Suchen

Schutzschild für Steuerungssysteme Produktions-IT gegen Cyber-Attacken absichern

Autor / Redakteur: Frank Melber* / Wolfgang Ernhofer

Im Rahmen der digitalen Transformation kann die deutsche Chemiebranche ihre Bruttowertschöpfung in den nächsten zehn Jahren von heute 40 auf dann 52 Milliarden Euro steigern. Zugleich zählt diese Industrie zu den Wirtschaftszweigen, die am häufigsten von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen sind.

Firmen zum Thema

Sicherheitslücken in industriellen Steuerungssystemen können Anlagenbetreiber teuer zu stehen kommen. Im Text erfahren Sie, wie Sie Ihre Systeme besser gegen Cyber-Attacken absichern können.
Sicherheitslücken in industriellen Steuerungssystemen können Anlagenbetreiber teuer zu stehen kommen. Im Text erfahren Sie, wie Sie Ihre Systeme besser gegen Cyber-Attacken absichern können.
( © Taiga - Fotolia)

Automatisierung, Labor, Planung, Qualitätssicherung: Das chemische Gewerbe beinhaltet zahlreiche kritische IT-gestützte Prozesse. Schon der kurzzeitige Ausfall eines einzigen IT-Systems kann das Risiko von Produktionsstörungen oder eines Produktionsstillstandes beinhalten, der unter Umständen schwerwiegende wirtschaftliche, aber auch rechtliche Folgen sowie Schäden für Mensch und Umwelt haben kann.

Die Ursachen für einen solchen Ausfall können gezielte komplexe Angriffe sein, ausgeführt von kriminellen Einzeltätern oder staatlichen Cyber-Angreifern. Ihre Ziele: langfristige Datenmanipulation oder schleichender Datendiebstahl. Kann das Management im Schadensfall nicht nachweisen, dass es dem Vorsorgegebot auch in der Absicherung von Daten, Netzwerken und Systemen nachgekommen ist, drohen Schäden für Mitarbeiter und Kunden sowie hohe wirtschaftliche Ausfälle bis hin zum Verlust des Versicherungsschutzes und möglichen persönlichen Haftungsrisiken.

Bereits heute existieren adäquate und wirksame Methoden und Technologien, um Produktionsanlagen und industrielle Steuerungssysteme mit Blick auf offensichtliche Angriffsvektoren nachhaltig und sowohl präventiv als auch reaktiv abzusichern. Zugleich gibt es effiziente und intelligente technische Lösungen, die es ermöglichen, Manipulationsversuche zeitnah zu detektieren und zu behandeln.

Die Realität allerdings sieht anders aus: Nicht immer sind die Cyber-Risiken für das operative Geschäft insbesondere im Bereich der Produktions-IT schon vollständig bewertet. Denn vielfach sind in der Produktions-IT nur wenige oder gar keine IT-Security-Maßnahmen umgesetzt. Selbst grundlegende Best-Practices wie die konsequente Netztrennung und Kontrolle der Netzwerkübergänge sind häufig nicht realisiert.

Die Basis: Umfassende Ist-Analyse

Unternehmen sollten ihre aktuelle IT-Schutzstrategie regelmäßig auf ihre Wirksamkeit überprüfen. Wichtig: Im Rahmen der Analyse sind alle technischen wie organisatorischen Maßnahmen zu berücksichtigen, die bereits umgesetzt sind.

Angesichts der steigenden Vernetzung zwischen Administration und Produktion sowie der zunehmenden Verbreitung mobiler Kommunikation (BYOD – „Bring your own device“) ist es unerlässlich, die Office- und die Produktions-IT integriert zu betrachten. Dabei ist festzustellen,

  • welche Schnittstellen es zwischen diesen Netzen sowie nach außen gibt.
  • ...aus welchen Netzbereichen heraus ein Zugriff auf die Anlagen möglich ist und
  • wie diese Schnittstellen abgesichert sind.

Auf Basis dieser Informationen lässt sich ermitteln, welche Sicherheitslücken die IT-Netze derzeit aufweisen. Die nachfolgenden Beispiele sind nur ein kleiner Ausschnitt möglicher Angriffsvektoren, die Darstellung erhebt keinen Anspruch auf Vollständigkeit.

Angriffsvektoren-Beispiele

Netztrennung: Sind in einem Unternehmen die klassischen „Office-IT“-Netzwerke und die Produktionsnetze nicht konsequent voneinander getrennt, können Angreifer Produktionsanlagen unautorisiert beeinflussen. Dies reicht von der (sporadischen) Störung der Systeme bis zur gezielten persistenten Manipulation der Anlagen. Sind „Office-IT“ und Produktions-IT bereits getrennt, sollten die technischen Maßnahmen der Netzwerktrennung auf den Prüfstand gestellt werden. Eine klassische „Port Firewall“ ist je nach Angriffsvektor möglicherweise nicht ausreichend.

Remotezugänge: Zum Zweck von Diagnose und Wartung durch Systemhersteller oder Anlagenbetreiber sind Produktionssysteme vielfach per Remotezugang direkt oder indirekt über das Internet erreichbar. Über diese klassischen IT-Systeme steigt das Risiko einer Manipulation. Bei der Fernwartung erfolgt der Zugriff auf die Produktionssysteme zudem vielfach von einem System, das nicht der Kontrollhoheit der eigenen Organisation unterliegt, sondern der des Anlagenherstellers oder -betreibers. Dieser pflegt unter Umständen weniger strenge Sicherheitsvorgaben als das Unternehmen. Hier drohen sicherheits- und Compliance-relevante Implikationen, die kritisch zu hinterfragen sind.

Physikalischer Zugriff: Wartung und Diagnose werden oft auch per physikalischem Zugriff durchgeführt – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware über dieses System auf die PLC (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren. Stuxnet ist ein Beispiel für eine solche Kompromittierung.

Lösungen: Detektion und Absicherung

Eine sinnvolle Option zur effektiven Absicherung von Produktionsanlagen sind so genannte Next Generation Firewalls (NGFW), die eine Protokoll- bzw. applikationsspezifische Absicherung erlauben – anders als klassische „Port Firewalls“. So ist es z.B. möglich, ein IEC 104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren.

Die VPN-Verbindung, über die erfahrungsgemäß ein Zugriff auf die Steuerungssysteme pauschal oder in eingeschränkter Form erfolgt, sollte konsequent durch eine Zwei-Faktor-Authentisierung abgesichert werden. Damit ist ein automatischer unbefugter Zugriff weitestgehend auszuschließen. Selbst wenn Schadsoftware Zugangsdaten zu den Produktionssystemen mitschneidet, ein tatsächlicher manipulativer System-Zugriff ist nur dann möglich, wenn der zweite erforderliche Faktor, – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software-Token oder einer SMS – verfügbar ist.

Unbemerkte und unbeabsichtigte Manipulationen der Produktionssysteme sind auch auf diesem Wege nicht völlig auszuschließen. Denn so lässt sich nicht verhindern, dass Schadsoftware etwa durch nicht kontrollierte Dienstleistersysteme auf die Produktions-IT gelangt. Hier empfiehlt sich eine reaktive und forensisch nachvollziehbare Absicherung: Der Zugriff auf die Steuerungssysteme der Produktionsanlagen sollte ausschließlich über ein RDP/SSH- bzw. Remote-Administrations-Protokoll erlaubt werden. Außerdem ist der Mitschnitt der administrativen Sessions über eine technische Lösung sinnvoll. Damit ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. So ist nicht nur die Art der Manipulation zu ermitteln, sondern auch der Weg, mit dem sich die Manipulation rückgängig machen lässt und diese Lücke für künftige Angriffe zu schließen.

Für die fokussierte, aktive Überwachung von Produktionsanlagen gibt es mehrere technische Alternativen. Neben dem klassischen Security Information and Event Management (SIEM) ist das Network Traffic & Command Baselining der aktuell vielversprechendste Ansatz zur Detektion von Anomalien.

Automatisiertes Erkennen von Anomalien

Frank Melber vom Tüv Rheinland ist Autor des Artikels.
Frank Melber vom Tüv Rheinland ist Autor des Artikels.
(Bild: Tüv Rheinland)

An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an Korrelatoren ausleiten und ein entsprechendes Basisverhaltensmuster herstellen. Erkennt der Sensor entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- bzw. IT-Personal die Möglichkeit bietet, den Sicherheitsvorfall zu qualifizieren und ihn – falls sich der Verdacht eines Manipulationsversuchs erhärtet – entsprechend zu bearbeiten.

Fazit: Produktionssysteme lassen sich besser gegen Cyber-Angriffe absichern. Wesentlich ist, vorhandene Angriffsvektoren frühzeitig zu erkennen und umfassend abzusichern – eine iterative Aufgabe, die regelmäßig auf der Agenda der internen IT stehen und die das Management auch immer wieder einfordern sollte. Wird das zur Verfügung stehende Instrumentarium konsequent angewandt, liegen die Hürden für Hacker schon um einiges höher.

* * Frank Melber arbeitet bei TÜV Rheinland.

(ID:43814479)