Industrielle Cyber-Sicherheit

12 Schritte zur Risikominimierung

Anzeige
In den vergangenen Jahren hat die überwiegende Mehrheit der Unternehmen und Anlagenbetreiber erste Schritte zur Absicherung ihrer industriellen Cyber-Sicherheit unternommen. Es überrascht jedoch niemanden, dass täglich neue Bedrohungen auftauchen. Durch die Implementierung der im Folgenden beschriebenen 12 Schritte können Betriebsleiter aktive Maßnahmen ergreifen, um in dieser sehr dynamischen und bedrohten Umgebung immer einen Schritt voraus zu sein.

Die jüngsten Attacken durch die Erpressungssoftware „Wanna Cry“, „Petya“, „Not-Petya“, „Bad Rabbit“ oder der Cyber-Angriff auf den Stahlwerk-Hochofen in Deutschland führen vor Augen, dass Cyber-Angriffe jederzeit und aus allen möglichen Richtungen kommen können. Selbstverständlich sind die Unternehmen nicht in der Lage, exakt vorherzusagen, wann oder wie eine Einrichtung angegriffen wird, aber sie können ihr Risiko bei unterschiedlichen Bedrohungsszenarien einschätzen. Im Gegensatz zur generellen Cyber-Sicherheit, die gegen Angriffe auf IT-Systeme schützt und bei der die Folgen den Verlust geistigen Eigentums, von Datenbeständen oder Nutzungsausfall bedeuten können, konzentriert sich dieser Beitrag vorrangig auf die industrielle Cyber-Sicherheit. Diese schützt gegen Cyber-Angriffe auf industrielle Leitsysteme, mit denen Produktion und betriebliche Abläufe überwacht und gesteuert werden.

Ein industrielles Prozessleitsystem enthält Router, Switches, Regelungs- und Steuerungskomponenten sowie windowsbasierte Server und Workstations, die alle über das leittechnische Netzwerk (Process Control Network, PCN) kommunizieren. Es ist wichtig, dieses PCN und alle angeschlossen Geräte hinsichtlich Bedrohungen und Schwachstellen der Cyber-Sicherheit zu überwachen. Ein einzelnes befallenes Gerät an einem PCN kann als Einfallstor für Zugriff, Modifizierung oder Abschaltung weiterer Knotenpunkte dienen. Ist die Sicherheit des Prozessleitsystems beeinträchtigt, können Betriebsabläufe und Produktion mit möglicherweise verheerenden Folgen betroffen sein. Diese Folgen umfassen den möglichen Verlust der Produktion, aber auch die Zerstörung von Produktionsanlagen und Einrichtungen, Tod oder Verletzung von Mitarbeitern, Explosionen und die Freisetzung giftiger Gase oder Rauch mit Verletzung und Tod externer Mitarbeiter oder Zivilisten, Beeinträchtigungen der Umwelt, behördliche Bußgelder, Beschädigung der Unternehmensreputation sowie Vertrauensverlust bei Investoren und Kunden.

Risiken eines Cyber-Angriffs reduzieren

Für die Bausteine, Endpunkte, Workstations, Computer und Server eines industriellen leittechnischen Netzwerks sollten daher die nachfolgenden 12 Schritte ausgeführt werden, um das Risiko eines Angriffs auf die industrielle Cyber-Sicherheit zu minimieren:

  • 1. Erstellen aller Datensicherungen (Back-ups) der Software des Leitsystems gemäß den vom Hersteller herausgegebenen Vorgaben
  • 2. Installation und sachgerechte Konfiguration von Firewalls
  • 3. Installieren aller wichtigen Softwarekorrekturen (Patches) in industriellen Leitsystemen sobald wie möglich und Verwendung von Mechanismen zum Schutz der Systeme zwischen den Wartungs- und Patch-Zyklen
  • 4. Aktualisierung der Software zum Schutz gegen Schadsoftware und Viren (AV) sowie der Dateien mit Virendefinitionen
  • 5. Installieren von Application Whitelisting (Technologie, die nur die Ausführung akzeptierter oder bekannter Dateien erlaubt). Dies wird erreicht, indem man eine Liste geprüfter Anwendungen erstellt und nur diese ausführen lässt.
  • 6. Installieren einer automatischen Methode zur Überwachung von Assets oder Knotenpunkten im leittechnischen Netzwerk, einschließlich der Infrastrukturkomponenten, PCs und Server
  • 7. Installieren einer Methode zur automatischen Erkennung verdeckter oder defekter Komponenten (z. B. leittechnische Komponenten, die über das Netzwerk kommunizieren, aber nicht bezüglich Cyber-Risiken überwacht werden). Dabei kann es sich um mitgebrachte Wechselmedien handeln wie beispielsweise USB-Laufwerke und CD/DVDs oder Laptops und Smartphones.
  • 8. Schulung von Firmenmitarbeitern über die Sicherheit industrieller Leitsysteme, einschließlich der Bedeutung von Passwortüberprüfungen und der Sensibilisierung zu Social Engineering-Angriffen. Prozentuale Angaben über Verletzungen der Richtlinien und erkannte Sicherheitsvorfälle sollten automatisch festgehalten werden. Verpflichtende Passwortwechsel in regelmäßigen Abständen sind Bestandteil einer Passwortüberwachung.
  • 9. Automatische Überwachung des Status von Anlagen und Netzwerken mit relevanten Indikatoren zur industriellen Cyber-Sicherheit. Aufzeigen, wie sich der Sicherheitszustand verbessert.
  • 10. Überwachung des prozentualen Anteils der leittechnischen Hardware und von Knoten- und Endpunkten, die nicht von bekannter Schadsoftware und Viren befallen sind.
  • 11. Automatische Bestimmung allgemeiner Schwachstellen in der leittechnischen Hardware, den Knoten- und Endpunkten und Dokumentation, ob die Anzahl zunimmt.
  • 12. Automatische Methode, die auf den Ursprung einer Cyber-Bedrohung verweist. Das kann auch Verbindungen zwischen dem Informationsnetzwerk des Unternehmens und dem industriellen leittechnischen Netzwerk einbeziehen.

Laufende Überwachung der Risiken und Bedrohungen

Die Möglichkeit zur schnellen Überwachung der mit diesen 12 Schritten gekoppelten Indikatoren und die Wahrnehmung ihrer zeitlichen Änderung sind für den Erfolg der industriellen Cyber-Sicherheit sehr wichtig. Der Honeywell Risk Manager beispielsweise ist eine Lösung, die speziell zur Überwachung von Risiken, Schwachstellen und Bedrohungen dieses Sicherheitsbereichs entwickelt wurde. Skalen und Trends zeigen den aktuellen und veränderlichen Status von Risiken. Meldungen erklären und verweisen auf Warnungen und Fehler von Eingangsdaten. Detailansichten ermöglichen dem Anlageningenieur die exakte Identifikation von Knotenpunkt, Endpunkt, Server, Einrichtung oder Computer, die den Alarm oder die Warnung ausgelöst haben. Veränderungen der Trend- oder Risikodaten im Werk lassen erkennen, ob sich das Risiko der Cyber-Sicherheit verbessert oder verschlechtert. Standardisierte Berichte mit den wesentlichen Indikatoren zur industriellen Cyber-Sicherheit können erstellt werden.

Die Anlagenmitarbeiter, die diese Lösung nutzen, müssen keine Fachleute auf dem Gebiet der industriellen Cyber-Sicherheit sein, um die Risiken in der Anlage zu überwachen und zu minimieren – das bestätigen auch die bereits aktiven Anwender aus der Praxis. Da das Personal aus dem Bereich der Prozessautomation sehr einfach das sicherheitsrelevante Risikoprofil täglich einsehen kann, ist für diese Aufgabe kein zusätzlicher Mitarbeiter notwendig. Im Falle eines Cyber-Angriffs erhalten die Ingenieure Hinweise per E-Mail und können daraufhin die Sicherheitsrisiken des Systems analysieren und priorisieren. Ebenfalls können Sie in einem solchen Fall zu den Details des Problems verzweigen und mit minimalem Aufwand schnelle lokale Entscheidungen treffen. Darüber hinaus kann mit dieser Lösung der Sicherheitszustand von Anlage und PCN auf täglicher oder bei Bedarf häufigerer Basis bewertet werden.

Anlagen und Systeme kontinuierlich überwachen

Auf Technologieebene ist es schon lange möglich, die eigenen Anlagen und Systeme sowie das IT-Netzwerk zu erfassen und kontinuierlich zu überwachen. Ergänzend zum Risk Manger bietet allein Honeywell beispielsweise mit ICS Shield eine Top-Down-Plattform für das OT-Sicherheitsmanagement an, die als Basis für die Sicherung von ICS-/SCADA-Umgebungen (Industrial Control Systems) dienen kann. Sie bietet unter anderem Funktionen zur Erkennung und Überwachung von Anlagenkomponenten, einen sicheren Fernzugang von einem zentralen Bedienzentrum aus sowie sichere Datenübertragung, automatisierte Patches und AV-Updates. Der Anwender profitiert von einer automatisierten und integrierten Top-Down-Vorgehensweise zur Erstellung und Anwendung anlagenweiter Security-Richtlinien sowie von Transparenz, Zuverlässigkeit und Behördenkonformität.

Eine der größten Sicherheitsgefahren können neben den Gefahrenquellen von außerhalb auch die eigenen Mitarbeiter sein und ein allzu oft unbedachter Umgang mit Unternehmensdaten und Speichermedien. Damit beispielsweise ein USB-Stick nicht zum Einfallstor für unbefugte Netzwerkzugriffe wird, bietet Honeywell mit Secure Media Exchange (SMX) eine Lösung für den sicheren Medienaustausch. Bestehend aus einer Hardware-Box und einer entsprechenden Software, reduziert SMX das Cyber-Sicherheitsrisiko und begrenzt Betriebsstörungen durch Überwachung, Schutz und Protokollierung der Verwendung von Wechselmedien in industriellen Einrichtungen.

Ergänzend werden von Honeywell eine Reihe von Services angeboten zur Erfassung und Bewertung der jeweiligen Bedrohungslage, der Cyber-Sicherheitsprofilerstellung für das entsprechende Unternehmen sowie für die Technologieintegration und das Training des zuständigen Personals. Selbst die Auslagerung bestimmter Maßnahmen, beispielsweise das automatische Patchen oder die regelmäßige Überwachung und Benachrichtigung im Falle eines Alarms sind heutzutage mit entsprechenden Managed-Services-Paketen möglich.

Bereitschaft seitens der Unternehmen stärken

Die vorhandenen technologischen Möglichkeiten helfen jedoch nicht, wenn es an der Bereitschaft seitens des Unternehmens und sogar ganzer Branchen mangelt. Ein Beispiel sind die Betreiber kritischer Anlagen (Kritis) in Deutschland, die mit dem vom BSI verabschiedeten IT-Sicherheitsgesetz stärker in die Pflicht genommen werden sollten. In der Praxis sind aber viele der betroffenen Unternehmen aus diversen Gründen noch längst nicht so weit, die Vorgaben im Bereich Automation Security erfüllen zu können. Mit der Bereitschaft dazu hapert es hier am meisten. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Auf der anderen Seite ist das Thema Cyber-Sicherheit bis heute kaum so richtig beim C-Level angekommen mit der Folge, dass entsprechendes Know-how und Ressourcen fehlen.

Was ein erster wichtiger Schritt sein könnte, ist die Analyse der eigenen Bedrohungslage und die Erstellung eines entsprechenden Gefahren- und Sicherheitsprofils. Schließlich müsste jeder Anlagenbetreiber zumindest daran interessiert sein zu wissen, wer denn eigentlich potenzielle Angreifer in seinem individuellen Fall wären und inwiefern er bereits dagegen gewappnet ist. Die Angst vor ungeplanten Investitionen ist möglicherweise unberechtigt, nur bleibt sie im Falle von Unwissenheit bestehen.

Nun ist es bei solch einer Assessment-Profilierung aber auch wichtig, Farbe zu bekennen und sich der wirklichen Bedrohung und den damit verbundenen, mit zunehmender Stufe steigenden Vorbereitungsmaßnahmen zu stellen. Eine Einordnung in ein niedriges Security-Level bzw. Bedrohungsprofil ist ein trügerisches Sicherheitsgefühl und hält einer detaillierten Risikobewertung meist nicht stand. Die Realität präsentiert sich jedoch allzu oft in genau dieser Form. So mancher Kritis-Betreiber, für den schon Level 2 (ziellose Angriffe) normalerweise unzureichend ist und der zumindest Level 3 (zielgerichtete Angriffe gegen ein bestimmtes Unternehmen) bräuchte, findet sich letztendlich auf Level 1 wieder. Die Chemiebranche hat es zudem geschafft, gar nicht erst in den derzeitig definierten Körben des BSI zu landen. Sie wird wahrscheinlich erst in einigen Jahren in die Pflicht genommen. Diese graue Zone in den Bereichen chemischer Zulieferer wird sich jedoch in absehbarer Zeit schließen. Eine Vorbereitung ist im heutigen Wettbewerb zwingend erforderlich. Zumal der Umsetzung auch eine gewisse Implementierungszeit vorrausgeht. Klar ist, dass niemand zu erhöhten Cyber-Sicherheitsmaßnamen oder in ein höheres Level gezwungen wird. Letztlich entscheidet jedes Unternehmen und jeder Betreiber einer kritischen Anlage selbst, wie viel Risiko er tragen möchte, sowohl wirtschaftlich als auch gesellschaftlich. Für all jene, die aber bereit sind, das Thema Cyber-Sicherheit ernst zu nehmen und entsprechende Maßnahmen zu treffen, stehen bereits eine große Auswahl funktionaler Technologien sowie unterstützender Services bereit, sodass ein individuelles Konzept entwickelt werden kann.

www.prozesstechnik-online.de

Suchwort: cav0318honeywell


Autor: Thomas Ayral

Cyber Security Specialist,

Honeywell Industrial Cyber Security


Autor: Konstantin Rogalas

Business Lead,

Honeywell Industrial Cyber Security Zentral-und Süd-Europa


Studie: UMSETZUNG in Unternehmen

Honeywell veröffentlichte im Dezember 2017 eine Studie, nach der industrielle Unternehmen nur zögerlich Cyber-Security-Maßnahmen zum Schutz ihrer Daten und Betriebe vorsehen, obwohl Angriffe weltweit zunehmen. Die Studie „Putting Industrial Cyber Security at the Top of the CEO Agenda“ wurde von LNS Research erstellt und von Honeywell unterstützt. Es wurden
130 strategische Entscheidungsträger industrieller Unternehmen bezüglich ihres Vorgehens zum Industrial Internet of Things (IIoT) sowie ihrer Nutzung industrieller Cyber Security Technologien und deren Umsetzungen befragt.

Die Ergebnisse belegen u. a.: Über die Hälfte der Befragten berichten von bereits erfolgten Angriffen auf die Cyber-Sicherheit in ihrer industriellen Anlage, 45 % der teilnehmenden Firmen haben in ihren Unternehmen noch keinen Verantwortlichen für Cyber Security benannt und nur 37 % überwachen auf verdächtige Vorgänge. Auch wenn viele Firmen regelmäßige Risikoanalysen erstellen, 20 % führen keine derartigen Erfassungen durch. Die Studie empfiehlt allen industriellen Organisationen, die industrielle Cyber-Sicherheit als Teil der Strategien zur digitalen Transformation zu betrachten. „Cyber Security muss auf die Agenda von jedem CEO, um die effektive, schnelle und langfristige Realisierung von Strategien und Technologien wie dem IIoT abzusichern“, empfihlt Matthew Littlefield, President und Principal Analyst, LNS Research. „Damit ein Unternehmen auf seinem Weg der digitalen Transformation Erfolge verzeichnen kann, muss es bei der industriellen Cyber-Sicherheit erfolgreich sein.“


Anzeige

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de