Suchen

SCADA-Schutz

Infrastrukturen und Industrie im Kreuzfeuer

Seite: 2/3

Firmen zum Thema

Beispiele für Angriffsmöglichkeiten

Um die Brisanz des Themas noch einmal ganz konkret zu machen: zu den Anlagen und Systemen, die in den oben erwähnten Suchmaschinen zu finden sind, gehören unter anderem:

  • eine Autowaschanlage, die sich ein- und ausschalten ließ,
  • eine Eishockey-Spielfläche, die mit einem Klick in den „Abtaumodus“ geschaltet werden kann,
  • das komplette Verkehrskontrollsystem einer Stadt, das sich in den „Testmodus“ versetzen ließ.

Das stellt nur einen kleinen Einblick in die Bandbreite von beeinflussbaren Systemen dar – mit großer Wirkung: Am oberen Ende der Skala befinden sich aber nun mal auch Fertigungsstraßen, Chemie-Anlagen, Logistiksysteme, Wasserwerke – und schlimmstenfalls die bereits erwähnten nukleartechnischen Anlagen.

Leider werden SCADA-Systeme trotz ihrer zentralen Rolle für die Beherrschung von Produktionssystemen jeder Art – wenn überhaupt – häufig nur mit Passwörtern geschützt, die unverschlüsselt zu den Fernsteuerungsterminals (Remote Terminal Unit, RTU) übertragen werden. Das öffnet selbst einfach gestrickter Malware Tür und Tor für den Abgriff dieser ‚Sicherung’.

Die Cyber-Waffen, mit denen SCADA-Systeme heute kompromittiert werden, zeichnen sich durch eine wachsende Komplexität sowie Kompetenz der Angreifer aus. Einfaches Patch-Management der internen Systeme oder die einstufige Zugangssteuerung und -protokollierung, wie eben beschrieben, reichen längst nicht mehr aus. Einzig akzeptabel ist hier ein in Echtzeit greifender, nicht aushebelbarer Schutz inklusive Intrusion Prevention.

Konkrete Schutzmaßnahmen

SCADA-Systeme sollten mithin nicht direkt über das Internet erreichbar sein, da direkt nach solchen Systemen gesucht wird. Außerdem sollten sie per Firewall geschützt und selbst vom Firmennetz isoliert werden. Auch der Fernzugriff – in Zeiten von Mobility und BYOD selbst bei prozesskritischen Systemen durchaus nichts Ungewöhnliches – sollte absolut nur über sichere Methoden wie VPN möglich sein.

Um seinen Schutz gewährleisten zu können, sollten sämtliche Verbindungen des SCADA-Netzwerks zu anderen Netzen auf ihr Risikopotenzial bewertet und mit Schutzmechanismen ausgestattet werden. Zu diesem Zweck sollten beispielsweise Netzwerk-Appliances von vornherein sorgfältig konfiguriert und auf keinen Fall mit den Werkseinstellungen betrieben werden, die – weil in der Regel weitläufig bekannt – leicht angreifbar sind.

(ID:43350128)