßnahmen: Absicherung der Netze, Dienste und Protokolle, Systemhärtung, Schutz vor Schad-Software, Datensicherung, Protokollierung und Auswertung
Die Eignung und Umsetzbarkeit dieser Maßnahmen sind dabei für den jeweiligen Fall zu prüfen. Als Beispiel sei hier der Virenschutz genannt. Prinzipiell ist jedes IT-System und auch jede IT-basierte Steuerungskomponente von Schad-Software bedroht. Produkte zum Schutz vor Schad-Software sind heute meist signaturbasiert. Ein hinreichender Schutz ist also nur dann gegeben, wenn die Signaturen mindestens tagesaktuell sind. Jedoch bedeutet jede Aktualisierung der Virensignaturen eine Änderung am System. Und jede Änderung gefährdet potenziell die Verfügbarkeit und Integrität des Systems. Zudem verbieten betriebliche Vorgaben – zum Beispiel aus dem Bereich Safety – häufig jede Änderung. Daher muss für einen Virenschutz bewertet werden, wo dieser am besten zu verorten ist. Beispielsweise kann ein netzwerk-basierter Ansatz dazu dienen, Schad-Software aus E-Mails oder Webseiten herauszufiltern. Zudem kann festgelegt werden, dass Wechseldatenträger – zum Beispiel vom Wartungspersonal – bevor sie in die Produktion gelangen mit einem aktuellen Virenschutz geprüft werden. In beiden Fällen kommen Lösungen zum Einsatz, die außerhalb der Produktion betrieben werden und diese daher nicht unmittelbar beeinflussen. Alternativ zum klassischen, signaturbasierten Virenschutz kann das sogenannte Application Whitelisting zum Einsatz kommen, das keine Signatur-Updates benötigt und häufig vom Steuerungshersteller für den Einsatz zertifiziert ist.
Sicherheit in industriellen Anlagen darf aber nicht als einmaliges Projekt verstanden werden, sondern muss als kontinuierlicher Prozess im Unternehmen gelebt werden. Ziel der Bemühungen sollte das Etablieren eines Sicherheitsmanagements sein. Denn nur durch einen solchen ganzheitlichen Ansatz ist eine zielgerichtete und effiziente Umsetzung einer Sicherheitsstrategie möglich.
ICS Security Kompendium
Ziel und Ausblick
Mit dem ICS Security Kompendium bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein kostenloses Grundlagenwerk zur Sicherheit in industriellen Anlagen an. Basismaßnahmen und Best Practices zur Cyber-Sicherheit bilden den Schwerpunkt. Mit dem Kompendium wird Anlagenbetreibern ein Dokument an die Hand gegeben, mit dem sie in das Thema Security einsteigen können. Das ICS Security Kompendium soll einen Rahmen für zukünftige Vorhaben bilden und geht deswegen nicht in auf die Besonderheiten einzelner Industriebranchen ein. Es eignet sich neben der Sensibilisierung auch für den Einsatz in Lehre und Ausbildung sowie als Einstiegslektüre für Berufsstarter. Aus diesem Grund gibt es einerseits IT-Experten eine Einführung in die Spezifika von Industrieanlagen, andererseits werden Fachleuten aus der Industrie die Gefährdungen für solche Anlagen aufgezeigt. Darüber hinaus bietet das Kompendium eine Grundlage, auf der entsprechende Verbände und Organisationen weitergehende, spezifische Sicherheitsanforderungen oder Handlungsempfehlungen erarbeiten können. In der Erweiterung des ICS Security Kompendiums wird der Fokus dahingehend erweitert, dass neben Betreibern auch Hersteller und Integratoren stärker adressiert werden.
Holger Junker
(mf)