Cyber-Security-Trends 2016, Bild: TÜV Rheinland
Wie neue Technologien und die sich verschärfende Cyber-Bedrohung Wirtschaft und den Handel im Jahr 2016 beeinflussen, zeigt die Grafik vom TÜV Rheinland. Bild: TÜV Rheinland

Unternehmen sollten ihre aktuelle IT-Schutzstrategie regelmäßig auf ihre Wirksamkeit überprüfen. Wichtig: Im Rahmen der Analyse sind alle technischen wie organisatorischen Maßnahmen zu berücksichtigen, die bereits umgesetzt sind. Angesichts der steigenden Vernetzung zwischen Administration und Produktion sowie der zunehmenden Verbreitung mobiler Kommunikation (BYOD – „Bring your own device“) ist es unerlässlich, die Office- und die Produktions-IT integriert zu betrachten. Folgende Fragen sind relevant:

  1. Welche Schnittstellen gibt es zwischen diesen Netzen sowie nach außen?
  2. Aus welchen Netzbereichen heraus ist ein Zugriff auf die Anlagen möglich?
  3. Wie sind diese Schnittstellen abgesichert?

Auf Basis dieser Informationen lassen sich die aktuellen Sicherheitslücken der IT-Netze ermitteln. Nachfolgend ein kleiner Ausschnitt möglicher Angriffsvektoren ohne Anspruch auf Vollständigkeit.

Netztrennung:

Im Unternehmen sollten die klassischen „Office-IT“-Netzwerke und die Produktionsnetze konsequent voneinander getrennt sein. Andernfalls können Angreifer Produktionsanlagen unautorisiert beeinflussen. Dies reicht von der (sporadischen) Störung der Systeme bis zur gezielten persistenten Manipulation der Anlagen. Sind „Office IT“ und Produktions-IT bereits getrennt, sollten die technischen Maßnahmen der Netzwerktrennung auf den Prüfstand gestellt werden. Eine klassische „Port Firewall“ ist je nach Angriffsvektor möglicherweise nicht ausreichend.

Remotezugänge:

Zum Zweck von Diagnose und Wartung durch System-Hersteller oder Anlagenbetreiber sind Produktionssysteme vielfach per Remotezugang direkt oder indirekt über das Internet erreichbar. Über diese klassischen IT-Systeme steigt das Risiko einer Manipulation. Bei der Fernwartung erfolgt der Zugriff auf die Produktionssysteme zudem vielfach von einem System, das nicht der Kontrollhoheit der eigenen Organisation unterliegt, sondern der des Anlagenherstellers oder -betreibers. Dieser pflegt unter Umständen weniger strenge Sicherheitsvorgaben als das Unternehmen. Hier drohen sicherheits- und Compliance-relevante Implikationen, die kritisch zu hinterfragen sind.

Physikalischer Zugriff

Wartung und Diagnose werden oft auch per physikalischem Zugriff durchgeführt – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware über dieses System auf die PLC (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren.

VPN-Verbindung

Die VPN-Verbindung, über die erfahrungsgemäß ein Zugriff auf die Steuerungssysteme pauschal oder in eingeschränkter Form erfolgt, sollte konsequent durch eine 2-Faktor-Authentisierung abgesichert werden. Damit ist ein automatischer unbefugter Zugriff weitestgehend auszuschließen. Selbst wenn Schadsoftware Zugangsdaten zu den Produktionssystemen mitschneidet, ein tatsächlicher manipulativer System-Zugriff ist nur dann möglich, wenn der zweite erforderliche Faktor, – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software Token oder einer SMS – verfügbar ist.

Der Zugriff auf die Steuerungssysteme der Produktionsanlagen sollte möglichst ausschließlich über ein RDP / SSH- bzw. Remote-Administrations-Protokoll erlaubt werden. Außerdem ist der Mitschnitt der administrativen Sessions über eine technische Lösung sinnvoll. Damit ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. Das erlaubt in der Regel auch, die Manipulation rückgängig zu machen und diese Lücke für künftige Angriffe zu schließen.

Detektion und Absicherung

Eine sinnvolle Option zur effektiven Absicherung von Produktionsanlagen sind so genannte Next Generation Firewalls (NGFW), die eine Protokoll- bzw. applikationsspezifische Absicherung erlauben – anders als klassische „Port Firewalls“.

Automatisiertes Erkennen von Anomalien

Für die fokussierte, aktive Überwachung von Produktionsanlagen gibt es mehrere technische Alternativen. Neben dem klassischen Security Information and Event Management (SIEM) ist das Network Traffic & Command Baselining der aktuell vielversprechendste Ansatz zur Detektion von Anomalien. An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an Korrelatoren ausleiten und ein entsprechendes Basisverhaltensmuster herstellen. Erkennt der Sensor entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- bzw. IT-Personal die Möglichkeit gibt, den Sicherheitsvorfall zu qualifizieren und ihn – falls sich der Verdacht eines Manipulationsversuchs erhärtet – entsprechend zu bearbeiten.