Wie Sie Steuerungssysteme gegen Cyberkriminelle absichern

Das Internet der Dinge (IoT) nimmt in der Industrie fahrt auf – zu groß sind die Vorteile, die sich daraus ergeben. Unternehmen aller produzierenden Branchen setzen sich zum Ziel, ihre industriellen Steuerungssysteme (ICS/ SCADA) durch die Vernetzung von Geräten und Maschinen zu optimieren – Stichwort Industrie 4.0. Das grundsätzliche Problem des IoT besteht aber für Unternehmen darin, dass sich Anbieter von IoT-Lösungen bisher mehr mit den Anwendungsmöglichkeiten beschäftigt haben, denn sie wollen möglichst schnell marktfähige Produkte präsentieren.

Die Sicherheit wird dagegen stiefmütterlich behandelt. Das macht sich insbesondere dann bemerkbar, wenn klassische Industrie-Technik mit dem IoT verknüpft wird, denn dadurch geraten die Systeme in den Fokus von Cyber-Attacken. Unberechtigte Zugriffe auf ein ICS und die dadurch mögliche Manipulation von Geräten können erhebliche Folgen haben, unter anderem beschädigte Anlagen, defekte oder unbrauchbare Produkte oder Umweltschäden bis hin zu lebensbedrohlichen Folgen für Mitarbeiter und andere Personen.

Solange das „Air Gap“ noch Bestand hatte, also die Systeme noch nicht mit dem Internet verbunden waren, fielen die Sicherheitsmängel von ICS-Systemen nicht weiter ins Gewicht. Doch mit der zunehmenden Vernetzung werden diese Schwachstellen zu einem großen Risiko für Unternehmen. Große Probleme bereitet beispielsweise das fehlende oder unzureichende Management der Benutzerkonten, die Zugriff auf die Betriebsdaten der ICS haben. Eine zweite Schwachstelle entsteht durch den Einsatz von Serienprodukten (COTS-Produkte, Commercial off-the-Shelf). Diese Standard-Hard- und -Software enthält in der Regel eingebettete privilegierte Zugangsdaten, die oft nicht verändert werden. Wer sich Zugang dazu verschafft, kann dann auch relativ einfach auf nachgelagerte Backend-Systeme zugreifen.

Zwar ist die Internetanbindung in vielen Fällen sehr praktisch, da Hersteller via Fernzugriff zum Beispiel Wartungsarbeiten durchführen oder System- und Firmware-Updates einspielen können. Gleichzeitig darf aber das damit verbundene Risiko nicht unterschätzt werden. In der Vergangenheit zeigte sich bereits, dass ICS- und Scada-Systeme sehr gefährdet sind. Die Systeme – in der Regel Computer – überwachen und regeln technische Prozesse in einem Unternehmen. Vor zwei Jahren wurden Fälle bekannt, in denen Cyber-Kriminelle die Waterhole-Methode verwendeten, um Steuerungssysteme mit dem Havex-Virus zu attackieren. Dazu wurden die Webseiten von ICS-Herstellern gehackt und dort infizierte Software-Installer hinterlegt. Kunden, die nun die Software herunterluden, oder ihre Systeme mit einer neuen Version aktualisierten, kompromittierten dadurch ihre Steuerungssysteme. Die Angreifer erhielten somit Zugriff auf die Steuerungssysteme und konnten Daten abgreifen. Betroffen waren damals Unternehmen aus Deutschland, Belgien und der Schweiz, die Anwendungen und Hardware für den industriellen Einsatz entwickeln.

Im Fadenkreuz der Kriminellen steht aber auch das Human Machine Interface (HMI) der ICS und Scada-Systeme, über das der Bediener Meldungen und Alarme überwacht und auf sie reagiert. Die Hersteller gehen vermehrt dazu über, auf Web-basierte HMIs umzusteigen, was das Risiko von Angriffen erhöht. Die webbasierten HMIs von ICS- und Scada-Systemen sind unter anderem von Directory-Traversal-Angriffen, Pufferüberläufen, XSS-, SQL-Injection-, CSRF- und anderen webbezogenen Schwachstellen betroffen.

Anwender sind in der Lage, die Sicherheit zu erhöhen. Konkrete Maßnahmen, um das Risiko eines Angriffs zu vermindern, lassen sich aber erst ergreifen, wenn das Unternehmen die Abhängigkeiten zwischen seinem IoT und dem Hersteller durchschaut hat, denn nur so lassen sich potenzielle Schwachstellen erkennen und Gegenmaßnahmen ergreifen.

Grundsätzlich sollten die Sicherheitsstandards eines Unternehmens auch für den Hersteller der IoT-Systeme gelten. Um ein durchgängiges Sicherheitsniveau zu gewährleisten, können Unternehmen beispielsweise Verträge und SLAs mit den Herstellern aushandeln, die den eigenen Ansprüchen genügen. Wenn sich der Hersteller darauf nicht einlässt, ist es eventuell möglich, spezielle Leistungen zu vereinbaren. Das könnte beispielsweise eine Garantie sein, dass Software oder Updates erst nach vorheriger Prüfung zum Download angeboten werden.

Aber auch mit internen Maßnahmen kann ein Unternehmen die Sicherheit erhöhen. Unternehmen sollten dabei besonderes Augenmerk auf die Zugriffsrechte legen. Das gilt sowohl für den internen Zugriff durch Mitarbeiter als auch für den externen Zugriff durch den Hersteller der IoT-Komponenten. In diesem Zusammenhang stellt sich für das Unternehmen auch die Frage, welche Fernwartungskomponenten mit dem Internet verbunden sein müssen und welche nicht.

Es zeigt sich, dass ein Unternehmen bereits durch eine vergleichsweise geringe Eigenleistung, die Sicherheit seiner ICS- und Scada-Systeme verbessern kann. Wenn dann auch noch die IoT-Anbieter kooperieren, lässt sich das Sicherheitsniveau noch weiter anheben. eh