Netzwerksicherheit in der Industrie

Industrial Security neu denken

| Autor / Redakteur: Jens Freitag / Peter Schmitz

Industrial Security ist wieder in aller Munde. Unternehmen müssen wissen, worauf es dabei ankommt und wie Netzwerke sicherer werden können.
Industrial Security ist wieder in aller Munde. Unternehmen müssen wissen, worauf es dabei ankommt und wie Netzwerke sicherer werden können. (Bild: Pixabay / CC0)

Unternehmen setzen kontinuierlich neue IT-Prozesse ein, um ihre Geschäftsprozesse zu beschleunigen und Kunden einen Mehrwert zu bieten. Das Ergebnis dieser Entwicklung ist, dass Produktions- genauso wie Versorgungs­unternehmen, wie etwa Energieversorger, verstärkt in digitalen und vernetzten Umgebungen arbeiten. Doch mit neuen Technologien kommen auf die Unternehmen auch neue Risiken zu.

Industrielle Steuerungssysteme (ICS), die mit Technologien wie beispielsweise SCADA und SPS arbeiten, existieren schließlich nicht erst seit gestern. Sie überwachen und steuern seit ihrer Entwicklung industrielle Prozesse und Umgebungen, wie beispielsweise Produktion und Fertigung eines Unternehmens. Sie sind üblicherweise gar nicht auf Vernetzung ausgelegt, da sie nicht vollständig von einem Computer bedient werden, sondern fungierten lediglich als integrierte Hard- oder Software.

Industrielles Internet of Things ermöglicht Vernetzung von ICS

Im Zuge von Industrie 4.0 ist es nun möglich geworden, ICS – auch Geräte ohne Recheneinheiten – mit Informationsnetzwerken über Standorte und Anlagen hinweg zu vernetzen. Der Datenaustausch erfolgt nun digital per Internet – Informationstechnologien (IT) arbeiten also enger als je zuvor mit Operational Technologies (OT) zusammen. Dies ermöglicht zwar eine vereinfachte Kommunikation, eröffnet allerdings auch Einfallstore für schwerwiegende und folgenreiche Cyberangriffe. Dieses gestiegene Risiko müssen Verantwortliche unbedingt berücksichtigen.

Vernetzung hat große Vor-, aber auch Nachteile

Aufgrund dieser steigenden Vernetzung und der schnellen Konvergenz von IT und OT, entstehen unvermeidliche, erweiterte Angriffsoberflächen in Unternehmensnetzwerken und so geraten auch kritische Infrastrukturen (KRITIS) verstärkt ins Fadenkreuz von Cyberangriffen aller Art: Kriminellen gelingen immer wieder Zugriffe auf Unternehmen und Infrastrukturen. Das BSI selbst nennt den Angriff auf einen deutschen Industriekonzern im Jahr 2016, öffentlich einsehbare Steuerungssysteme von Wasserwerken sowie Stromausfälle in der Ukraine aufgrund gehackter Kraftwerke als Beispiele. Diese Fremdzugriffe haben weitreichende Folgen für Unternehmen: Neben dem finanziellen Schaden, er durch Ausfallzeiten, Lösegeldforderungen und ausbleibende Umsätze entsteht, erfahren Unternehmen auch große Image Problemen.

Die Vorteile einer zunehmenden Vernetzung, wie Flexibilisierung oder Optimierung, liegen auf der Hand. Doch stellt sich die Frage, wie Automatisierungsumgebungen vernetzt und gleichzeitig Industrieanlagen sowie KRITIS gegen Schadsoftware, angefangen bei Stuxnext, über CozyBear, HammerPanda bis Winnti, Social Engineering oder Schwachstellen in veralteter Software, gesichert werden können.

Wie können Unternehmen ihre industriellen Steuerungssysteme schützen?

IT-Verantwortliche können in ihrem Netzwerk nur die Geräte und Assets schützen, die sie auch kennen. Deshalb gilt es als höchste Priorität, sämtliche Geräte im Netz zu identifizieren, alle Schwachstellen zu kennen und möglichst durchgängig zu scannen, um Verwundbarkeiten so schnell wie möglich zu entdecken – für dieses kontinuierliche Netzwerk-Monitoring plädiert auch das BSI. Denn der Aufstieg von Cloud, Mobile und IoT und die Konvergenz von IT und OT bringt keinen Mehrwert, wenn Unternehmen jederzeit damit rechnen müssen, erpresst zu werden und möglicherweise in eine existenzbedrohende Situation zu geraten.

Reguläre, häufig verwendete, aktive Scanner sind oft keine Lösung, um die Produktion zu schützen. Sie erzeugen selbst Netzwerkverkehr und bremsen Netzwerke aus. Viele Unternehmen zögern deshalb, ihre Systeme regelmäßig auf veraltete Patches oder Schwachstellen zu scannen: Die Systeme sind auf einen dauerhaften Betrieb ausgelegt, der Wirtschaftlichkeit sicherstellt. Zudem gelingt es bisherigen Lösungen nicht, Anforderungen von IT und OT gleichermaßen zu adressieren: Anbieter für IT-Software verstehen die Kernziele und Prioritäten von Ingenieuren nicht.

Das Zauberwort heißt: Passives Monitoring!

Mittlerweile bietet der Markt allerdings auch Lösungen, die sämtliche Problemfelder berücksichtigen: Sie zeigen sämtliche Betriebssysteme, Applikationen und alle sonstigen aktiven Services innerhalb des Produktionsnetzwerks an – und auch jede Gerätekommunikation untereinander. Das Zauberwort heißt: Passives Monitoring. Es setzt an der Switching Fabric des Netzwerks oder dessen Ausgangspunkten an und analysiert den Datenverkehr durchgängig und in Echtzeit, um Anzeichen von Sicherheitsverletzungen und ungewöhnlichen Verhaltens unmittelbar zu erkennen. Im Gegensatz zu den aktiven Scans bremsen sie den laufenden Betrieb nicht aus und können durchgehend nach Schwachstellen und auffälligem Verhalten im Netz suchen. So erzeugen sie nicht nur eine Momentaufnahme, sondern überwachen kontinuierlich alle managed und unmanaged Assets im Netzwerk, darunter auch in IT-, OT- und IoT-Systeme. Somit sind passive Scans das ideale Tool, um Schwachstellen in hochsensiblen Produktions- und Steuerungsanlagen umgehend und eingriffslos zu entdecken, damit diese so schnell wie möglich behoben werden können. Kein Unternehmen, vor allem in der Öl- und Gasindustrie, im Energiesektor, Versorgungsunternehmen, öffentliche Infrastruktur, Produktion sowie im Gesundheitswesen, kann es sich leisten, Netzwerk-Schwachstellen unerkannt zu lassen.

Industrial Security in der Industrie 4.0 neu denken

Es gibt allerdings eine Reihe Anforderungen an die entsprechenden Lösungen. Sie müssen zahlreiche ICS, SCADA, Produktions- und andere Systeme verschiedener Hersteller, etwa Siemens, ABB, Rockwell oder GE, abdecken. Grundlage ist, dass sie zahlreiche Protokolle unterstützen. Dazu gehören Standards wie BACnet, DNP3, Ethernet/IP oder IEEE C37.118. Anlagen und Infrastrukturen zu vernetzen ist nötig – doch muss die Security genau wie die Produktion oder Serviceerbringung in der Industrie 4.0 neu gedacht werden. Nur so profitieren Betreiber und machen zugleich Kriminellen das Leben schwer.

Gut ausgebildete Mitarbeiter als wesentlicher Teil von Schutz

Zu guter Letzt sind allerdings auch gut ausgebildete, gut informierte Mitarbeiterinnen und Mitarbeiter in der IT ein wesentlicher Teil des Schutzes – ganz unabhängig von einer konkreten Bedrohungslage. Jedoch gibt es viele Branchen, vom öffentlichen Dienst, über Öl und Gas bis zu Versorgungsunternehmen, in denen die gut ausgebildeten und erfahrenen Angestellten bald in Rente gehen. Dieser Verlust von Know-how erschwert den Kampf gegen Bedrohungen.

Gute IT-Fachleute und besonders Spezialisten für IT-Sicherheit sind nicht leicht zu finden. Unternehmen kämpfen mit vielen Wettbewerbern um diese Fachkräfte. Sie müssen deshalb attraktive Konditionen bieten, um sie anzuwerben und zu halten. Dabei muss es nicht immer nur um mehr Geld gehen: Flexible Arbeitsmöglichkeiten, professionelle Weiterbildungen, ein strukturierter Karriereplan und Aufstiegschancen sind häufig große Anreize.

An diesem Punkt dürfen Unternehmen aber nicht nachlassen. Mitarbeiterinnen und Mitarbeiter aller Bereiche sollten fortlaufend geschult werden. Das gilt für eine Sensibilität gegenüber Phishing-Versuchen oder Social Engineering, aber auch dafür, wie die Angestellten mit dem Thema BYOD umgehen, wie sie Software von Drittanbietern und externe Services einsetzen. Mit einer Lösung, die sämtliche Anforderungen an IT-Sicherheit erfüllt und einer gut geschulten Belegschaft, können Verantwortliche in Unternehmen zumindest mit guten Gewissens sagen: Wir sind bestens vorbereitet.

Über den Autor: Jens Freitag, Sales Engineer DACH bei Tenable Network Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45620990 / Internet of Things)