Suchen

Schutzschild für Steuerungssysteme

Produktions-IT gegen Cyber-Attacken absichern

Seite: 3/4

Firmen zum Thema

Physikalischer Zugriff: Wartung und Diagnose werden oft auch per physikalischem Zugriff durchgeführt – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware über dieses System auf die PLC (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren. Stuxnet ist ein Beispiel für eine solche Kompromittierung.

Lösungen: Detektion und Absicherung

Eine sinnvolle Option zur effektiven Absicherung von Produktionsanlagen sind so genannte Next Generation Firewalls (NGFW), die eine Protokoll- bzw. applikationsspezifische Absicherung erlauben – anders als klassische „Port Firewalls“. So ist es z.B. möglich, ein IEC 104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren.

Die VPN-Verbindung, über die erfahrungsgemäß ein Zugriff auf die Steuerungssysteme pauschal oder in eingeschränkter Form erfolgt, sollte konsequent durch eine Zwei-Faktor-Authentisierung abgesichert werden. Damit ist ein automatischer unbefugter Zugriff weitestgehend auszuschließen. Selbst wenn Schadsoftware Zugangsdaten zu den Produktionssystemen mitschneidet, ein tatsächlicher manipulativer System-Zugriff ist nur dann möglich, wenn der zweite erforderliche Faktor, – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software-Token oder einer SMS – verfügbar ist.

Unbemerkte und unbeabsichtigte Manipulationen der Produktionssysteme sind auch auf diesem Wege nicht völlig auszuschließen. Denn so lässt sich nicht verhindern, dass Schadsoftware etwa durch nicht kontrollierte Dienstleistersysteme auf die Produktions-IT gelangt. Hier empfiehlt sich eine reaktive und forensisch nachvollziehbare Absicherung: Der Zugriff auf die Steuerungssysteme der Produktionsanlagen sollte ausschließlich über ein RDP/SSH- bzw. Remote-Administrations-Protokoll erlaubt werden. Außerdem ist der Mitschnitt der administrativen Sessions über eine technische Lösung sinnvoll. Damit ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. So ist nicht nur die Art der Manipulation zu ermitteln, sondern auch der Weg, mit dem sich die Manipulation rückgängig machen lässt und diese Lücke für künftige Angriffe zu schließen.

(ID:43814479)