Pierre Kobes ist bei Siemens Product and Solution Security Officer. Als Verantwortlicher für Standards und Regulations arbeitet er an der Security-Norm IEC 62443 mit. (Bild: keNEXT/wk)
Industrie 4.0 steht in den Startlöchern und mit ihr eine Schar an neuen Bedrohungen: Hacker, Viren und Trojaner, Spionage und Sabotage per Internet. Doch sich grundlegend zu schützen ist nicht schwer. Viele Komponenten können heute schon Security – man muss sie nur noch einschalten. Eine Norm weist dabei den Weg.
Auch das von Siemens zum Schutz industrieller Automatisierungsanlagen entwickelte Security-Konzept ist ein Defense-in-Depth-Konzept. Es basiert auf den Komponenten Anlagensicherheit, Netzwerksicherheit sowie Systemintegrität nach den Empfehlungen der IEC 62443.
Die wichtigsten Schlagworte der vergangenen Jahre sind Vernetzung und Kommunikation – auch in der Industrie. Das weckt Begehrlichkeiten, denn wie heißt es so schön: Gelegenheit macht Diebe. Mit der Digitalisierung, mit dem Einzug von Ethernet, USB und WLan in Maschinen und Anlagen, mit dem steigenden Gewicht von Software an der Wertschöpfung des Maschinenbaus steigt auch das Risiko. Jede Tür nach draußen ist gleichzeitig ein potenzielles Einfallstor für – nun, für was eigentlich?
Die Security-Module Scalance S kontrollieren mit einer intelligenten Firewall (stateful inspection) und IPsec VPN die Kommunikation, und schützen diese bei Bedarf durch Verschlüsselung vor Spionage oder Manipulation.
Die Bandbreite möglicher Bedrohungen ist groß. Das kann der eigene Mitarbeiter sein, der versehentlich in der Programmierung etwas verstellt. Es können zufällig eingeschleppte Office-Viren sein, oder speziell auf das Unternehmen zugeschnittene Spionage-Tools. Als Täter kommen Hacker in Frage, unzufriedene Mitarbeiter, Umweltaktivisten, Globalisierungsgegner, Wettbewerber, Geheimdienste und viele mehr.
Die Industrie im Fokus von Angeifern
Firewall und VPN-Funktionen werden auch von den Mobilfunk- und Internet-Routern Scalance M unterstützt, um Fernzugriffe über unsichere, öffentliche Netze zu schützen.
Die Bedrohungslage hat sich geändert. Vor einigen Jahren galt der (tollpatschige oder böswillige) Innentäter als größtes Risiko. Heute dominieren Angriffe von außen, die hoch entwickelte Schadsoftware einschleusen, die unbemerkt im System schlummert und nur auf Befehl von außen aktiv wird, so genannte Advanced Persistent Threats.
Der Betreiber merkt oft gar nicht, dass er angegriffen wird. Doch wenn der Angreifer erst einmal im Firmennetz ist, sind Daten schnell gestohlen oder schlimmer: Sabotage und Manipulation haben bereits zu echten Schäden an der Anlage oder Produktion geführt.
Ein Weckruf zur industriellen IT-Sicherheit war Stuxnet, ein Computerwurm, der 2010 eine Projektierungsumgebung infizierte und von dort S7-Steuerungen manipulierte, um in die Regelung von Frequenzumrichtern von Vacon und Fararo Paya einzugreifen.
Was auch immer die Hintergründe waren, mutmaßlich, um das iranische Atomprogramm zu sabotieren, den Sicherheitsverantwortlichen in der Industrie wurde schlagartig klar, dass nicht mehr nur Windows-PCs im Office-Umfeld Ziel von Attacken waren.
Siemens, nicht nur als erstes prominentes Opfer eines Industrie-Wurms, sondern als einer der weltweit führenden Steuerungshersteller ganz automatisch bevorzugtes Ziel von Malware-Programmierern, hat sich eine dezidierte Security-Strategie gegeben und das Thema IT-Sicherheit zu einem wesentlichen Produkt-Feature der Automatisierungskomponenten gemacht.
Wer sorgt eigentlich für Sicherheit?
Wer ist dafür verantwortlich, dass eine Anlage sicher ist? Eine Antwort gibt die Norm IEC 62443 mit ihrem Defense-in-depth-Prinzip. Auch wenn sie nicht in allen Teilen final verabschiedet ist, bietet sie gute Anhaltspunkte für ein Sicherheitskonzept: Sie sieht sowohl den Hersteller von Automatisierungskomponenten in der Pflicht, als auch den Systemintegrator und den Betreiber der Anlage.
Als Basis müssen die Komponenten grundlegende Sicherheitsfunktionen wie Passwortschutz, Rechtemanagement oder Verschlüsselung beherrschen. Zusätzliche Security-Komponenten wie Router und Switches mit integrierten Firewalls sollten verfügbar sein. Idealerweise lassen sich die Geräte problemlos in die Automatisierungslandschaft integrieren. Zu guter Letzt muss der Hersteller der Komponenten Schwachstellen schnell entdecken und zeitnah Patches zur Verfügung stellen.
Zum Schutz der Systemintegrität werden Security-Funktionen wie mehrstufiger Passwortschutz, Know-how- und Kopierschutz des SPS-Programms sowie Integritätsschutz der Kommunikation auch direkt in die Simatic-Steuerungen S7-1200/1500 eingebaut.
All das bietet Siemens an. Die Security-Module Scalance S etwa kontrollieren mit einer intelligenten Firewall und IPsec VPN die Kommunikation, bei Bedarf schützt eine Verschlüsselung vor Spionage oder Manipulation. Firewall und VPN-Funktionen werden auch von den Mobilfunk- und Internet-Routern Scalance M unterstützt. Die Steuerungen Simatic S7-1200 und S7-1500 wiederum bieten Security-Funktionen wie mehrstufigen Passwortschutz, Kopierschutz des SPS-Programms sowie Integritätsschutz der Kommunikation.
Dergestalt ausgerüstet ist es im zweiten Schritt für den Systemintegrator möglich, ein sicheres Netzwerk aufzubauen – einer der zentralen Punkte für eine sichere Anlage. Denn das Netzwerk ist Einfallstor und Verbreitungsweg zugleich. Mit einer geeigneten Segmentierung der Netze, einem Zellenschutzkonzept, mit Verschlüsselung und so genannten DMZ, demilitarisierten Zonen zur Datenübergabe in andere Netze sowie mit einem passenden Netzwerkmonitoring ist schon viel gewonnen.
Die wichtigste Aufgabe kommt am Ende aber dem Betreiber der Anlage zu: Er muss organisatorische Maßnahmen ergreifen, um die Sicherheit auch umzusetzen, er muss einen Security-Management-Prozess aufbauen. Ein nutzerindividueller Passwortschutz auf der SPS mit unterschiedlichen Rechten für Administratoren, User und Diagnose nützt nichts, wenn jeder Mitarbeiter das Administratorpasswort nutzt. Und wenn ein Mitarbeiter ausscheidet, dann müssen seine Berechtigungen natürlich aus den Systemen gelöscht werden. All das findet sich in der IEC 62443.
Die Norm beschreibt auch unterschiedliche Security Level. Diese orientieren sich an Fähigkeiten und Motivation eines potenziellen Angreifers. Auf Security Level 1 schützt man sich zumindest gegen Aktionen eines erlaubten Anwenders, der etwas tut, was er nicht tun dürfte. Etwa wenn ein Operator in der Nachtschicht einen USB-Stick einschiebt um einem Kollegen Bilder zu zeigen.
Beim Security Level 2 geht es gegen Angreifer, die relativ geringe Ressourcen haben und auch nur eine geringe Motivation. Man spricht hier gerne von Skript Kiddies, die Hacking eher als Freizeitbeschäftigung sehen. Für den Security Level 3 muss man sich schon gegen Advanced Hacker rüsten, also Personen, die gezielt Schwachstellen suchen und die auch anlagenspezifisches Know-How haben. Und die deutlich motivierter sind, sei es durch Geld, Erpressung oder politische Motivation.
Level 4 ist die höchste Stufe, hier versucht man sich gegen Angreifer zu schützen, die wirklich viele Ressourcen haben, viel Zeit und eine sehr hohe Motivation. Hier bewegt man sich zwischen organisierter Kriminalität und Geheimdiensttätigkeit.
Risiken erkennen und bewerten
Security-Maßnahmen müssen auf den jeweiligen Einzelfall zugeschnitten werden. Daher bietet Siemens auch Risikoanalysen und Sicherheitsberatung an. Bild: Siemens
Hundertprozentige Sicherheit gibt es nicht. Wichtig ist eine klare Risikobewertung. Welche Risiken gibt es, welche potenziellen Schäden oder Ausfälle sind für das jeweilige Unternehmen tolerierbar, welche nicht? Was kostet ein Tag Produktionsausfall eine Maschine oder eines Anlagenteils, wäre der Ausfall einer Maschine durch eine andere zu kompensieren? Und wieviel kostet im Gegenzug der Zusatzaufwand für Sicherheitsmaßnahmen. Die bekannte 80/20-Regel gilt auch hier. Mit 20 Prozent Einsatz lässt sich rund 80 Prozent Sicherheit erreichen. Es ist wie bei einem Haus: Mit einer abgeschlossenen Haustür ist schon sehr viel erreicht, 100 Prozent Sicherheit gibt es aber auch mit der teuersten Alarmanlage nicht.
Neben der prophylaktischen Abschottung der Systeme wird das Security Monitoring immer wichtiger. Mit so genannten sogenannten SIEM-Systemen (Security Information and Event Management) werden Angriffe erkannt, bevor sie Erfolg haben. Zuverlässigen Schutz kann nur ein Ansatz bieten, der Security-Mechanismen und ein umfassendes Automatisierungsverständnis vereint.
Siemens kann bei der Umsetzung der notwendigen Maßnahmen unterstützen – mit geeigneten Komponenten ebenso wie im Rahmen des integrierten Produkt- und Serviceangebots für industrielle Sicherheit. Defense in depth eben.
„Security ist einfacher, als die meisten denken“
Bild: keNEXT/wk
Im Zuge von Industrie 4.0 kam auch IT-Security für die Industrie wieder auf die Agenda. Mittlerweile ist sogar eine eigene Norm für das Thema in Arbeit. ke NEXT war bei Siemens in Nürnberg, um nachzufragen, wie die Sicherheitslage in der Industrie heute wirklich ist.
Das Thema Security ist vielgestaltig: Schutz vor Datendiebstahl, vor Sabotage, vor Manipulation. Welches Risiko ist derzeit am höchsten?
Franz Köbinger: Die Risiken sind für jede Anlage oder Anwendung individuell und unterscheiden sich von Fall zu Fall deutlich. Im Automatisierungsumfeld hat sich aber gezeigt, dass die Verfügbarkeit der Anlage meistens das vorrangige Schutzziel ist, vor der Vertraulichkeit der Daten – ganz im Gegensatz zum klassischen IT-Umfeld. Jüngste Sicherheitsvorfälle wie das im BSI-Report genannte Stahlwerk zeigen auch eine zunehmende Tendenz in Richtung Sabotage oder Manipulation industrieller Anlagen.
Was sagen Sie zur vorgeschlagenen Meldepflicht für IT-Vorfälle in der Industrie?
Franz Köbinger ist Marketingmanager im Bereich Prozessindustrie und dort für das Thema industrielle Kommunikation zuständig. Als Systemmanager erstellt er auch Security-Konzepte. Bild: keNEXT/wk
Franz Köbinger: Das ist ein zweischneidiges Schwert. Einerseits muss man aufpassen, dass man nicht zu viele Informationen nach außen gibt. Weil die können ja dann wieder von Angreifern ausgenutzt werden. Wenn die mitbekommen, mit welcher Methode ein Angriff funktioniert hat, werden sie das bei jemand anderem auch probieren. Man muss auch sehen, dass man in der Industrie nicht immer sofort patchen und Schwachstellen beheben kann, deswegen muss man sehr vorsichtig sein, welche Informationen man nach außen gibt. Auf der anderen Seite ist es natürlich für einen Anwender gut wenn er weiß, da ist eine Schwachstelle und da muss er aufpassen, dass da nichts passiert. Damit er vorgewarnt ist. Man sollte es wohl fallweise entscheiden.
Die Technik und Fähigkeiten der Angreifer entwickeln sich ja stetig weiter. Wie kann eine Norm das abbilden?
Pierre Kobes ist bei Siemens Product and Solution Security Officer. Als Verantwortlicher für Standards und Regulations arbeitet er an der Security-Norm IEC 62443 mit. Bild: keNEXT/wk
Pierre Kobes: Die Norm beschreibt das, was zu erreichen ist, und nicht, wie das zu erreichen ist. Das ist sehr bewusst geschehen, zum Beispiel bei der Definition der Security Level. Das, was ein einfacher Hacker, ein Skript Kid, machen kann, was also Security Level 2 entspricht, ist heute viel mehr als das, was er noch vor fünf oder zehn Jahren machen konnte.
Weil heute auf dem Markt Exploits verfügbar sind via Internet, mehr Rechenleistung verfügbar ist, sodass das Niveau eines Skript Kiddies heute deutlich höher ist als vor ein paar Jahren. Und wenn heute eine Verschlüsselung mit AES 128 ausreicht, kann es sein, dass das in fünf Jahren nicht mehr reicht.
Die Definition des Security Level 2 ist aber immer noch dieselbe, man betrachtet immer noch einen Angreifer, der wenige Ressourcen hat, wenig Zeit, wenig Motivation, nach wie vor, nur das Niveau ist höher. Und die Maßnahmen, die ich dagegen setzen muss, sind heute aufwendiger als das, was noch vor fünf oder zehn Jahren ausgereicht hat. Genau so ist die Norm geschrieben.
Muss man dann nicht dauernd seine Maschine anpassen?
Pierre Kobes: Wenn eine Maschine 25 Jahre lang läuft, kann es schon sein, dass sie Anfangs dem Security Level 3 entsprach und irgendwann nur noch dem Level 2. Man muss bezüglich der Sicherheit zwar nicht ständig an seiner Anlage arbeiten, aber regelmäßig. Auf der anderen Seite: Der Anwender bekommt von uns als Hersteller die notwendige Unterstützung. Wenn uns neue Schwachstellen bekannt sind, und da sind wir ein Stück weit Vorreiter, dann bringen wir sogenannte Advisories heraus. Dort erklären wir, dass diese Schwachstelle entdeckt wurde und wen sie unter welchen Umständen betrifft.
Wir geben an, welche Sofortmaßnahmen man zur Absicherung ergreifen kann und parallel arbeitet ein großes Team daran, die Schwachstelle zu beheben. Entsprechend gibt es regelmäßig Updates und Patches für unsere Produkte. Diese Vorgehensweise ist in der IT seit Jahren Standard und sie verbreitet sich auch in der Industrie. Die Automatisierer gewöhnen sich an Security Monitoring und Patch-Management. Wir sehen uns als Komplettanbieter für die Industrie, und da gehört Security einfach zwingend dazu.
Die Anwendung der Norm ist gesetzlich nicht vorgeschrieben. Wozu ist sie überhaupt gut?
Franz Köbinger: So eine Norm ist auch für die Bewusstseinsbildung da. Es werden Dinge erwähnt, an die der eine oder andere gar nicht gedacht hat. Und wenn doch einmal ein Security-Vorfall passiert, dann ist es für die Verantwortlichen auch gut, wenn sie sagen können, sie haben sich an einen Standard gehalten – das ist Best Practice, State of the Art. Auf diese Weise können sie nachweisen, dass sie nicht fahrlässig gehandelt haben.
Das Gespräch führte Wolfgang Kräußlich, Leitender Chefredakteur