Das geistige Eigentum eines Unternehmens bildet oft dessen Geschäftsgrundlage. Hier setzen Cyber-Angriffe aktuell an. Bild: Fotolia; NesaCera/ XtravaganT

Das geistige Eigentum eines Unternehmens bildet oft dessen Geschäftsgrundlage. Hier setzen Cyber-Angriffe aktuell an. Bild: Fotolia; NesaCera/ XtravaganT

Vor drei Jahren geisterte der Computerwurm Stuxnet durch die Presse, ein Schadprogramm, das gezielt in die Steuerungen von Frequenzumrichtern eingriff. Der Wurm ist zwar vorerst in der Versenkung verschwunden, aber am Horizont drohen bereits neue Gefahren. Eines zeigt sich jedenfalls: Anlagenbetreiber sollten wachsam sein. Denn die Angreifer interessieren sich sehr wohl für Industriesysteme.

Sie sind der Albtraum eines jeden Anlagenbetreibers. Die Rede ist von gezielten Spionageangriffen, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit beobachtet, nachdem die von der Branche befürchtete Nachfolger-Welle des Schadprogramms Stuxnet bisher zum Glück ausgeblieben ist. „Direkte Attacken auf Produktionsanlagen sind derzeit noch selten, nichtsdestotrotz sind sie möglich“, sagt Holger Junker, Referatsleiter Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen am Bundesamt für Sicherheit in der Informationstechnik (BSI). Noch sei es aber aus Sicht der Angreifer einfacher, sich auf die Office-Netze in den Unternehmen zu konzentrieren, da diese fast immer mit dem Internet verbunden seien und daher als Einfallstore dienen könnten. „Das hohe Gefährdungspotenzial von Industriesteuerungsanlagen wird hingegen derzeit noch geringfügig ausgenutzt, allerdings mit steigender Tendenz. Zudem können Angriffe im Bereich Spionage potenziell auch eine Vorbereitung für Folgeangriffe auf Produktionsanlagen sein“, so Junker.

Holger Junker„Während es bei Stuxnet um Sabotage ging, beobachtet das BSI derzeit in erster Linie gezielte Spionageangriffe.“
Holger Junker, Referatsleiter Cyber-Sicherheit, BSI

Die Cyber-Angreifer schlafen nicht

Keinen Anlass zur Entwarnung sieht auch Torsten Rössel, Chief Marketing Officer bei dem Berliner Hersteller von Netzwerksicherheitsgeräten für den Einsatz in Industrieumgebungen Innominate: „Immer wieder werden Cyber-Attacken auf industrielle Systeme und kritische Infrastrukturen bekannt und dabei insbesondere die allgegenwärtigen industriell genutzten PCs unter Windows Betriebssystemen – häufig mit vorher unbekannten sogenannten Zero-Day-Exploits – als Einfallstor für Spionage und Sabotage genutzt“ so Rössel.

Torsten Rössel„Immer wieder werden Cyber-Attacken auf industrielle Systeme und kritische Infrastrukturen bekannt.“
Torsten Rössel, Chief Marketing Officer, Innominate Security Technologies

Viele Unternehmen sehen aus diesen Gründen in der Cloud ein Sicherheitsrisiko. Der 3D-Software-Spezialist Autodesk ermöglicht mit dem Programm Autodesk Cloud seinen Kunden, von jedem Ort und zu jeder Zeit Zugang zu CAD-Funktionen zu bekommen, und er arbeitet dazu eng mit verschiedenen Anbietern wie Amazon oder Citrix zusammen. Als sichere Sprache für die Kommunikation mit dem Server dient SSL. „Natürlich vertrauen wir nicht blind in einen Lieferanten“, gibt Karl Osti, Business Development Manager Manufacturing EMEA bei Autodesk zu bedenken. Das Unternehmen hat deshalb eine zusätzliche Sicherheitsebene eingebaut. „Gerade in Sachen Verschlüsselungstechnologien nutzen wir auch eigene Verfahren, die Autodesk patentiert hat und die den Sicherheitsanforderungen der Industrie entsprechen. Beispielsweise werden Texte in kleine Fetzen zerlegt, in willkürlicher Reihenfolge kommuniziert und wieder zum Text zusammengebaut.“ Daneben existieren weitere Verschlüsselungsmethoden, Zertifikate oder Hardwareverschlüsselungen. Allerdings stößt auch die Kryptographie an ihre Grenzen: „Denn je mehr Aufwand getrieben wird, desto langsamer wird die Interaktion mit dem Server. Letztlich ist es immer ein Kompromiss zwischen notwendiger Sicherheit auf der einen und technischen Möglichkeiten, Kosten und Zeit für den Anwender auf der anderen Seite“, sagt Osti.

Karl Osti„Gerade in Sachen Verschlüsselungstechnologien nutzen wir auch eigene Verfahren, die Autodesk selbst patentiert hat.“
Karl Osti, Business Development Manager Manufacturing EMEA, Autodesk

Schlampiger Umgang mit Passwörtern und Rechten

Allerdings übersehen die Firmen oft einen Punkt: Die Mitarbeiter selbst sind häufig die größte Schwachstelle. „Eine hundertprozentige Sicherheit gibt es aber nie“, meint denn auch Osti. Denn was nütze die beste Verschlüsselung, wenn der User seinen Laptop verliere? „Technik alleine ist also leider keine Lösung. Man braucht ein gesamtheitliches Konzept, zu dem jeder beitragen muss – IT-Technik und die User“, weist Osti hin.

Das sieht auch Hirschmann Automation & Control so. Aktuell betreibt das Unternehmen, das mit seinen Ethernet- und WLAN-Produkten die Kommunikationsinfrastruktur für die Automatisierungstechnik stellt, einen hohen Aufwand für die Härtung seiner Produkte gegen mögliche Angriffe. Mit Erfolg: Im Januar wurde die Industrie-Firewall Eagle Tofino beim „Scada Security Scientific Symposium (S4)“ getestet, einem Kongress zum Vorführen von Sicherheitslücken in den Produkten namhafter Hersteller. „Unser Produkt war in der Lage, über das Protokoll Modbus TCP angeschlossene Industriesteuerungen vor Angriffen zu schützen“, sagt Geschäftsführer Wolfgang Schenk. „Das zeigt auch die wesentliche Richtung unserer strategischen Ausrichtung. Wir wollen das Netz zum Sicherheitsnetz machen, das eine Schutzfunktion für die Endgeräte übernimmt.“

Peter Fröhlich„Der Zugriffsschutz umfasst zum einen den physischen Zugang zum System. Aber auch der logische Zugang muss geregelt werden.“
Prof. Dr.-Ing. Peter Fröhlich, Director Business Development, Hirschmann Automation & Control

Einfach anzuwendende technische Maßnahmen

Darüber hinaus denkt das Unternehmen gemeinsam mit seinen Kunden auch über ganzheitliche Lösungskonzepte nach. „Wir alle verstehen inzwischen, dass eine Firewall alleine kein Sicherheitskonzept ist. Eine solches besteht vielmehr aus einem Paket organisatorischer und technischer Maßnahmen“, so Schenk, der aus Erfahrung weiß, dass gelbe Notizklebezettel am Bildschirm mit dem einen, von allen genutzten Administrator-Login oder das Belassen des Vorgabepassworts im Auslieferungszustand einer Steuerung durchaus noch gang und gäbe sind. „Bei den technischen Maßnahmen steht die Einfachheit der Anwendung im Vordergrund. Unsere neuesten Produkte wie zum Beispiel der Ethernet-Switch RSP besitzen einen Menüpunkt Sicherheitsstatus, in dem alle sicherheitsrelevanten Funktionen in Form einer einfachen Ampel zusammengefasst sind.“

Bei Innominate betrachtet man das Thema Fernzugriff und Remote Services als einen wesentlichen Treiber für Investitionen in industrielle Netzwerksicherheit. „Unsere Entwicklungen konzentrieren sich daher aktuell darauf, hochsichere Remote-Services-Lösungen für einen möglichst breiten – auch klein- und mittelständischen – Anwenderkreis durch einfach nutzbare Portale und cloudbasierte Infrastrukturen zu erschließen und dabei auch drahtlose Verbindungen über Mobilfunk in diese Szenarien sicher einzubeziehen“, schildert Torsten Rössel. Daneben treibe das Unternehmen aber auch die eingebetteten virtuellen Security Appliances für Industrie-PCs, Steuerungs- und Bediensysteme voran.

Wolfgang Schenk„Vielen Betreibern dürfte erst im Ernstfall bewusst werden, dass ihr Umgang mit Sicherheit mehr Sorgfalt bedürfte.“
Wolfgang Schenk, Geschäftsführer Hirschmann Automation & Control

Physischen und logischen Zugangsschutz errichten

Und die organisatorischen Maßnahmen, die Anlagenbetreiber vornehmen können? Sie beziehen sich oft auf die klassischen Schwachstellen: Zu einfache, geläufige Passwörter, die nicht den Sicherheitsstandards entsprechen, veraltete Virenscanner, das Abrufen von firmenspezifischen E-Mails mit privaten Geräten, das versehentliche Besuchen von Phishing-Seiten. Auch das gedankenlose Weitergeben von unverschlüsselten oder ungeschützten Infos erleichtert das unbefugte Nutzen fremden geistigen Eigentums. Professor Dr. Peter Fröhlich, Director Business Development bei Hirschmann Automation & Control, plädiert deshalb für sowohl für den physischen als auch für den logischen Zugangsschutz zum System. Dabei sollte nach seiner Empfehlung konsequent das Prinzip niedrigstmöglicher Rechte umgesetzt werden, das heißt jeder erhält nur die Rechte, die er für die Ausübung der jeweiligen Rolle unbedingt benötigt. Diese Maßnahmen bilden jedoch nur einen von sieben Schritten ab, die der Experte nach dem Whitepaper von Eric Byres und John Cusimano „7 Steps to Industrial Security“ zur Absicherung von Automatisierungssystemen empfiehlt (siehe auch QR-Code). Davor stehen als erster Schritt die Bestandsaufnahme der bestehenden Infrastruktur hinsichtlich Sicherheitsrisiken und Maßnahmen, und im zweiten Schritt das möglichst konkrete Beschreiben von Richtlinien und Handlungsanweisungen, die auf den jeweiligen Arbeitsbereich und die Mitarbeiter, die sich danach richten sollen, zugeschnitten sein müssen. Danach folgen als Schritte drei und vier Schulungen für Personal und Dienstleister und die Segmentierung des Kommunikationsnetzes. Bei letzter werden die einzelnen Geräte und Kommunikationsteilnehmer im Netz nach funktionalen Gesichtspunkten zu Zonen gruppiert. Nach der Zugangsregelung stehen schließlich noch die Härtung der Komponenten, wie beispielsweise das Löschen nicht benötigter Anwendungen, und die Systemüberwachung und Pflege zur frühzeitigen Erkennung und Störung von Manipulationen auf dem Programm.

David Heinze„Ganz nach der Devise: So viel Security wie nötig und nicht wie möglich, lassen sich auch kosteneffiziente Lösungen finden.“
David Heinze, Marketing Manager Industrial Security, Siemens

Auf Standard-Komponenten setzen

Kleinen und mittelständischen Unternehmen, die sich einen größeren Aufwand nicht leisten können, empfiehlt David Heinze, Marketing Manager Industrial Security bei der Nürnberger Siemens-Division Industry Automation, das Verwenden von Standardkomponenten, um den Security-Level ihrer Automatisierungslösung deutlich zu erhöhen. „Ganz nach der Devise: So viel Security wie nötig, und nicht wie möglich, lassen sich auch kosteneffiziente Lösungen finden“, sagt er. „Dazu haben wir unsere Produkte mit Security Integrated am Markt platziert. Dies sind dedizierte Security-Produkte wie Security-Switches oder dedizierte Security-Funktionen in unseren Standard-Produkten, die den Sicherheitslevel des Kunden erhöhen. Unsere Kunden können schon mit einem geringen Aufpreis ein beachtliches Maß an Security hinzugewinnen.“ Ein Gutes hatte der Wurm Stuxnet immerhin: „Seit Stuxnet im Jahr 2010 gibt es ein größeres Bewusstsein für die Marktchancen seitens der Security-Produkthersteller und -Dienstleister“, sagt Holger Junker vom BSI. Das ist auch nötig. Denn die Angreifer schlafen eben nicht.

Autor: Angela Unger, Redaktion

Sieben Schritte zur Absicherung von Automatisierungssystemen

Autor: Prof. Dr.-Ing. Peter Fröhlich
Director Business Development Hirschmann Automation & Control GmbH, Professor Embedded Systems Hochschule Deggendorf

Schritt 1: Bestandsaufnahme der bestehenden Infrastruktur hinsichtlich Sicherheitsrisiken und Maßnahmen. Eine erste Aufnahme auf Basis der vorhandenen Dokumentation ergänzt und bestätigt man am besten durch Audits und Datenaufnahmen vor Ort. Bei der Bestandsaufnahme sind folgende Fragen zu stellen: Was ist die Bedrohung, bzw. was könnte passieren? Von wem geht die Bedrohung aus? Wie groß ist die Anfälligkeit? Gibt es Sicherheitsmaßnahme zur Verhinderung? Welcher Schaden würde im schlimmsten Fall entstehen?

Schritt 2: Richtlinien und Handlungsanweisungen müssen möglichst konkret beschrieben werden. Die Anweisungen sollten auf den jeweiligen Arbeitsbereich und die Mitarbeiter, die sich danach richten sollen, zugeschnitten sein. Die IEC 62443 macht in Teil 2 wertvolle Angaben dazu. Für die Mitarbeiter sollte klar erkennbar sein, wie die Richtlinie im Bezug zur eigenen Rolle steht, welche Verantwortung ihnen dabei zukommt und welche Folgen die Nichtbeachtung haben kann. Beispiele für Dinge, die geregelt werden sollten sind: Fernzugänge, Umgang mit tragbaren Geräten, Patch Management, Antivirus-Systeme, Änderungsverwaltung, Backup und Wiederherstellung sowie natürlich die Reaktion auf besondere Ereignisse.

Schritt 3: Schulungen für Personal und Dienstleister plant und protokolliert man am besten in einer Trainingsmatrix, die nach Rollen und Schulungsmodulen aufgespannt wird.

Schritt 4: Segmentierung des Kommunikationsnetzes. Die einzelnen Geräte bzw. Kommunikationsteilnehmer im Netz werden dabei nach funktionalen Gesichtspunkten zu Zonen gruppiert. In der Regel haben die Elemente in einer Zone ähnliche Anforderungen hinsichtlich der Sicherheit (Safety und Security). Zonen sollten untereinander mittels sogenannter „Conduits“ (Leitungsdurchführungen oder Kanäle– die Bezeichnung stammt aus der IEC 62443) verbunden werden. Zu jedem Conduit ist zu spezifizieren, welche Protokolle und Daten dort vorgesehen und erlaubt sind. Kommunikationsbeziehungen, die nicht durch die Conduits abgedeckt sind, sind verboten. Es gilt also auch, nach versteckten Pfaden zu suchen. Kommunikationsbeziehungen entstehen auch durch USB-Sticks sowie Einwähl- oder VPN-Verbindungen, die von außen zu einem Gerät in einer Zone hineinreichen und vom Conduit nicht erfasst werden. Die Conduits müssen dann auch technisch umgesetzt werden, z.B. durch eine Firewall mit Deep-Packet-Inspection wie dem Eagle Tofino.

Schritt 5: Der Zugriffsschutz umfasst sowohl den physischen Zugang zum System, der oft bereits hinreichend mittels Gebäude und Zutrittssystemen gegeben ist, darüber hinaus aber auch z.B. mittels Schlössern an Schaltschränken beschränkt werden sollte. Zum anderen muss aber auch der logische Zugang geregelt werden. Dazu gehören die sichere Identifizierung und Authentifizierung von Anwendern und die Regelung ihrer Rechte mittels Rollen. Dabei sollte konsequent das Prinzip niedrigstmöglicher Rechte umgesetzt werden, d.h. jeder erhält nur die Rechte, die er für die Ausübung der jeweiligen  Rolle unbedingt benötigt. Beispielsweise ist die Administration von Systemen vom Zugriff auf die Inhalte zu trennen, auch wenn das viele Systeme im Steuerungsumfeld heute noch nicht vorsehen. Wichtig ist auch der Nachweis von Aktionen von Anwendern in Form von Audit-Trails (Logdateien).

Schritt 6: Die Härtung der Komponenten kann bei PC-Systemen z.B. bedeuten, nicht benötigte Anwendungen („Media-Player“)  konsequent zu löschen. Nicht verwendete Netzwerkports müssen unbedingt deaktiviert werden. Natürlich stehen bei der Härtung aber vor allem die Gerätehersteller in der Verantwortung, die für die Härtung und langfristige Pflege, also auch Aktualisierung ihrer Systeme, verantwortlich gemacht werden müssen.

Schritt 7: Systemüberwachung und Pflege dienen der frühzeitigen Erkennung von Störungen und Manipulationen. Ein einmal erreichter guter Sicherungszustand muss auch dauerhaft erhalten werden. Dies bedeutet die fortlaufende Beurteilung und Bekämpfung neuer Bedrohungen und die kontinuierliche Aktualisierung aller Softwarestände auf in einem abgesicherten Prozess. Netzwerkmanagementsysteme wie z.B. Industrial HiVision visualisieren den Zustand des Kommunikationssystems und helfen, irreguläre Zustände zu erkennen.

Quelle: Byres, Eric; Cusimano, John: „7 Steps to Industrial Security – White Paper” www.tofinosecurity.com