Hacker müssen draußen bleiben

Unternehmen sollten ihre aktuelle IT-Schutzstrategie regelmäßig auf Wirksamkeit überprüfen. Angesichts der steigenden Vernetzung zwischen Administration und Produktion sowie der zunehmenden Verbreitung mobiler Kommunikation (BYOD – „Bring your own device“) ist es unerlässlich, die Office- und die Produktions-IT integriert zu betrachten. Dabei ist es wesentlich, in der Analyse alle technischen wie organisatorischen Maßnahmen zu berücksichtigen, die bereits umgesetzt sind. Folgende Leitfragen sind dabei sinnvoll:

Auf Basis dieser Informationen lässt sich ermitteln, welche Sicherheitslücken die IT-Netze derzeit aufweisen. Relativ häufig sind die folgenden Angriffsvektoren in der Praxis anzutreffen: Netztrennung, Remotezugänge und physikalischer Zugriff. Sind die klassischen Office-IT-Netzwerke und die Produktionsnetze nicht konsequent voneinander getrennt, können Angreifer Produktionsanlagen stören, bis hin zur gezielten persistenten Manipulation der Anlagen, die allerdings oft lange unbemerkt bleibt. Sind Office-IT und Produktions-IT bereits getrennt, sollte man die technischen Maßnahmen der Netzwerktrennung hinterfragen. Je nach Angriffsvektor ist eine klassische „Port Firewall“ möglicherweise nicht ausreichend.

Produktionssysteme sind vielfach per Remotezugang direkt oder indirekt über das Internet erreichbar, damit Systemhersteller oder Anlagenbetreiber ihre Diagnose oder Wartung durchführen können. Über die klassischen IT-Systeme können diese Schnittstellen ebenfalls eine Schwachstelle sein. Bei der Fernwartung erfolgt der Zugriff auf die Produktionssysteme vielfach von einem System, das nicht der Kontrollhoheit der eigenen Organisation unterliegt, sondern der des Anlagenherstellers oder -betreibers. Ist dem Auftragnehmer Informationssicherheit nicht so wichtig wie dem Auftraggeber, drohen diesem unter Umständen auch seitens Lieferant bzw. Partner sicherheits- und compliancerelevante Implikationen, die kritisch zu hinterfragen sind und ggf. auch Relevanz für Compliancefragen haben können.

Wartung und Diagnose werden oft auch per physikalischem Zugriff durchgeführt – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware auf die PLC (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren. Stuxnet, ein Schadprogramm, das speziell zum Angriff auf SCADA-Systeme entwickelt wurde, ist ein erfolgreiches Beispiel für eine solche Kompromittierung.

Wie lassen sich Produktionsanlagen aktiv sinnvoll absichern? Eine sinnvolle Option sind sogenannte Next Generation Firewalls, die eine protokoll- bzw. applikationsspezifische Absicherung erlauben. Anders als klassische „Port Firewalls“ ist es damit möglich, ein IEC 104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren.

Um einen automatischen, unbefugten Zugriff auf Steuerungssysteme per VPN-Verbindung zu unterbinden, sollten diese konsequent durch eine 2-Faktor-Authentisierung abgesichert werden. Selbst wenn Schadsoftware die Zugangsdaten zu den Produktionssystemen mitschneidet, ist ein manipulativer System-Zugriff nur dann möglich, wenn der zweite erforderliche Faktor, – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software-Token oder einer SMS – verfügbar ist.

Um zu verhindern, dass über nicht kontrollierte Dienstleistersysteme Schadsoftware auf die Produktions-IT gelangt, sind reaktive und forensisch nachvollziehbare Absicherungen zu empfehlen, z. B. dass der Zugriff auf die Steuerungssysteme der Produktionsanlagen ausschließlich über ein RDP-/SSH- bzw. Remote-Administrationsprotokoll erlaubt wird. Als sinnvoll hat sich auch das technische Aufzeichnen der administrativen Sessions erwiesen. So ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. Damit lässt sich nicht nur die Art der Manipulation ermitteln, sondern auch der Weg, mit dem die Manipulation rückgängig zu machen ist und diese Lücke für künftige Angriffe schließen.

Darüber hinaus ist die fokussierte, aktive Überwachung von Produktionsanlagen ratsam. Neben dem klassischen Security Information and Event Management (SIEM) ist das Network Traffic & Command Baselining der aktuell vielversprechendste Ansatz zur Detektion von Anomalien. An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an Korrelatoren ausleiten und ein entsprechendes Basisverhaltensmuster herstellen. Erkennt der Sensor entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- bzw. IT-Personal die Möglichkeit gibt, den Sicherheitsvorfall zu qualifizieren und ihn – falls sich der Verdacht eines Manipulationsversuchs erhärtet – entsprechend zu bearbeiten. Des Weiteren unterstützen diese Technologien Anlagenbetreiber auch bei der Identifizierung produktionsbezogener Störungen in den Systemlandschaften.

Um es Hackern zu erschweren, Angriffsvektoren auszunutzen, ist ein strukturiertes und priorisierendes Vorgehen zu empfehlen. Die Einrichtung von Sicherheitszonen ist dabei ein fundamentaler Grundbaustein jeder Sicherheitsstrategie. Bei korrekter Umsetzung helfen Zonen die digitale Kommunikation der einzelnen Assets auf das Notwendigste zu beschränken und somit inhärent besser abzusichern. Auswirkungen von Cyberangriffen sowie die Auswirkungen von Schadsoftware lassen sich somit begrenzen. Sicherheitsmaßnahmen sollten basierend auf Notwendigkeit und Wirksamkeit sukzessive eingeführt werden.

www.prozesstechnik-online.deSuchwort: cav0216tüvrheinland

Head of Business Development IT Security, TÜV Rheinland