Produktionssicherheit ist ein Wachstumstreiber, zuletzt befeuert durch das IT-Sicherheitsgesetz, die Diskussion um kritische Infrastrukturen sowie den Trend Industrie 4.0. Ein Beispiel für die Anfälligkeit dieser Systeme ist die Ausbreitung des Ransomware-Phänomens auf Produktionsumgebungen wie der Lösegeld-trojaner Logiclocker, derzeit glücklicherweise noch als ein Proof of Concept einer Hochschule.

Analog zu ihren Malware-Gegenstücken auf Windows-Systemen befällt die SPS-Ransomware gezielt bestimmte Steuerungen, sperrt deren Zugriff und gibt diese erst gegen Lösegeld wieder frei. Doch was meint eigentlich der Begriff Produktionssicherheit genau? Eine Definition liefert das BSI: Es subsummiert die Cybersicherheit in der Fabrikautomation und Prozesssteuerung in einem Empfehlungspapier unter dem Begriff „Industrial Control Systems (ICS)“. Folgt man dieser Begriffsdefinition, schließt dies alle Industriesteuerungen mit ein. Beschreitet man den eingeschlagenen Pfad der stärkeren Vernetzung von industriellen Komponenten, heißt das aber auch, dass zukünftig Experten aus der IT-Sicherheit enger mit ihren Pendants aus der operativen IT zusammenarbeiten müssen.

Doch was macht Industriesteuerungssysteme eigentlich so wertvoll für die Angreifer? Durch die Vernetzung der Office-IT mit den bislang als Inseln aufgebauten Produktionseinheiten werden ganze Produktionsprozesse digitalisiert.

Die Grafik zeigt ein Beispiel für White-, Grey- und Blacklisting. Bild: SANS Institute

Cyberkriminelle, aber auch Konkurrenten gehen inzwischen längst über den reinen Informationsdiebstahl hinaus, ihr Ziel ist auch immer öfter die Sabotage von Produktionsprozessen. Ein Weg, dieses Ziel zu erreichen, ist das Eindringen in das Office-IT-Netzwerk sowie in die damit verbundenen Maschinensteuerungen. Die Verknüpfung der bislang eigenständigen Produktionszellen – netzwerktechnischer Insellösungen – birgt daher nicht nur die Gefahr, geschäftskritische Informationen an neugierige Angreifer weiterzugeben, sondern ganz konkret die einer Manipulation der Produktionsprozesse oder sogar des Anlagenstillstands.

IT-Verantwortliche haben traditionell schon immer zwischen fünf und zehn Prozent ihres Budgets in Cybersicherheit investiert. Über die hier im Laufe der Jahre gemachten Erfahrungen verfügen ihre Pendants im operativen Bereich nicht im gleichen Ausmaß, denn für sie hat Cybersicherheit bislang keine Rolle gespielt. Branchenexperten sprechen von einer zeitlichen Differenz von mindestens zehn Jahren.

Das Patch-Problem

Treffen IT und OT (Operational Technology) aufeinander, so ist oft auch interkulturelle Kompetenz gefordert, denn beide Seiten haben unterschiedliche Herangehensweisen und unterschiedliche Herausforderungen zu meistern. Eine dieser Herausforderungen ist der oft sowohl aus alten als auch aus neuen Maschinen bestehende Anlagenpark beziehungsweise die nicht gepatchten Steuerungssysteme. Nach dem Motto „Never change a running system“ nahmen die Betreiber hier über Jahre hinweg nur wenige Updates vor und führten vor allem Wartungsdienste durch. Während IT-Verantwortliche darauf drängen, dass alle Systeme möglichst schnell und umfassend aktualisiert werden, gefährdet unkontrolliertes Patching die Abläufe in der Produktion. Konfigurationen und Schnittstellen sowie alte Betriebssysteme laufen dann Gefahr, nicht mehr zu funktionieren. Es treffen also zwei verschiedene Philosophien aufeinander.

Hier müssen Verantwortliche beider Lager ansetzen. Es gilt, Wege zu finden, Steuerungen und den Zugang zu ihnen zu härten und abzusichern, ohne die Produktionsabläufe zu stören. Dies gelingt nur, wenn sich beide Seiten austauschen und zusammenarbeiten. Es gibt Wege, die mit einem Schritt-für-Schritt-Programm mehr Überblick über den Datenverkehr und die Kommunikation zwischen Steuerung und Maschine gewinnen. Und nur wer die Vorgänge in den Anlagennetzwerken monitoren und Auffälligkeiten erkennen kann, schützt diese auch vor Manipulation und Cybergefahren.

Bei dem Wandel und dem Verschmelzen von IT und OT sollte am Ende ein Konzept zur Absicherung von Industriekontrollsystemen entstanden sein, das den Herausforderungen entspricht. Folgende Punkte gilt es dabei zu beachten:

  • Zugriffskontrolle (Access Control und Management von Anwendungen und Geräten),
  • Netzwerkkontrolle (Monitoring und Incident Handling beziehungsweise Incident Response),
  • Assessment und Auditierung der Sicherheitsmaßnahmen (Überprüfung auf Effektivität, Analyse) sowie
  • Absicherung der Produktionsprozesse (Sicherheitsmaßnahmen, Patch-Management) und
  • regelmäßiges und gemeinsames Security-Awareness-Training der IT- und OT-Verantwortlichen.

Darüber hinaus gibt es eine Reihe von Richtlinien und Standards, die bei der Implementierung hilfreich sein könnten. Dazu zählen unter anderem ISO 27019 für den EVU-Sektor, der Guide to Industrial Control Systems (ICS) Security der NIST sowie der IEC-Standard 62443.

Netzwerksegmentierung

Ein erster Weg zu mehr IT-Security besteht insbesondere in der Segmentierung der Netzwerke und der Absicherung kritischer Steuerungen. Hierzu bedarf es einer lückenlosen Dokumentation aller physischen, logischen und anwendungsspezifischen Übersichtspläne. Sie sind die Grundvoraussetzung für die kontinuierliche Verwaltung des Netzwerkverkehrs.

Nachdem man das Netzwerk segmentiert und jede Anomalie sofort erkannt hat, gilt es im zweiten Schritt, alle Zugriffsrechte und Nutzerrollen zu überprüfen. Eine besondere Rolle spielt auch die Dokumentation, wer wann Zugriff auf welche Systeme hatte und wer mit welchen Rechten auf sie zugegriffen hat. Diese Maßnahme ist aus forensischer und rechtlicher Sicht notwendig, um im Falle eines Vorfalls diesen rascher aufklären zu können.

Eine Möglichkeit für mehr IT-Security besteht insbesondere in der Segmentierung der Netzwerke und der Absicherung besonders kritischer Steuerungen. Bild: SANS Institute

Für den nächsten Schritt, die Protokolluntersuchung und Intrusion Detection, ist eine tiefe Kenntnis der im Industriesteuerungsumfeld verwendeten Protokolle das A und O. Hier bedarf es Tools, die in der Lage sind Pakete und deren Informationen zu analysieren. Ältere IPS/IDS-Lösungen sind dazu nicht in der Lage, und wenige Lösungen existieren am Markt, die auf Ebene von Industrieprotokollen Application-level Inspection durchführen können.

Darüber hinaus sollten nur jene Anwendungen auf den Steuerungen beziehungsweise Bediensystemen laufen und mit ihnen interagieren, die eine explizite Aufgabe erfüllen und gebraucht werden. Alle anderen sollten geblacklisted und keinen Zugriff erhalten.

Automatisierte Warnungen können helfen, Anomalien und verhaltensauffälligen Datenverkehr zu erkennen und die Verantwortlichen darüber zu informieren, damit diese geeignete Maßnahmen einleiten.

Schwachstellen- und Patch-Management

Tritt verdächtiges Verhalten auf, muss man dieses nicht nur detektieren, sondern auch einen Notfallplan haben, um auf die Gefahr reagieren zu können. Dieser Plan wird im Rahmen eines Incident Response Programms etabliert und mit jedem Vorfall weiterentwickelt.

Wie bereits erwähnt ist das regelmäßige prüfen auf mögliche Sicherheitsschwachstellen der eingesetzten Software auf Steuerungen und Anlagen-PCs ein Muss. Das effektive Einspielen des Patches kann üblicherweise nur gemeinsam beziehungsweise nach Freigabe durch den Lieferanten erfolgen, da man die Softwareänderungen auf Verträglichkeit prüfen muss. Darüber hinaus besteht die Möglichkeit, Schwachstellenscans durchzuführen, um Sicherheitslücken zu entdecken. Diese sollten jedoch nur erfahrene Security-Berater mit industriellem Background durchführen, da diese Netzwerkprüfungen Systeme mitunter zum Absturz bringen können. In zeitlichen Abständen ist es wünschenswert, dass qualifizierte Dienstleister die Sicherheitsmaßnahmen der Anlagen überprüfen.

Zuletzt muss das Unternehmen Sicherheitsrichtlinien basierend auf den besonderen Anforderungen der Produktion einführen und insbesondere Mitarbeiter aus dem Anlagenumfeld in geeignetem Maße kontinuierlich schulen.

Prof. Thomas Brandstetter ist Geschäftsführer bei Limes Security und SANS-Trainer für ICS ().