Das Schwachstellen-Management ist ein Kernbestandteil der Sicherheit in der IT-Welt. Umso unverständlicher ist es, dass Hersteller von Industrieanlagen nur äußerst zögerlich ein effizientes Vulnerability-Management implementieren. Die Betreiber begeben sich damit in Gefahr, zum Ziel massiver Angriffe zu werden.

Für den zuverlässigen Infrastrukturbetrieb hat sich in der IT-Welt längst das ITIL-Regelwerk (IT Infrastructure Library) etabliert. In der Praxis kombinieren Unternehmen oft ITIL mit der Normenreihe ISO 27000 für den Aufbau und den Betrieb eines ISMS (Information-Security-Management-System). Auf dieser Basis betreiben Unternehmen IT-Disziplinen wie Change- (einschließlich Patch-), Configuration-Management oder auch Vulnerability- (also Schwachstellen-)Management. In der Welt der Industrie- und Produktionsanlagen (Operational Technology, OT) hingegen aktualisiert man Software selten, wenn überhaupt, und ein Schwachstellen-Management ist bislang weitgehend unbekannt.
Eine Erklärung dafür findet sich in der Art und Weise, wie eine klassische Industrieanlage entsteht. Vereinfacht ausgedrückt beschreiben Maschinen- und Anlagenbauer oder auch Automobilzulieferer in einem Dokument die funktionalen Anforderungen (Functional Requirement) an eine Anlage. Auf dieser Basis beschafft das Unternehmen dann die Anlage als Komplettlösung oder lässt sie aus Einzelteilen zusammenbauen. Anschließend installiert der Anlagenbauer die aktuell unterstützte Software, konfiguriert das Komplettsystem und nimmt Funktionstests vor. Wenn alles wie erwartet läuft, geht die Anlage in Betrieb und wird dann ohne triftige Gründe nicht mehr angepasst.
Das Hauptproblem dabei: Das Thema Sicherheit inklusive Patch-Management-Prozess und Reaktion auf Störfälle (Incident Handling) bleibt außen vor. Auch Anforderungen aus dem Sicherheits-Management sind nicht umgesetzt. Zudem gibt es keine Prozesse, um Schwachstellen in der OT-Umgebung zu überwachen und die damit verbundenen Risiken zu bewerten.

Transparenz in der OT-Welt schaffen

In einer komplexen Produktionsanlage eines Unternehmens können einige Tausend OT-Komponenten verbaut sein, darunter PLCs (Programmable Logic Controller), Sensoren, Aktoren, HMIs (Human-Ma­chine Interfaces), Engineering Workstations und Server-basierte Scada-Systeme. All diese Komponenten zeichnen sich dadurch aus, dass bei der Produktentwicklung die Funktionalität im Mittelpunkt steht. Die Sicherheit bleibt in aller Regel weitgehend außen vor – auch mögliche Änderungen der Sicherheitsanforderungen über den gesamten Lebenszyklus, der meist über 15 Jahre beträgt.
Zum Zeitpunkt der Auslieferung eines Produkts testet der Hersteller das Zusammenspiel der OT-Komponenten für eine bestimmte Konfiguration in der Produktionsumgebung. Dafür übernimmt er auch die Wartung und Gewährleistung über einen zu bestimmenden Zeitraum. Ändert sich im Zeitverlauf in der Produktionsumgebung eine Steuerkomponente, etwa weil man ein Bauteil eines Herstellers im Rahmen eines Wartungsvertrags austauscht oder die Software eines PLCs wegen eines Fehlers aktualisiert, gestaltet sich die Bewertung der Abhängigkeiten auf all die anderen Bauteile enorm schwierig: Im Grunde genommen müsste das Unternehmen dann nicht nur das funktionale Zusammenspiel aller Teile testen (was geschieht), sondern auch die Auswirkungen auf die Sicherheit der neuen Konfiguration im Hinblick auf Schwachstellen. Genau das geschieht aber oft nur sehr oberflächlich, was das Sicherheitsniveau eher reduziert.
Was können Unternehmen tun, um den Überblick über eine Produktionsanlage herzustellen? Wie lassen sich vorhandene Schwachstellen ausfindig machen? Unterstützt durch einen externen IT-Security-Spezialisten können sie beispielsweise Tools wie Scadaguardian von Nozomi Networks oder die OT-Monitoring-Lösung Claroty des gleichnamigen Herstellers nutzen, um in ihrem OT-Netz die eingesetzten Komponenten zu erkennen. Dies umfasst die Softwareversion, Kommunikationsprotokolle und Kommunikationspartner. Beide Tools arbeiten passiv, sodass sie die regulären Abläufe und die Kommunikation im OT-Netz nicht beeinflussen.

Eine mögliche Architektur für eine sichere OT-Umgebung. Bild: NTT Security

Schwachstellen ausfindig machen

Die Lösung von Nozomi Networks zum Beispiel bietet unter Verwendung passiver Überwachungstechniken einen guten Einblick in ICS- (Industrial Control System)-, Scada- und andere Steuerungssysteme, Protokolle und Netzwerke. Sie nutzt Echtzeit-Überwachungs- und detailgenaue Analyseverfahren, um Anomalien zu erkennen und Unternehmen schnell auf Sicherheits- und Prozessintegritätsprobleme hinzuweisen. Dies ermöglicht eine Bestandsaufnahme der Industriesteuerungen und identifiziert Geräte mit Schwachstellen. Zudem sind für viele PLCs Schwachstellendatenbanken verfügbar. Damit können sich Unternehmen einen sehr guten Überblick über die Gefährdungslage der von ihnen eingesetzten Produkte verschaffen.
Eine schnell umsetzbare und effiziente Maßnahme ist der Einsatz von Endpoint-Protection-Software für Engineering-Workstations und Scada-Server-Systeme. Ziel ist es, die Rechner vor Cyberangriffen und Malware aller Art zu schützen. Eine solche Software überwacht alle auf den Workstations ablaufenden Aktionen und verhindert potenziell gefährliche Situationen. Zudem lassen sich anormale Ereignisse im Netzwerkverkehr feststellen. Die Herausforderung für eine Gesamtlösung ist nun, dass die Scada-Softwarehersteller die Wartung und Gewährleistung einschränken, wenn nicht unterstützte Drittsoftware auf den Engineering-Workstations und Server-Systemen zum Einsatz kommt. Hier ist ein Umdenken der Hersteller und ein sauberes Softwaredesign erforderlich. In der Zwischenzeit lautet die Empfehlung, die freigegeben Endpoint-Protection-Lösungen einzusetzen und dies mit dem Hersteller der OT-Anlage abzuklären.
Aber auch die Produzenten von Sensoren und Maschinen müssen aktiv werden. Sie sollten erstens bereits auf dem Markt eingeführte Produkte schrittweise einem regelmäßigen Penetrationstest unterziehen. Dieser stellt kosteneffiziente Verfahren zur Aufdeckung und Analyse von Schwachstellen und Fehlern bereit und liefert Ansatzpunkte zu deren Behebung. Zweitens sollten sie bei der Produktentwicklung nach dem „Security by Design“-Prinzip vorgehen. Die fachliche Anforderungsanalyse sollte die aktuell mit Geräten verbundenen Sicherheitsrisiken berücksichtigen, aber soweit wie möglich auch solche, die im weiteren Lebenszyklus auftreten könnten. Die IEC 62443 bietet hier eine gute Basis. Eine Zertifizierung der Produkte nach diesem Standard ist ebenfalls möglich – und sicher ein Wettbewerbsvorteil für jeden Hersteller.
Ein wichtiger Ansatzpunkt für mehr Sicherheit ist das Vulnerability-Management. Es setzt bei der Bestandsaufnahme der vorhandenen PLCs, Sensoren, Aktoren, Engineering-Workstations und Scada-Systeme an und bewertet, filtert und priorisiert Risiken. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und Kommunikationsbeziehungen. Vorbild ist die Konfigurationsdatenbank (Configuration Management Database, CMDB) der IT-Systeme. Eine zentrale Rolle spielt die Risikoabschätzung. Denn jede Fertigungsumgebung oder Anlage weist ein individuelles Risikoprofil auf. Dieses ist durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse zu ermitteln. Darauf bauen dann alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf, einschließlich einer strukturierten Planung der weiteren Schritte, um die OT-Sicherheit zu steigern. Gerade bei Bestandsanlagen ist die pauschale Empfehlung, alle Komponenten immer zu aktualisieren, sicher zwar wünschenswert, lässt sich in der Praxis aber nicht umsetzen. Der Überblick über die OT-Umgebung und die Kenntnis von Risiken und Schwachstellen gibt hier sicher den Ausschlag für das Vorgehen: Absicherungsmaßnahmen kann man dann umsetzen mittels risikobasierter Netzwerksegmentierung, OT-Angriffserkennung, der Erkennung von Veränderungen in der Infrastruktur und mit kontrolliertem Zugriff auf das Netzwerk auch von externer Seite. Ziel ist es, das Sicherheitslevel spürbar zu erhöhen, ohne den Betrieb der Anlage zu stören. Das eigentliche Patchen von Schwachstellen wird in Zukunft nur mit einem Umdenken der Hersteller bei der Softwareentwicklung für OT-Komponenten erfolgreich zu verwirklichen sein.

Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security, www.nttsecurity.com.