Industrial Control Systems und SCADA-Netzwerke

Bedrohungen für kritische Infrastrukturen

Seite: 3/3

Mögliche Einfallstore ins Industrienetz

Angreifer suchen deshalb stets nach alternativen Wegen, um einzudringen – zum Beispiel durch ein Gate, das offen gelassen wird oder durch das Auslösen von Operationen aus dem Inneren des Unternehmens, wodurch ein Kommunikationskanal nach außen geöffnet wird. Zu den typischen Taktiken gehören:

  • Verwendung eines Remote-Zugriffs-Ports, den der Lieferant zur Wartung nutzt.
  • Hacken eines rechtmäßigen Kanals zwischen IT- und ICS/SCADA-Systemen.
  • Einen internen Nutzer dazu bringen, einen URL-Link in einer E-Mail von einer Workstation aus anzuklicken, die sowohl mit dem ICS/SCADA-Netzwerk als auch mit dem Internet verbunden ist.
  • Infizieren von Laptops und/oder Wechselmedien, während sie sich außerhalb des ICS/SCADA-Netzwerks befinden, und die dann später, wenn sie zum Erheben von Daten oder zur Aktualisierung von Controller-/Sensorsoftware wieder mit dem Netzwerk verbunden werden, interne Systeme infizieren.
  • Ausnutzung von Konfigurationsfehlern in der Sicherheit oder bei angeschlossenen Geräten.

Sobald ein Hacker in das SCADA-Netzwerk eingedrungen ist, hat er die Möglichkeit, bösartige Befehle an die Geräte zu senden. So kann er deren Aktivitäten stoppen, das System zum Absturz bringen oder in bestimmte kritische Prozesse eingreifen, um z.B. Ventile zu öffnen und zu schließen.

SCADA zum Schutz kritischer Infrastrukturen sichern

Um das für industrielle und kritische Netzwerke erforderliche Maß an Schutz zu erreichen, muss sich die Sicherheit zu einem effektiven Geschäftsprozess entwickeln. Eine wirksame Strategie muss unnormales Verhalten erkennen, Angriffe abwehren und dem Unternehmen forensische Daten liefern, um Sicherheitsvorfälle, wenn sie auftreten, untersuchen zu können.

Die Sicherheitsstrategie sollte gewährleisten, dass alle Aktivitäten extern, also unabhängig vom ICS- bzw. SCADA-System, protokolliert werden. Dabei empfiehlt es sich, eine unterstützende Richtlinie für „normales“ Verhalten an SCADA-Geräten zu entwickeln. Vor diesem Hintergrund sollte vorab definiert werden, was erlaubt und was nicht, beziehungsweise welche Aktivitäten als verdächtig gelten.

Zusätzlich muss das Unternehmen natürlich das gesamte IT-Netzwerk absichern, um die SCADA-Geräte zu schützen. Sicherheitsvorfälle in der Vergangenheit zeigen, dass die mit dem Internet verbundene IT-Umgebung als Einfallstor in die industrielle Umgebung dienen kann. Gangbare Mechanismen sind Anwendungskontrolle, Identitätserkennung sowie Bedrohungsprävention – einschließlich Firewall, Intrusion Prevention, Antivirus sowie Threat Emulation und Threat Intelligence.

* Oded Gonda ist Vice President Network Security Products bei Check Point Software.

(ID:42936960)