Schwachstellen für Cyber-Attacken aufspüren und beseitigen

Hacker müssen draußen bleiben

Anzeige
Die deutsche Chemiebranche gehört zu bevorzugten Zielen von Cyber-angreifern. Allerdings ist es nicht nur für die Chemie eine Herausforderung, industrielle Steuerungssysteme besser gegen Cyberattacken absichern. Im Folgenden werden wesentliche Grundsätze der Absicherung und Lösungsansätze, wie sich Sicherheitsvorfälle treffsicherer erkennen und zielgerichteter bearbeiten lassen, vorgestellt.

Unternehmen sollten ihre aktuelle IT-Schutzstrategie regelmäßig auf Wirksamkeit überprüfen. Angesichts der steigenden Vernetzung zwischen Administration und Produktion sowie der zunehmenden Verbreitung mobiler Kommunikation (BYOD – „Bring your own device“) ist es unerlässlich, die Office- und die Produktions-IT integriert zu betrachten. Dabei ist es wesentlich, in der Analyse alle technischen wie organisatorischen Maßnahmen zu berücksichtigen, die bereits umgesetzt sind. Folgende Leitfragen sind dabei sinnvoll:

  • Welche Schnittstellen gibt es zwischen diesen Netzen sowie nach außen?
  • Aus welchen Netzbereichen heraus ist ein Zugriff auf die Anlagen möglich?
  • Wie sind diese Schnittstellen abgesichert?
Auf Basis dieser Informationen lässt sich ermitteln, welche Sicherheitslücken die IT-Netze derzeit aufweisen. Relativ häufig sind die folgenden Angriffsvektoren in der Praxis anzutreffen: Netztrennung, Remotezugänge und physikalischer Zugriff. Sind die klassischen Office-IT-Netzwerke und die Produktionsnetze nicht konsequent voneinander getrennt, können Angreifer Produktionsanlagen stören, bis hin zur gezielten persistenten Manipulation der Anlagen, die allerdings oft lange unbemerkt bleibt. Sind Office-IT und Produktions-IT bereits getrennt, sollte man die technischen Maßnahmen der Netzwerktrennung hinterfragen. Je nach Angriffsvektor ist eine klassische „Port Firewall“ möglicherweise nicht ausreichend.
Produktionssysteme sind vielfach per Remotezugang direkt oder indirekt über das Internet erreichbar, damit Systemhersteller oder Anlagenbetreiber ihre Diagnose oder Wartung durchführen können. Über die klassischen IT-Systeme können diese Schnittstellen ebenfalls eine Schwachstelle sein. Bei der Fernwartung erfolgt der Zugriff auf die Produktionssysteme vielfach von einem System, das nicht der Kontrollhoheit der eigenen Organisation unterliegt, sondern der des Anlagenherstellers oder -betreibers. Ist dem Auftragnehmer Informationssicherheit nicht so wichtig wie dem Auftraggeber, drohen diesem unter Umständen auch seitens Lieferant bzw. Partner sicherheits- und compliancerelevante Implikationen, die kritisch zu hinterfragen sind und ggf. auch Relevanz für Compliancefragen haben können.
Wartung und Diagnose werden oft auch per physikalischem Zugriff durchgeführt – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware auf die PLC (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren. Stuxnet, ein Schadprogramm, das speziell zum Angriff auf SCADA-Systeme entwickelt wurde, ist ein erfolgreiches Beispiel für eine solche Kompromittierung.
Konsequente Absicherung
Wie lassen sich Produktionsanlagen aktiv sinnvoll absichern? Eine sinnvolle Option sind sogenannte Next Generation Firewalls, die eine protokoll- bzw. applikationsspezifische Absicherung erlauben. Anders als klassische „Port Firewalls“ ist es damit möglich, ein IEC 104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren.
Um einen automatischen, unbefugten Zugriff auf Steuerungssysteme per VPN-Verbindung zu unterbinden, sollten diese konsequent durch eine 2-Faktor-Authentisierung abgesichert werden. Selbst wenn Schadsoftware die Zugangsdaten zu den Produktionssystemen mitschneidet, ist ein manipulativer System-Zugriff nur dann möglich, wenn der zweite erforderliche Faktor, – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software-Token oder einer SMS – verfügbar ist.
Um zu verhindern, dass über nicht kontrollierte Dienstleistersysteme Schadsoftware auf die Produktions-IT gelangt, sind reaktive und forensisch nachvollziehbare Absicherungen zu empfehlen, z. B. dass der Zugriff auf die Steuerungssysteme der Produktionsanlagen ausschließlich über ein RDP-/SSH- bzw. Remote-Administrationsprotokoll erlaubt wird. Als sinnvoll hat sich auch das technische Aufzeichnen der administrativen Sessions erwiesen. So ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. Damit lässt sich nicht nur die Art der Manipulation ermitteln, sondern auch der Weg, mit dem die Manipulation rückgängig zu machen ist und diese Lücke für künftige Angriffe schließen.
Anomalien automatisch erkennen
Darüber hinaus ist die fokussierte, aktive Überwachung von Produktionsanlagen ratsam. Neben dem klassischen Security Information and Event Management (SIEM) ist das Network Traffic & Command Baselining der aktuell vielversprechendste Ansatz zur Detektion von Anomalien. An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an Korrelatoren ausleiten und ein entsprechendes Basisverhaltensmuster herstellen. Erkennt der Sensor entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- bzw. IT-Personal die Möglichkeit gibt, den Sicherheitsvorfall zu qualifizieren und ihn – falls sich der Verdacht eines Manipulationsversuchs erhärtet – entsprechend zu bearbeiten. Des Weiteren unterstützen diese Technologien Anlagenbetreiber auch bei der Identifizierung produktionsbezogener Störungen in den Systemlandschaften.
Um es Hackern zu erschweren, Angriffsvektoren auszunutzen, ist ein strukturiertes und priorisierendes Vorgehen zu empfehlen. Die Einrichtung von Sicherheitszonen ist dabei ein fundamentaler Grundbaustein jeder Sicherheitsstrategie. Bei korrekter Umsetzung helfen Zonen die digitale Kommunikation der einzelnen Assets auf das Notwendigste zu beschränken und somit inhärent besser abzusichern. Auswirkungen von Cyberangriffen sowie die Auswirkungen von Schadsoftware lassen sich somit begrenzen. Sicherheitsmaßnahmen sollten basierend auf Notwendigkeit und Wirksamkeit sukzessive eingeführt werden.

Frank Melber
Head of Business Development IT Security, TÜV Rheinland
Anzeige

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de