Company Topimage

25.08.2021

3 Möglichkeiten, Ihr ICS-Netzwerk besser zu schützen

Unter „Abhärtung“ (Hardening) versteht man die Anwendung verschiedener Schutzmaßnahmen bei einem Netzwerk, die darauf abzielen, Schwachstellen und Bedrohungspotenzial so weit wie möglich zu reduzieren. Die Abhärtung findet innerhalb der vorhandenen Technologie statt, z. B. durch den Einsatz einer Firewall, und auch durch die Art und Weise, wie die Mitarbeiter mit dieser Technologie umgehen sollen, z. B. durch strenge Regeln für Passwortanforderungen. Einige Fabrikanlagen sind aufgrund ihres speziellen Zwecks oder bestimmter Produktionserfordernisse schwer besser zu schützen, weshalb es wichtig ist, mehrere Sicherheitslösungen für verschiedene Teile des Netzwerks und verschiedene Arten von Systemen zu haben. Hier sind drei Strategien, die Betriebe auf ihr ICS-Netzwerk anwenden können.

1.     Starten Sie regelmäßige „Gesundheitschecks“ mithilfe eines Information Security Management Systems (ISMS) und technischer Audits

Ein gutes Audit sollte wie ein Gesundheitscheck für Ihre Netzwerksicherheit sein, und wie ein Gesundheitscheck sollte es in regelmäßigen Abständen durchgeführt werden.

Es gibt zwei Arten von Audits: Richtlinien (Policy) und technische Audits.

Ein sogenanntes Policy-Audit ist eine Checkliste, die ein Administrator durchgeht, um zu bestätigen, dass das Sicherheitsmanagement und die Richtlinien eines Unternehmens streng genug sowie sinnvoll sind und ordnungsgemäß befolgt werden - kurz gesagt, ein Policy-Audit konzentriert sich auf das menschliche Verhalten. Policy-Audits befassen sich in der Regel mit Dingen, die direkt mit dem Personal zu tun haben und von diesem kontrolliert werden. Diese Kontrollen überprüfen daher etwa, ob Passwörter lang genug sind oder ob sensible Informationen sicher gespeichert sind.

Ein technisches Audit könnte so etwas wie Penetrationstests oder Sicherheitsdiagnosen umfassen. Bei Penetrationstests testet ein sogenannter „White Hat Hacker“ als wohlmeinender Angreifer Ihr Netzwerk direkt auf Schwachstellen. Bei einer grundlegenden Sicherheitsdiagnose werden die PCs, HMIs und andere Geräte der Mitarbeiter überprüft, um festzustellen, ob die Unternehmensrichtlinien auf allen Endgeräten befolgt und durchgesetzt werden und ob Anwendungen und Antivirenprogramme auf dem neuesten Stand sind. Die Unternehmensrichtlinien können hier etwa das Verbot des Zugriffs auf bestimmte Prozesse wie den Remote-Desktop-Zugriff oder die Sicherheitsoberfläche beinhalten oder den Zugriff auf bestimmte Websites verweigern. Die Sicherheitsdiagnose umfasst zudem einen Netzwerk-Scan zur Überprüfung der Netzwerkarchitektur und des gesamten Netzwerkschutzes.

2.     Verwenden Sie ein IPS, um Cybersicherheitsbedrohungen, bösartiges Verhalten und Eindringlinge so früh wie möglich zu erkennen

Jedes OT-Netzwerk benötigt ein Intrusion Prevention System (IPS). So überwacht etwa die Lösung EdgeIPS von TXOne Networks im "Monitor"-Modus den Netzwerkverkehr mit Hilfe von signaturbasiertem Tracking sowie aufgrund von Regeln, die vom Administrator festgelegt wurden. Es sind dies zum Beispiel Regeln für das Remote Desktop Protocol (RDP) - durch Regeln, die sich auf den RDP-Verkehr konzentrieren, könnte dieser Verkehr identifiziert und eine Warnung angezeigt werden, sobald er stattgefunden hat. Die für die OT-Sicherheit zuständigen Mitarbeiter könnten anhand der Quelle und anderer Merkmale des Datenverkehrs sowie durch Vergleich mit den bekannten Richtlinien für das Netzwerk (z. B. wenn RDP nicht erlaubt ist) erkennen, ob es sich um einen bösartigen Datenverkehr handelt.

Solche Alarme verbessern die Übersichtlichkeit und Überwachungsmöglichkeiten innerhalb eines OT-Netzwerks erheblich. Unsere zuverlässige EdgeIPS Lösung kann zu diesem Zweck bequem im Erkennungsmodus eingesetzt werden, wenn Ihr IT-Administrator Bedenken hat, den Datenverkehr zu stören, sie kann aber auch im "Präventions"-Modus für einen aggressiveren Ansatz ausgeführt werden.

3.     Erstellen Sie eine Prioritätenliste der wahrscheinlichsten Angriffsflächen innerhalb Ihres OT-Netzwerks

Verschiedene Fabriken haben unterschiedliche Prioritäten für verschiedene Zonen ihrer Produktion oder Administration, abhängig von ihrem Fokus als Unternehmen bzw. der hergestellten Güter. Typischerweise wird sich ein Produktionsbetrieb auf die dauerhafte Sicherheit und Verfügbarkeit seiner Maschinen und Produktionsmittel konzentrieren. Anhand dieser Priorität kann man klar erkennen, welche Geräte am dringendsten zu sichern sind - im Allgemeinen das, was den Betrieb am Laufen hält! Es ist notwendig, die drei wichtigsten Knotenpunkte auszuwählen, deren IT-Sicherheit man bevorzugt gewährleisten muss. Typischerweise werden dies Geräte sein, die einerseits  Schwachstellen aufweisen, andererseits jedoch von hoher Wichtigkeit sind.

Deshalb lassen Sie Ihren CIO oder IT-Experten eine detaillierte Checkliste der Stellen in Ihrem IT-Netzwerk erstellen, die für Hacker attraktiv sind. Die attraktivsten Angriffsflächen werden diejenigen sein, die sehr bequem zu erreichen sind oder ein hohes Maß an Kontrolle im IT-Netzwerk bieten. Aber auch eine unscheinbare Angriffsfläche kann einem Hacker Zugang zu sensiblen oder risikoreichen Bereichen Ihres IT-Netzwerks verschaffen, wenn der Hacker sich "seitlich" bewegen und in sicherheitskritischere Bereiche vordringen kann.