Die Systemlösung für ein sicheres SCADA-System ist eine Gesamtlösung bestehend aus dem SCADA-System selbst (PCVUE), der Rechner-Hardware und einem sicheren Betriebssystem (KasperskyOS). Die Abkürzung KICS bedeutet Kaspersky Industrial Cybersecurity. (Bild: PCVUE Solutions)
IIOT-Lösungen ermöglichen sehr effiziente Produktionslösungen und sind mittlerweile in fast allen Bereichen vom Sensor und Aktor und bis zur Steuerung mit webbasierter Visualisierung zu finden. Dabei gehört Cybersecurity als zentraler Punkt zu jedem der oben genannten Begriffe und ist ganz wesentlich mit jedem davon verbunden. Diese Tatsache wird gern nach hinten gedrängt und vernachlässigt.
Persönliche Erfahrungen mit Virenscannern und Firewall-Einstellungen am privaten PC werfen oft ein getrübtes Licht auf das Thema Cybersecurity. Viele Unternehmen befürchten komplexe ‚Konfigurationsarbeiten‘, die nur noch von Experten erledigt werden können, und dass ihre Automatisierungssysteme langsamer und störungsanfälliger werden. Am Ende, so scheint es, werden diese Systeme zwar sicherer, aber auch deutlich teurer und kaum noch zu administrieren. Dabei sind sich die meisten Unternehmen sehr wohl bewusst, welche Gefahren ihnen drohen und welche immensen Schäden durch Angriffe aus dem Internet oder durch Unvorsichtigkeiten, zum Beispiel durch den Einsatz kompromittierter Speichermedien, entstehen können.
ECK-Daten
- ‚PCVUE Secure‘ ist eine Gesamtlösung für eine cybersichere, automatisierte Fertigung.
- Sie besteht aus einem SCADA-System, Rechner-Hardware und einem sicheren Betriebssystem.
- Die Gesamtlösung macht das Netzwerk nicht zu komplex und es bleibt damit gut administrierbar.
- Die einzelnen Komponenten sind dabei aufeinander abgestimmt.
- Das SCADA-System ist PCVUE; das sichere Betriebssystem KasperskyOS stammt von Kaspersky Lab.
Cybersicherheit erfordert eine ganzheitliche Lösung
Genau in diesem Punkt setzt die Komplettlösung von PCVUE Solutions und Kaspersky Lab an. Gemeinsam haben die beiden Unternehmen dafür eine Gesamtlösung entwickelt, eine verständliche und administrierbare Automatisierungslösung, die zuverlässig gegen Bedrohungen aus dem Netz schützt. Sie besteht aus einem SCADA-System, Rechner-Hardware und einem sicheren Betriebssystem. Die einzelnen Komponenten sind dabei aufeinander abgestimmt. Die Gesamtlösung kann zudem gewissermaßen ‚von der Stange‘ eingesetzt werden. Sie unterstützt Unternehmen, die als ‚informationssicher‘ gelten wollen und deshalb eine Zertifizierung nach der ISO 270001 anstreben.
Die Hauptbestandteile der hier vorgestellten Komplettlösung sind die unter Windows laufende SCADA- und Automatisierungs-Software PCVUE und das darum liegende, hermetisch geschlossene Betriebssystem KasperskyOS von Kaspersky Lab. Alles ist vorinstalliert und als Bundle geschnürt auf einem Server oder PC von Advantech. Die SCADA- Software PCVUE läuft dabei auf einer virtualisierten Windows-Instanz, ummantelt von der geschützten KasperskyOS-Umgebung. In dieser geschützten Umgebung lassen sich weitere Windows-Anwendungen parallel installieren und ausführen. Das Betriebssystem ist dabei der Datenwächter, der jedes Datenpaket, das von der Software zur Feldebene und von der Feldebene zurück übertragen wird unmittelbar analysiert und überwacht. Dieses System wird unter dem Handelsnamen PCVUE Secure vermarktet.
Gefahren für SCADA-Systeme aus dem Internet
Die Gefahren für SCADA-Systeme sind vielfältig: infizierte USB-Sticks, unsichere Wireless-Lösungen, infizierte Laptops und SPS-Logiken, unsichere Internetverbindungen oder unsicherer Remote-Support. Die Auswirkungen sind dementsprechend vielfältig: Änderungen der Prozessleitsysteme, Änderungen der Betriebsparameter, Änderungen der Messwerte, Überschreiben von Sollwerten und mögliche Stopp-Befehle. Das Betriebssystem ist dabei nur ein Bestandteil der umfangreichen Systemlösung zur Absicherung von industriellen Prozessen die unter dem Namen KICS (Kaspersky Industrial Cybersecurity) zusammengeführt werden. Ein industrieller Prozess besteht aus weiteren Komponenten über das SCADA-System hinaus. KICS verfolgt im Hinblick auf die industrielle Cybersicherheit einen ganzheitlichen Ansatz; es ist ein Gesamtprogramm, bestehend aus Technologien und Services, das umfassenden Schutz für jede einzelne Ebene von Industriesystemen bietet, darunter auch für SCADA-Server, HMI-Paneele, Engineering-Workstations, SPS, Netzwerkverbindungen und Mitarbeiter.
Thema auf der nächsten Seite: Schutz über das SCADA-System hinaus.
Bedrohungen aus dem Netzwerk für SCADA-Systemlösungen: infizierte USB-Sticks, unsichere Wireless-Lösungen, infizierte Laptops und SPS-Logiken, unsichere Internetverbindungen oder unsicherer Remote-Support. PCVUE Solutions
Schutz über das SCADA-System hinaus
Bei der hier beschriebenen Gesamtlösung kommt eine Kombination konventioneller Sicherheitstechnologien zum Einsatz, beispielsweise Malware-Schutz, Whitelisting und Vulnerability Management. Dazu zählt unter anderem auch die Gerätezugriffskontrolle, mit der sich Verbindungen zu Wechseldatenträgern oder Peripheriegeräten verwalten lassen. Das kombinierte System erkennt zum Beispiel auch, wenn ein Mitarbeiter einen USB-Stick im Netzwerk verwendet. Die konventionellen Funktionen sind mit Schutzvorrichtungen für industrielle Umgebungen erweitert, zum Beispiel die Integritätskontrolle oder das semantische Monitoring von Prozesskontrollbefehlen. Die KICS-Systemlösung bietet außerdem einen speziellen Überwachungsmodus, der für die Entdeckung von Cyberangriffen, Betriebsfehlern von Mitarbeitern und Anomalien innerhalb des Industrienetzwerks entwickelt wurde.
Trotz des wachsenden Bewusstseins für cyberbasierte Angriffe auf industrielle Steuerungssysteme verharren viele Modelle zur IT-Sicherheit bei der mittlerweile veralteten Ansicht, dass physisch isolierende Systeme (durch Luftschleusen, sogenannte ‚Air Gaps‘) und ‚Security by Obscurity‘ ausreichen. Das ist aber nicht der Fall: Im Zeitalter von Industrie 4.0 sind die meisten nicht-kritischen Industrienetzwerke über das Internet zugänglich. Eine umfangreiche Studie von Kaspersky Lab mit Daten aus dem Kaspersky Security Network konnte zeigen, dass viele in Industrieanlagen eingesetzte PCs (Operational Technology, OT) mit derselben Malware infiziert sind, die auch die Unternehmenssysteme (IT) befallen. Darunter bekannte Übeltäter wie Trojaner, Viren, Würmer, PUPs (potenziell unerwünschte Software) sowie andere Angreifer, die es auf Schwachstellen im Windows-Betriebssystem abgesehen haben.
Als weitere Bedrohung für Steuerungssysteme liegen Erpresser-Programme (Ransomware) im Aufwärtstrend. Zwischen 2015 und 2016 haben sich die Zahl und der Umfang der entwickelten Ransomware drastisch erhöht. Diese neu aufkommenden Erpresser-Programme haben große Auswirkungen auf die Industrieproduktion, weil derartige Infektionen zu sehr schweren Schäden führen können. Für Angriffe auf industrielle Systeme entwickelte Ransomware enthält oft besondere Funktionen: anstatt benötigte Dateien zu verschlüsseln, besteht das Ziel dieser Malware oft darin, die betrieblichen Abläufe zu stören oder den Zugriff auf eine wichtige Ressource zu blockieren.
Bewährte SCADA-Technik jetzt cybersicher
Die PCVUE-Software ist das eigentliche Herzstück der Gesamtlösung PCVUE Secure, und mit mehr als 65.000 Installationen weltweit verbreitet. Neben der Visualisierung steht ein ausgeklügeltes Überwachungs- und Alarmierungssystem zur Verfügung. Die Anbindung an die SPS-Steuerungen und die Feldebene erfolgt über eine Vielzahl von Treibern, die in die SCADA- und Automatisierungs-Software PCVUE implementiert sind. Neben den Standard-Industrieprotokollen stehen weitere IoT-Protokolle wie OPC UA und MQTT zur Verfügung. Zu den gängigen Gebäudeleittechnik-Protokollen wie zum Beispiel BACnet, Dali, KNX, SNMP oder LonWorks verfügt das System ebenfalls über Treiber.
SPS IPC Drives 2018: Halle 6, Stand 460
